Das EU AI-Gesetz ist jetzt Gesetz. Ist Ihr Test bereit?
Jahrelang lebte die KI-Governance in der Welt guter Absichten. Unternehmen veröffentlichten ethische Richtlinien, stellten Prüfungsausschüsse zusammen und versprachen, „KI verantwortlich zu entwickeln“. Die meisten meinten es ernst. Doch all das war optional.
Das hat sich geändert.
Das EU AI-Gesetz hat Durchschlagskraft – echte Durchsetzungsbefugnisse, echte Strafen und echte Audits. Es ist die erste Regulierung, die die Verantwortung für KI als rechtliche Verpflichtung behandelt und nicht als PR-Aussage.
Geografie schützt nicht: Es spielt keine Rolle, ob sich Ihr Unternehmen in San Francisco, Singapur oder São Paulo befindet. Wenn Ihr KI-System mit jemandem in der EU interagiert oder Entscheidungen über ihn trifft, unterliegen Sie diesen Regeln.
Die Strafen sind nicht dazu gedacht, schmerzhaft zu sein; sie sollen wehtun: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Für die meisten Unternehmen ist das keine Kostenfrage für die Compliance – es ist eine existenzielle Bedrohung.
Die Risikokategorien, die Ihre Verpflichtungen definieren
Das EU AI-Gesetz behandelt nicht alle KI gleich. Es verwendet ein gestuftes System, das sich nach dem potenziellen Schaden richtet.
Verbotene KI ist genau das, was der Name sagt – sie ist schlichtweg verboten. Echtzeit-Gesichtserkennung in öffentlichen Räumen, soziale Bewertungssysteme und KI, die darauf abzielt, Verhalten auf ausbeuterische Weise zu manipulieren, sind illegal.
Hochriskante KI unterliegt den schwersten Anforderungen. Dazu gehören Systeme, die wesentliche Entscheidungen über Menschen treffen: Einstellungstools, Kreditbewertung, Unterstützung bei medizinischen Diagnosen, Bildungsbewertung und biometrische Identifikation. Wenn Ihre KI das Leben, die Karriere, die Gesundheit oder die Finanzen von jemandem erheblich beeinflussen kann, gehört sie wahrscheinlich hierher.
Begrenzte Risiken betreffen Chatbots, Deepfakes, KI-generierte Inhalte und virtuelle Assistenten. Die Hauptanforderung ist die Transparenz – die Nutzer müssen wissen, dass sie mit KI interagieren.
Minimalrisiko – Spam-Filter, NPCs in Spielen, Empfehlungs-Widgets – bleibt größtenteils unreguliert.
Die unangenehme Wahrheit ist: die meisten Unternehmens-KI-Anwendungen fallen heute in die Kategorien Hochrisiko oder begrenztes Risiko. Und die meisten Teams erkennen das nicht, bis ein Audit die Diskussion erzwingt.
Was hochriskante Systeme nachweisen müssen
Wenn Ihre KI in einem hochriskanten Bereich arbeitet, liegt die Beweislast bei Ihnen. Die Regulierung gibt genau vor, was Sie nachweisen müssen:
Menschliche Aufsicht. Automatisierte Entscheidungen dürfen nicht standardmäßig endgültig sein. Es müssen klare Mechanismen für menschliche Überprüfung, Intervention und Übersteuerung vorhanden sein.
Transparenz. Nutzer und Betreiber benötigen verständliche Dokumentation: wie das System funktioniert, wofür es gedacht ist und wo seine Grenzen liegen.
Fairness-Test. Sie müssen nachweisen, dass Ihre KI nicht gegen geschützte Gruppen diskriminiert. Absicht spielt keine Rolle – die Ergebnisse zählen.
Robustheit. Ihr System muss unerwartete Eingaben, Grenzfälle und Angriffe von außen ohne gefährliche Fehlfunktionen bewältigen können.
Nachverfolgbarkeit. Wenn jemand fragt: „Warum hat die KI so entschieden?“, benötigen Sie eine dokumentierte, verteidigbare Antwort.
Kontinuierliche Überwachung. Compliance ist kein einmaliges Ziel. Sie müssen Modelländerungen, Leistungsänderungen und aufkommende Probleme während des gesamten Lebenszyklus des Systems verfolgen.
Jeder dieser Punkte entspricht einer Testdisziplin. Das ist kein Zufall – es ist der Punkt.
Tests wurden zur Compliance-Funktion
Das EU AI-Gesetz stellt eine neue Frage: „Können Sie beweisen, dass es fair, genau, transparent und sicher ist – kontinuierlich?“
Das erfordert Fähigkeiten, die die meisten QA-Teams noch nicht aufgebaut haben.
Halluzinationserkennung identifiziert KI, die falsche Informationen generiert. In einem regulierten Kontext ist das kein Fehler – es ist ein Hinweis auf Nichteinhaltung.
Bias-Tests decken diskriminierende Muster im Trainingsdaten auf. Drift-Monitoring verfolgt, wie sich das Verhalten des Modells im Laufe der Zeit verändert.
Erklärbarkeitsvalidierung bestätigt, dass Ihre KI ihre Entscheidungen rechtfertigen kann. „Der Algorithmus hat das gesagt“ ist keine Antwort, die Regulierungsbehörden akzeptieren.
Sicherheitstests stellen sicher, dass Ihre KI Manipulationen widersteht.
Wo Sie anfangen sollten
Wenn Ihre KI-Systeme EU-Nutzer beeinflussen könnten, hier der praktische Weg:
- Ordnen Sie Ihre Systeme Risikokategorien zu. Dokumentieren Sie Risiken proaktiv und halten Sie technische Dokumentationen bereit.
- Integrieren Sie Tests in Ihre Pipeline. Planen Sie für die Überwachung nach der Markteinführung.
Das EU AI-Gesetz ist nicht in der Zukunft – es ist hier. Die einzige Frage ist, ob Sie bereit sind, wenn die Auditoren kommen.
Dies ist der erste Teil einer Reihe über KI-Regulierung und Tests. Im nächsten Teil werden die spezifischen Anforderungen des EU AI-Gesetzes behandelt.
