Navigation durch das EU AI-Gesetz: Was Unternehmen 2025 wissen und tun müssen
Die Europäische Union hat einen historischen Schritt unternommen, indem sie das AI-Gesetz verabschiedet hat, die weltweit erste umfassende Regulierung für künstliche Intelligenz. Seit August 2024 ist das AI-Gesetz in Kraft, und seine Umsetzung erfolgt schrittweise. Für Unternehmen, die KI-Systeme nutzen oder entwickeln, bringt diese Regulierung erhebliche Verpflichtungen mit sich – und es ist jetzt an der Zeit, zu handeln.
Was bisher passiert ist
Am 1. August 2024 trat das EU AI-Gesetz offiziell in Kraft. Dies markierte den Beginn eines phasenweisen Implementierungszeitplans.
Am 2. Februar 2025 wurden die ersten Verpflichtungen rechtsverbindlich, insbesondere:
- Das Verbot von KI-Systemen mit inakzeptablem Risiko, einschließlich:
- Sozialbewertungssystemen
- Echtzeitbiometrische Identifikation in öffentlichen Räumen (mit begrenzten Ausnahmen)
- Emotionserkennung am Arbeitsplatz und in Schulen
- Manipulative oder ausbeuterische KI (insbesondere zur Beeinflussung gefährdeter Gruppen)
- Frühe Anforderungen an Kompetenz und Bewusstsein, um sicherzustellen, dass Mitarbeiter, die mit KI arbeiten, über das entsprechende Wissen verfügen.
Wo stehen wir jetzt?
Im Mai 2025 befinden wir uns in der frühen Implementierungsphase, mit dem nächsten wichtigen Meilenstein, der im August 2025 bevorsteht. In dieser Phase:
- Müssen Unternehmen ihre KI-Systeme bewerten, um deren Risikoklassifizierung (inakzeptabel, hochriskant, begrenzt riskant oder minimal riskant) zu bestimmen.
- Anbieter von General Purpose AI (GPAI)-Modellen – wie Fundamentalmuster oder große Sprachmodelle – müssen sich auf Transparenz- und Risikomanagementpflichten bis August 2025 vorbereiten.
- Nationale Aufsichtsbehörden und das Europäische AI-Büro werden eingerichtet, um die Einhaltung zu überwachen und Unterstützung zu bieten.
Was kommt als Nächstes?
Am 2. August 2025 treten die Transparenzpflichten für GPAI-Anbieter in Kraft. Sie müssen:
- Dokumentation über die Fähigkeiten und Einschränkungen ihrer Modelle bereitstellen.
- Zusammenfassungen von Trainingsdaten veröffentlichen (mit Fokus auf Urheberrecht und Verzerrung).
- Modellbewertungen und Risikobewertungen durchführen und veröffentlichen.
- Die Mitgliedstaaten der EU müssen ihre nationalen KI-Regulierungsbehörden eingerichtet haben.
Am 2. August 2026 gelten vollständige Verpflichtungen für hochriskante KI-Systeme, einschließlich:
- Strenger Konformitätsbewertungen
- Qualitätsmanagementsystemen
- Datenverwaltung, Überwachung und menschlichen Aufsichtsprozessen
Am 2. August 2027 müssen hochriskante KI-Systeme, die in regulierte Produkte (z. B. medizinische Geräte oder Industrieausrüstung) eingebettet sind, in Übereinstimmung mit dem AI-Gesetz und den sektoralen Gesetzen konform sein.
Was Unternehmen jetzt tun müssen
Um Störungen zu vermeiden und die Einhaltung sicherzustellen, sollten Unternehmen, die KI-Systeme nutzen oder entwickeln, proaktiv handeln:
- Klassifizieren Sie Ihre KI-Systeme
- Erfassen Sie alle KI-Anwendungsfälle in Ihrer Organisation.
- Bestimmen Sie ihre Risikokategorie gemäß dem AI-Gesetz:
- Inakzeptabel (verboten)
- Hochriskant (strenge Verpflichtungen)
- Begrenzt riskant (Transparenzpflichten)
- Minimal riskant (freiwillige Verhaltenskodizes)
- Aufbau von Governance-Strukturen
- Weisen Sie klare Verantwortlichkeiten für die AI-Compliance, Risikomanagement und Aufsicht zu.
- Richten Sie funktionsübergreifende Teams (z. B. Recht, IT, Datenwissenschaft, Compliance) ein.
- Vorbereitung der Dokumentation
- Erstellen oder aktualisieren Sie Ihre technischen Dokumentationen, Datenblätter und Modellprotokolle.
- Wenn Sie Anbieter oder Betreiber hochriskanter Systeme sind, stellen Sie die Prüfbarkeit, Nachvollziehbarkeit und Erklärbarkeit der Modelle sicher.
- Durchführung von KI-Risikobewertungen
- Bewerten Sie potenzielle Schäden für Gesundheit, Sicherheit, Grundrechte und gesellschaftliches Wohlbefinden.
- Entwickeln Sie Minderungsstrategien und Verfahren zur Vorfallbearbeitung.
- Schulung Ihrer Mitarbeiter
- Stellen Sie sicher, dass die Mitarbeiter die KI-Risiken und ihre Verantwortlichkeiten gemäß dem AI-Gesetz verstehen.
- Berücksichtigen Sie rollenbasierte Schulungen für Entwickler, Produktmanager, rechtliche und Compliance-Teams.
- Engagement mit Regulierungsbehörden
- Überwachen Sie Entwicklungen vom Europäischen AI-Büro und Ihrer nationalen Behörde.
- Nehmen Sie an Konsultationen, Branchengruppen oder Pilotprogrammen teil.
- Planung von Audits und Durchsetzung
- Richten Sie interne Auditfähigkeiten für KI-Systeme ein.
- Überprüfen und aktualisieren Sie regelmäßig Prozesse, insbesondere wenn die EU-Kommission delegierte Rechtsakte oder Klarstellungen erlässt.
Fazit
Das EU AI-Gesetz ist mehr als nur eine rechtliche Verpflichtung – es ist ein Rahmen, der die vertrauenswürdige, menschenzentrierte Entwicklung von KI fördert. Unternehmen, die frühzeitig ihre Systeme, Governance und Kultur an die Regulierung anpassen, werden nicht nur Risiken minimieren, sondern auch einen Wettbewerbsvorteil im sich schnell entwickelnden KI-Landschaft gewinnen.
Die Vorbereitung ist nicht länger optional – sie ist eine strategische Notwendigkeit.
