Kurzfassung
Der EU AI Act – Verordnung (EU) 2024/1689 – ist das umfassende Gesetz der Europäischen Union zur Regulierung künstlicher Intelligenz. Er verfolgt einen risikobasierten Ansatz: KI-Systeme werden nach ihrem Risiko klassifiziert, und die Pflichten skalieren entsprechend – von minimalen Anforderungen bis hin zu strengen Kontrollen oder einem vollständigen Verbot für inakzeptable Anwendungen.
Was ist der EU AI Act?
Die Verordnung ordnet KI-Systeme in Risikostufen ein. Praktiken mit inakzeptablem Risiko sind verboten; Hochrisiko-Systeme (etwa in kritischer Infrastruktur, Beschäftigung oder wesentlichen Diensten) unterliegen Anforderungen wie Risikomanagement, Daten-Governance, Transparenz, menschlicher Aufsicht und Konformitätsbewertung; Systeme mit begrenztem Risiko tragen vor allem Transparenzpflichten. Die Pflichten gelten entlang der Wertschöpfungskette, einschließlich Anbietern und Betreibern.
Die Compliance wird zeitlich gestaffelt eingeführt, wobei wesentliche Pflichten für Hochrisiko-Systeme 2026 wirksam werden, mit erheblichen Bußgeldern bei Verstößen. Für Organisationen bedeutet die Umsetzung in der Praxis konkrete technische Arbeit – KI-Systeme inventarisieren, dokumentieren (auch über Ansätze wie eine AI Bill of Materials) und Kontrollen in der Delivery-Pipeline mit Tooling wie Mondoo/cnspec durchsetzen. Er steht neben verwandten Frameworks wie NIST AI RMF und ISO/IEC 42001 und überschneidet sich mit der DSGVO und dem EU Data Act für Systeme, die Daten verarbeiten.
Warum ist der EU AI Act relevant?
- Risikobasierte Pflichten: Anforderungen skalieren mit dem Risiko eines Systems, bis hin zu Verboten für inakzeptable Anwendungen
- Breiter Geltungsbereich: Gilt für Anbieter und Betreiber entlang der KI-Wertschöpfungskette
- Benannte Verantwortung: Hochrisiko-Systeme erfordern definierte Zuständigkeit für Governance und Aufsicht
- Technisch, nicht nur Papier: Echte Compliance bedeutet Inventar, Dokumentation und durchgesetzte Kontrollen in CI/CD