EU AI Act
0 Frage(n) gefunden
Was ist der EU AI Act?
Der EU AI Act (offiziell: Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er legt fest, welche KI-Anwendungen verboten sind, welche besonderen Anforderungen erfüllen müssen und was Unternehmen konkret tun müssen. Das Gesetz gilt seit dem 1. August 2024.
Gilt der EU AI Act auch für kleine Unternehmen?
Ja. Das Gesetz gilt grundsätzlich für jedes Unternehmen, das KI-Systeme einsetzt oder anbietet – unabhängig von der Größe. Allerdings gelten für KMU und Startups erleichterte Bedingungen: niedrigere Bußgelder und vereinfachter Zugang zu Regulierungssandboxen.
Gilt der AI Act auch für Unternehmen außerhalb der EU?
Ja. Wenn ein Unternehmen außerhalb der EU KI-Systeme anbietet oder betreibt, deren Ausgabe in der EU genutzt wird, fällt es in den Anwendungsbereich. Das Prinzip ist vergleichbar mit der DSGVO: Entscheidend ist, wo die Wirkung entsteht, nicht wo das Unternehmen sitzt.
Was ist der Unterschied zwischen Anbieter und Betreiber?
Anbieter entwickeln oder verkaufen ein KI-System. Betreiber setzen ein bestehendes KI-System in ihrem Unternehmen ein. Die meisten KMU sind Betreiber – sie nutzen KI-Tools von Drittanbietern, entwickeln aber keine eigenen Systeme. Für Betreiber gelten weniger strenge Pflichten als für Anbieter.
Wir nutzen nur ChatGPT intern. Sind wir betroffen?
Ja, in bestimmtem Umfang. Die KI-Kompetenzpflicht (Art. 4) gilt für jeden Betreiber – also auch für Unternehmen, die nur Tools wie ChatGPT, Copilot oder Gemini nutzen. Mitarbeitende müssen nachweislich über KI-Grundkenntnisse verfügen. Diese Pflicht gilt seit dem 2. Februar 2025.
Unsere Software hat einen eingebauten KI-Assistenten. Zählt das?
Ja. Wenn Ihre CRM-, ERP- oder HR-Software eine KI-Funktion enthält – auch wenn Sie diese nicht explizit gebucht haben – sind Sie als Betreiber dieses KI-Systems einzustufen. Typische Beispiele: KI-gestützte Zusammenfassungen, automatische E-Mail-Vorschläge, Predictive Analytics in Auswertungstools.
Wir nutzen KI nur für Marketing und Texterstellung. Welche Pflichten haben wir?
KI-generierte Texte, Bilder und Videos fallen unter die Transparenzpflichten (Art. 50). Inhalte müssen unter bestimmten Umständen als KI-erzeugt gekennzeichnet werden – insbesondere wenn sie Personen oder Ereignisse realitätsnah darstellen (Deepfakes). Für reine Texterstellung zur internen Nutzung gibt es keine Kennzeichnungspflicht.
Was ist, wenn wir KI im Recruiting einsetzen?
KI-Systeme im Personalbereich – zum Beispiel für die Vorauswahl von Bewerbungen oder das Ranking von Kandidaten – fallen unter die Hochrisiko-Kategorie (Anhang III Nr. 4). Hier gelten deutlich strengere Anforderungen: Risikomanagementsystem, technische Dokumentation, menschliche Aufsicht und Registrierungspflichten ab August 2026.
Was muss ich als allererstes tun?
Drei Schritte sofort: Erstens ein KI-Inventar anlegen – welche KI-Tools werden im Unternehmen eingesetzt? Zweitens eine interne KI-Richtlinie erstellen, die regelt wer was wie nutzen darf. Drittens die KI-Kompetenzpflicht umsetzen – Mitarbeitende schulen und die Teilnahme dokumentieren. Diese Grundpflichten gelten bereits seit Februar 2025.
Was ist die KI-Kompetenzpflicht genau?
Art. 4 verpflichtet Betreiber, sicherzustellen, dass alle Mitarbeitenden, die mit KI-Systemen arbeiten, über ein angemessenes Grundverständnis von KI verfügen. Das umfasst: was KI kann und nicht kann, wie man Ergebnisse kritisch bewertet und wann menschliches Urteil gefragt ist. Schulungen müssen dokumentiert werden.
Was ist ein KI-Inventar und wie erstelle ich eines?
Ein KI-Inventar ist eine Liste aller im Unternehmen eingesetzten KI-Systeme. Für jeden Eintrag sollte festgehalten werden: Name des Tools, Einsatzzweck, welche Abteilung es nutzt, ob personenbezogene Daten verarbeitet werden und eine erste Einschätzung der Risikostufe. Eine einfache Tabelle genügt als Ausgangspunkt.
Müssen wir unsere KI-Nutzung irgendwo registrieren?
Nur wenn Sie Hochrisiko-KI-Systeme betreiben oder anbieten. Für die meisten KMU, die Standard-Tools wie ChatGPT oder Copilot einsetzen, gibt es keine Registrierungspflicht in der EU-Datenbank. Die Registrierungspflicht trifft primär Anbieter und Betreiber eigenständiger Hochrisiko-Systeme.
Welche Fristen sind bereits abgelaufen?
Die KI-Kompetenzpflicht und die Verbote gelten seit dem 2. Februar 2025 – diese Frist ist bereits verstrichen. Wer noch keine Schulungen durchgeführt und dokumentiert hat, ist technisch im Verzug. GPAI-Pflichten gelten seit dem 2. August 2025, ebenfalls bereits abgelaufen.
Was droht bei Verstößen?
Die Bußgelder sind gestaffelt: Verstöße gegen die Verbote bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes. Verstöße gegen Hochrisiko-Anforderungen bis zu 15 Mio. € oder 3 %. Falsche Angaben gegenüber Behörden bis zu 7,5 Mio. € oder 1 %. Für KMU gilt jeweils der niedrigere der beiden Werte.
Gibt es eine Übergangsfrist für bereits eingesetzte Systeme?
Ja. KI-Systeme, die vor dem 2. August 2026 bereits in Betrieb waren, können unter bestimmten Bedingungen von Übergangsregelungen profitieren. Sie müssen aber spätestens dann vollständig konform sein, wenn sie wesentlich verändert werden. Das ist kein Freifahrtschein – eine Bestandsaufnahme sollte trotzdem jetzt erfolgen.