Zum Hauptinhalt springen
Perspective:
Perspective
17 März 2025
10 Minuten Lesezeit

EU AI Act: Die KI-Verordnung der Europäischen Union

Einzelheiten und Hintergründe zu den Umsetzungsanforderungen

Ziel des EU AI Acts ist es, den europäischen Binnenmarkt durch einen einheitlichen Rechtsrahmen zu stärken und die Entwicklung menschenzentrierter, sicherer und vertrauenswürdiger
künstlicher Intelligenz (KI) zu fördern. Sie schützt die Gesundheit,
Sicherheit und EU-Grundrechte von Personen und gewährleistet Schutz vor
möglichen schädlichen Auswirkungen von KI-Systemen, indem sie betroffene Unternehmen strengen Anforderungen unterwirft. Gleichzeitig fördert der EU AI Act die Weiterentwicklung künstlicher Intelligenz und ist auch eine Produktsicherheitsverordnung. Sie soll die europäischen Verbraucher vor Grundrechtsverletzungen schützen, die auf eine unangemessene Nutzung von KI zurückzuführen sind. Um diese Ziele zu erreichen, definiert der EU AI Act erstmals einheitliche Begriffe und Klassen für KI‑Systeme, legt Anforderungen an Entwicklung, Bereitstellung und Nutzung fest und etabliert EU-weit neue Governance‑ und  Aufsichtsstrukturen. Ein besonderer Fokus liegt auf Hochrisiko‑KI‑Systemen, die in sensiblen Bereichen wie Gesundheit, Infrastruktur oder Beschäftigung eingesetzt werden, sowie auf GPAI‑Modellen, deren breite Einsatzmöglichkeiten potenziell systemische Risiken bergen können. Ergänzend führt der EU AI Act Transparenzpflichten ein, die unabhängig vom Risiko gelten können, etwa bei der Interaktion von Menschen mit KI oder bei der Kennzeichnung synthetischer Inhalte.

EU AI Act Deep Dive (Engl.)
EU AI Act: Executive Summary (DE)
Digital Omnibus on AI - zum Artikel
Mehr erfahren

Sachlich fallen nur solche KI-Systeme und -Modelle im Sinne der Verordnung in den Anwendungsbereich des EU AI Acts, die in der EU in Verkehr gebracht oder genutzt werden oder die EU-Bürger betreffen. Ausgenommen sind KI Systeme, die ausschließlich militärischen oder zu Verteidigungszwecken dienen oder nur für Forschung und Entwicklung verwendet werden, auf Open-Source-Lizenzen basieren sowie solche KI-Systeme, die für rein private Zwecke genutzt werden. Vom persönlichen Anwendungsbereich erfasst werden insbesondere Anbieter, Betreiber, Händler und Einführer. Dabei liegt der regulatorische Schwerpunkt jedoch bei den Anbietern (wer ein KI-System entwickelt und unter eigenem Namen in Verkehr bringt oder in Betrieb nimmt) und den Betreibern (wer ein KI-System in eigener Verantwortung verwendet).

Ein KI-System nach dem EU AI Act ist „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können. Der EU AI Act orientiert sich dabei an der OECD-Definition und versteht KI als Systeme, die Schlussfolgerungen ziehen und Entscheidungen oder Vorhersagen treffen können. Die Definition ist bewusst weit gefasst, wodurch viele Systeme potentiell erfasst werden. Die EU-Kommission hat daher in ihrer Guideline zur Definition eines KI-Systems von Februar 2025 präzisiert, dass kein KI-System im Sinne der Verordnung vorliegt bei rein mathematischer Optimierung, einfacher Datenverarbeitung, klassischen Heuristiken und einfachen statistischen Vorhersagen. 

Ebenfalls von der KI-Verordnung erfasst sind sogenannte GPAI-Modelle. Dabei handelt es sich um KI-Modelle, die für eine Vielzahl unterschiedlicher Aufgaben eingesetzt werden können und nicht auf einen einzelnen spezifischen Zweck beschränkt sind. Für GPAI-Modelle gelten eigene, von den KI-Systemen unabhängige Anforderungen. Ziel ist es, mögliche systemische Risiken dieser breit einsetzbaren Technologien zu reduzieren.In der Regel werden GPAI-Modelle in nachgelagerte Anwendungen integriert. Für solche GPAI-Systeme gelten die gleichen Anforderungen wie für KI-Systeme. 

Der EU AI Act sieht für KI-Systeme eine 3-stufigeRisikoklassifizierung vor. Es wird unterschieden:

  • Unannehmbares Risiko:KI-Praktiken, die aufgrund ihres besonders hohen Gefährdungspotentials für die Gesundheit, Sicherheit und Grundrechte grundsätzlich verboten sind
  • Hochriskant: KI-Systeme, die in sicherheits- oder grundrechtrelevanten Bereichen eingesetzt werden und daher den umfangreichsten Anforderungen unterliegen
  • Nicht hochriskant: KI-Systeme, die keine oder nur geringe Risiken bergen und daher auch nur allgemeinen Pflichten wie der Sicherstellung der KI-Kompetenz oder Transparenz unterliegen

Seit dem 02. Februar 2025 sind KI-Systeme, die ein unannehmbares Risiko bergen, vollständig verboten. Der EU AI Act listet in Art. 5 folgende verbotene Praktiken auf: 

  • KI-Systeme, die manipulative Techniken verwenden
  • KI-Systeme, die erhöhte Schutzbedürftigkeit bestimmter Personengruppen ausnutzen
  • Social-Scoring-Systeme, die Personen anhand ihres Sozialverhaltens oder ihrer persönlichen Merkmale bewerten
  • Biometrische Echtzeit-Fernidentifizierungssysteme zu Strafverfolgungszwecke
  • Gesichtserkennungsdatenbanken
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
  • Systeme zur biometrischen Kategorisierung

Auch hierzu hat die EU-Kommission Anfang Februar 2025 mit einer Guideline hinsichtlich der verbotenen Praktiken eine Orientierungshilfe gegeben. Diese liefert eine Vielzahl an Beispielen für alle nach dem EU AI Act verbotenen Praktiken und grenzt diese zu hochriskanten Anwendungsfällen ab, stellt aber gleichzeitig klar, dass der Grad der Unterscheidung zwischen verbotenen und hochriskanten Anwendungsfällen ein sehr schmaler sein kann. Daher ist eine genaue Betrachtung im Einzelfall unerlässlich. 

Hochrisiko-KI-Systeme sind Anwendungen, die in besonders sensiblen Bereichen eingesetzt werden. Sie werden in zwei Kategorien eingeteilt:

  • Systeme des Anhang I umfassen Produkte, die den EU- Sicherheitsvorschriften unterliegen, – wie z.B. Maschinen, Spielzeug, Luftfahrt- und Fahrzeugtechnik, medizinische Geräte und Aufzüge
  • Zu Systemen des Anhang III gehören bestimmte biometrische Systeme, kritische Infrastruktur, Bildung, Beschäftigung, grundlegende private und öffentliche Dienstleistungen (einschließlich Finanzdienstleistungen), Strafverfolgung, Migration/Asyl/Grenzkontrolle sowie demokratische Prozesse (Wahlen) 

Aufgrund ihres erheblichen Einflusses auf Sicherheit, Gesundheit und Grundrecht unterliegen Hochrisiko-KI Systeme den umfangreichsten Anforderungen der KI Verordnung. Dazu können insbesondere gehören: die Einrichtung eines Risikomanagement- oder Qualitätsmanagementsystem , die Verwendung hochwertiger und repräsentativer Trainingsdaten, die Sicherstellung von technischer Robustheit und Cybersicherheit, umfassende Dokumentations- und Protokollierungspflichten, Sicherstellung der menschlichen Aufsicht sowie eine kontinuierliche Überwachung im Betrieb. Welche konkreten Pflichten im Einzelfall zu erfüllen sind, ist stets abhängig davon, welche Rolle das Unternehmen in Bezug auf das betroffene KI System einnimmt.

Unabhängig von der Risikoklassifizierung gelten für bestimmte KI-Systeme Transparenzpflichten. Sie verpflichten Anbieter und Betreiber unter anderem dazu, offenzulegen, wenn Menschen mit einem KI-System interagieren, wenn Emotionserkennung oder biometrische Kategorisierung eingesetzt wird oder wenn Bild-, Audio oder Videoinhalte synthetisch erzeugt oder manipuliert wurden. Ziel dieser Pflichten ist es, Nutzern Klarheit über den Einsatz und den Ursprung von KI-gestützten Inhalten und Interaktionen zu verschaffen, um Falschinformationen und Täuschungsrisiken zu reduzieren.  

Auf EU-Ebene koordiniert das EU AI Office innerhalb der Europäischen Kommission die Umsetzung des EU AI Acts. Ein angebundenes KI‑Gremium bringt Perspektiven aus Wirtschaft und Zivilgesellschaft ein, während ein Wissenschaftliches Gremium unabhängiger Experten systemische Risiken bewertet, Leitlinien zur Modellklassifizierung entwickelt und sicherstellt, dass die Regulierung demaktuellen Stand der Wissenschaft entspricht.

Auf nationaler Ebene muss jeder Mitgliedstaat nationale Marktüberwachungsbehörden benennen, die die Einhaltung der KI‑Verordnung sicherstellen und mit anderen nationalen und EU‑Institutionen zusammenarbeiten. In Deutschland sieht der aktuelle Regierungsentwurf des sog. KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) unter anderem vor, dass die Bundesnetzagentur die zentrale behördliche Zuständigkeit übernimmt, während die BaFin die Aufsicht über KI‑Systeme im Finanzsektor trägt.

KI-Systeme werden nach ihrem Risiko eingestuft. Analog dazu richten sich auch die im EU AI Act vorgesehenen Sanktionen nach der Schwere des Verstoßes: 

  • Verstöße in Bezug auf verbotene KI-Systeme (Artikel 5) können Anbieter bis zu 35 Mio. EUR oder 7 Prozent ihres weltweiten Jahresumsatzes im Vorjahr kosten, je nachdem, welcher Betrag höher ist. 
  • Für Verstöße diverser anderer Vorschriften (z. B. gegen Artikel 10 oder 13) können Geldbußen von bis zu 15 Mio. EUR oder 3 Prozent des Jahresumsatzes verhängt werden.
  • Fehlerhafte Meldungen können mit bis zu 7,5 Mio. EUR oder 1 Prozent des Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. 
  • Neben diesen monetären Strafen können die nationalen Aufsichtsbehörden die Anbieter zwingen, nicht konforme KI Systeme vom Markt zu nehmen oder die Leistungserbringung verbieten. 

Die KI-Verordnung sieht moderatere Geldbußen für KMUs und Start-ups vor.

Der AI Act ist am 01. August 2024 in Kraft getreten und sieht eine gestaffelte Umsetzung vor:

  • 02.Februar 2025: KI-Kompetenz muss sichergestellt werden und KI-Systeme unannehmbarem Risiko sind verboten. 
  • 02. August 2025: Die Anforderungen für KI-Systeme mit allgemeinem Verwendungszweck und Sanktionen gelten. 
  • 02. August 2026: Die Anforderungen für Hochrisiko-KI-Systeme nach Anhang III sowie die Transparenzpflichten gelten. 
  • 02. August 2027: Die Anforderungen für Hochrisiko-KI-Systeme nach Anhang I gelten
  • Es bleibt jedoch abzuwarten, wie sich die Umsetzungsfristen durch die Änderungsverordnung „Digital-Omnibus-Verordnung zur KI“ verschieben werden. 

KI-Systeme nutzen – aber sicher 

KI-Systeme nutzen – aber sicher Auch wenn noch nicht alle technischen Details geklärt sind, vermittelt der EU AI Act einen hinreichenden Eindruck vom Umfang und Ziel der künftigen Verordnung. Unternehmen werden viele interne Prozesse anpassen und Risikomanagementsysteme stärken müssen. Das europäische Normungsgremium CEN-CENELEC wird die Grundsätze der KI-Verordnung in technische Normen und Standards übersetzen, um die Prüfung und Zertifizierung von KI-Systemen zu erleichtern, und die EU-Kommission veröffentlicht Leitlinien als Orientierungshilfe zur Anwendung des EU AI Acts. Allerdings kann auf im Unternehmen bestehenden Prozessen aufgebaut werden und aus Maßnahmen von vorherigen Gesetzen wie der DSGVO gelernt werden. Wir empfehlen Unternehmen, die Umsetzung innerhalb ihrer Organisation voranzutreiben und ihre Mitarbeitenden für das neue Gesetz zu sensibilisieren, eine Bestandsaufnahme ihrer KI-Systeme zu veranlassen, angemessene Governance-Maßnahmen sicherzustellen und als hochriskant eingestufte KI-Systeme akribisch zu überprüfen.  

Wir stehen unseren Kunden zur Seite:

Wir unterstützen Sie dabei, die Komplexität und den Umfang der KI-Verordnung zu meistern und sich auf die künftig geltenden Anforderungen vorzubereiten. Profitieren Sie von der Vordenkerrolle von Deloitte im Bereich der vertrauenswürdigen KI, unserer umfassenden Expertise bei der Entwicklung von KI-Systemen und unserer langjährigen Erfahrung als Wirtschaftsprüfungsunternehmen. Unsere Services orientieren sich an den sechs Lebenszyklus-Phasen von KI-Systemen, die auch in der KI-Verordnung beschrieben sind und der allgemeinen Praxis entsprechen.

Kontaktieren Sie uns

Dr. Till Contzen

Dr. Till Contzen

Partner | Lead Digital Law
+49 69 719188439
David Thogmartin

David Thogmartin

Partner | AI & Data Analytics | aiStudio | Trustworthy AI
+49 211 87722336
Torsten Berge

Torsten Berge

Director | Business Assurance
+49 151 58072499
Dr. Sarah J. Becker

Dr. Sarah J. Becker

Partner | AI Transformation & Governance

Fanden Sie dies hilfreich?

Ja

Vielen Dank für Ihr Feedback

Ihr Feedback ist uns wichtig

Um uns Ihre Meinung mitzuteilen, aktualisieren Sie bitte Ihre Einstellungen, um Analyse- und Performance-Cookies zu akzeptieren.

Benötigen Sie Hilfe beim Aktualisieren der Cookies?

Weitere Inhalte

AI Governance | Deloitte Germany

As companies race to maintain a competitive edge with artificial intelligence, the proliferation of AI-based applications necessitates robust governance to manage quality, risks, and compliance. Read the Deloitte whitepaper for more insights and detailed guidance on AI governance.
Perspective
5 Minuten Lesezeit

EU-Datenstrategie: Umsetzung regulatorischer Vorgaben

Das aktuelle Deloitte-Whitepaper analysiert die Vor- und Nachteile einzelner Unternehmensabteilungen bei der Umsetzung regulatorischer Vorgaben aus der EU-Datenstrategie.
Perspective

Beratung im Bereich Digital Assets

Erfahren Sie hier, wie dezentrale Technologien und Digital Assets die Finanzindustrie revolutionieren und wie Deloitte Kunden in diesem Bereich und beim Zahlungsverkehr mit digitalen Währungen unterstützt.
Service

Algorithm Assurance

Algorithm Assurance hilft, die Risiken bei der Nutzung von KI und komplexen Algorithmen zu minimieren. Deloitte unterstützt Sie dabei, die Kriterien für den vertrauenswürdigen Einsatz von Algorithmen sicherzustellen.
Service
Erfahren Sie mehr