Der EU AI Act ist seit August 2024 in Kraft und entfaltet seine volle Wirkung in Etappen bis 2026. Für deutsche Unternehmen bedeutet das: KI-Governance ist keine optionale Disziplin mehr, sondern eine rechtliche Pflicht — und gleichzeitig eine strategische Chance, Vertrauen bei Kunden, Partnern und Regulatoren aufzubauen. Dieser Artikel erklärt die wichtigsten Anforderungen und zeigt einen praxistauglichen Umsetzungsrahmen.

Was ist der EU AI Act? Grundbegriffe

EU AI Act (EU-KI-Verordnung)
Die weltweit erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz. Die Verordnung (EU) 2024/1689 gilt für alle KI-Systeme, die in der EU eingesetzt oder bereitgestellt werden — unabhängig vom Sitz des Herstellers. Sie verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems, desto strenger die Anforderungen.
Risikoklassen
Der EU AI Act unterscheidet vier Risikoklassen: (1) Inakzeptables Risiko — verboten (z.B. Social Scoring, biometrische Massenüberwachung). (2) Hohes Risiko — strenge Anforderungen (Dokumentation, Testing, menschliche Aufsicht). (3) Begrenztes Risiko — Transparenzpflichten (z.B. Chatbots müssen sich als KI kenntlich machen). (4) Minimales Risiko — keine spezifischen Anforderungen (z.B. KI-Spamfilter).
General-Purpose AI (GPAI)
Große Foundation Models wie Anthropic Claude oder Meta Llama fallen unter die GPAI-Regelungen. Anbieter wie AWS müssen Transparenz- und Dokumentationspflichten erfüllen. Unternehmen, die GPAI-Modelle nutzen (als Deployer), haben eigene Pflichten bei der Anwendung.

Zeitplan EU AI Act: Was gilt wann?

EU AI Act Zeitplan der Umsetzungsfristen
Datum Regelung Betroffene
Aug. 2024 Verordnung in Kraft Alle
Feb. 2025 Verbote inakzeptabler Risiken gelten Alle Unternehmen
Aug. 2025 GPAI-Regelungen gelten Foundation-Model-Anbieter & Deployer
Aug. 2026 Hochrisiko-Anforderungen gelten vollständig Alle Hochrisiko-KI-Deployer
Aug. 2027 Restliche Hochrisiko-Systeme (Anhang I) Spezifische Sektoren

Hochrisiko-KI: Was fällt darunter?

Viele Enterprise-Use-Cases fallen unter die Hochrisiko-Kategorie. Unternehmen müssen diese ehrlich bewerten:

  • Personalwesen: KI zur Sichtung von Bewerbungen, Leistungsbewertung, Beförderungsentscheidungen
  • Kreditwesen: KI-gestützte Kredit-Scoring-Systeme und Risikobewertung
  • Bildung: KI zur Bewertung von Prüfungsleistungen oder zur Kurszulassung
  • Kritische Infrastruktur: KI in Energie-, Wasser- und Verkehrssystemen
  • Strafverfolgung: KI zur Vorhersage von Straftaten oder Risikobewertung von Personen
  • Grenzmanagement: KI zur Risikobewertung von Reisenden

Interne Chatbots für Wissenssuche oder Code-Generierung mit Amazon Q Developer fallen in der Regel nicht unter Hochrisiko — hier gelten nur die Transparenzpflichten des begrenzten Risikos.

Pflichten für Hochrisiko-KI-Deployer

  1. Technische Dokumentation: Vollständige Dokumentation des KI-Systems inkl. Trainingsdaten, Evaluierungsmethoden und bekannter Einschränkungen
  2. Konformitätsbewertung: Vor Inbetriebnahme eine Bewertung durchführen — intern oder über notifizierte Stelle
  3. Human Oversight: Mechanismen für menschliche Aufsicht und Eingriffsmöglichkeit implementieren
  4. Protokollierung (Logging): Automatische Ereignisprotokolle für alle KI-Entscheidungen, mindestens sechs Monate aufbewahren
  5. Transparenz gegenüber Nutzern: Klare Information, wenn ein KI-System eine Entscheidung trifft oder wesentlich dazu beiträgt
  6. Marktüberwachung: Post-Market-Monitoring und Meldung schwerwiegender Vorfälle an Behörden

Interne KI-Richtlinien: Was Unternehmen heute aufbauen sollten

Unabhängig vom EU AI Act ist eine interne KI-Richtlinie gute Governance-Praxis. Kernelemente:

  • KI-Nutzungsrichtlinie: Welche KI-Tools sind genehmigt? Welche Daten dürfen in welche Systeme eingegeben werden?
  • Use-Case-Freigabeprozess: Welche KI-Anwendungen brauchen eine formale Genehmigung durch Legal, IT-Security und Datenschutz?
  • Verantwortlichkeiten: Wer ist für KI-Systeme verantwortlich — technisch (KI-Owner) und fachlich (Business Owner)?
  • Qualitätssicherung: Regelmäßige Evaluation der KI-Outputs auf Drift, Bias und Qualität
  • Vorfallsmanagement: Was passiert, wenn ein KI-System fehlerhafte oder schädliche Outputs erzeugt?

DSGVO und EU AI Act: Zusammenspiel verstehen

Beide Regelwerke gelten parallel. Die DSGVO schützt personenbezogene Daten, der EU AI Act adressiert KI-Systemrisiken unabhängig vom Datenschutz. Wichtige Schnittstellen:

  • Art. 22 DSGVO (Automatisierte Entscheidungsfindung) bleibt relevant und wird durch den EU AI Act für Hochrisiko-Systeme verschärft
  • Datenschutz-Folgenabschätzungen (DPIA) nach Art. 35 DSGVO müssen bei Hochrisiko-KI um eine KI-Risikoabschätzung ergänzt werden
  • Einwilligungsanforderungen für KI-Profiling bleiben bestehen

Häufig gestellte Fragen zum EU AI Act

Welche Unternehmen sind vom EU AI Act betroffen?
Alle Unternehmen, die KI-Systeme in der EU einsetzen oder bereitstellen, unabhängig von ihrem Sitz. Auch DACH-Unternehmen, die KI-Dienste aus den USA oder Asien beziehen, müssen Compliance sicherstellen.
Was sind Hochrisiko-KI-Systeme nach dem EU AI Act?
Hochrisiko-KI-Systeme umfassen u.a. KI im Personalwesen (Recruiting, Leistungsbewertung), KI für Kreditentscheidungen, KI in der Strafverfolgung, KI in der Bildung sowie KI für kritische Infrastruktur. Für diese Systeme gelten strenge Anforderungen an Dokumentation, Testing und menschliche Aufsicht.
Wie verhält sich der EU AI Act zur DSGVO?
Der EU AI Act ergänzt die DSGVO. Während die DSGVO den Schutz personenbezogener Daten regelt, adressiert der EU AI Act die Risiken von KI-Systemen unabhängig vom Datenschutz. Unternehmen müssen beide Regelwerke parallel erfüllen.
Was passiert bei Verstößen gegen den EU AI Act?
Bußgelder von bis zu 35 Millionen EUR oder 7 % des weltweiten Jahresumsatzes (je nachdem, was höher ist) für Verstöße gegen die schwersten Verbote. Für Hochrisiko-Verstöße: bis zu 15 Millionen EUR oder 3 % des Umsatzes.
Hilft Amazon Bedrock bei der EU AI Act-Compliance?
Amazon Bedrock unterstützt mit eingebauten Guardrails (Content-Filterung, PII-Redaktion, Audit-Logging) und legt Grundlagen für technische Compliance-Anforderungen. Die Verantwortung für die vollständige Compliance liegt jedoch beim Deployer — also beim Unternehmen, das das KI-System nutzt.

KI-Governance-Beratung anfragen

Storm Reply unterstützt DACH-Unternehmen bei der EU AI Act-Compliance und beim Aufbau interner KI-Governance-Strukturen — praxisnah und rechtssicher.

Jetzt Beratung anfragen

Weitere Insights

Enterprise KI-Strategie: Wo anfangen?

Der strukturierte Rahmen für CIOs, die GenAI produktionsreif einführen wollen.

AWS Bedrock vs. Eigenbau: KI-Infrastruktur-Entscheidung

Entscheidungsmatrix für DACH-Unternehmen: Kosten, Kontrolle und Compliance.

Das Datenfundament für KI

Warum Datenqualität und -architektur über den Erfolg jeder KI-Initiative entscheiden.