Mit dem neuen AI Act der Europäischen Union beginnt für viele Unternehmen eine neue Ära im Umgang mit künstlicher Intelligenz. Die Regulierung markiert nicht nur einen technologischen Wandel, sondern auch eine klare Positionierung der EU im globalen Wettbewerb um vertrauenswürdige und sichere KI-Systeme. Ziel ist es, Innovation zu fördern, ohne den Schutz der Grundrechte, der Sicherheit und der Privatsphäre aus den Augen zu verlieren.
Besonders im Fokus stehen dabei Unternehmen, die Systeme mit allgemeinem Verwendungszweck entwickeln oder nutzen – sogenannte General-Purpose AI (GPAI), z. B. Foundation Models oder Large Language Models (LLMs). Auch Akteure in sensiblen Bereichen wie Gesundheit, Bildung, Personalwesen, kritischer Infrastruktur, aber auch in Marketing, Technologie, Industrie, Recht, Finanzen und öffentlichen Einrichtungen müssen sich mit den Anforderungen des Gesetzes intensiv auseinandersetzen.
Ein zentrales Element des AI Acts ist die Transparenzpflicht. Sie betrifft sowohl Hochrisiko-KI-Systeme, als auch bestimmte GPAI-Anwendungen. Unternehmen werden verpflichtet, die Funktionsweise, Grenzen, Trainingsdaten, Systementscheidungen und mögliche Risiken ihrer KI-Lösungen klar zu dokumentieren und offenzulegen. Zu oft sind KI-Systeme fehleranfällig oder sogar unbemerkt an der Öffentlichkeit ausprobiert worden. Leider denken viele Unternehmer:innen, dass deren KI-Produkte einwandfrei ‚funktionieren‘. Das alles erhöht das Haftungsrisiko – genau hier setzt die KI-Verordnung an.
Die Transparenzpflicht ist keine rein regulatorische Formalität, sondern das AI Act Herzstück, um:
- Haftungsrisiken zu reduzieren
- Nutzervertrauen aufzubauen
- und KI-Innovationen nachhaltig und verantwortungsvoll zu gestalten
Gerade für kleine und mittlere Unternehmen (KMU) kann dies eine Herausforderung sein – bietet aber auch neue Möglichkeiten zur Wettbewerbsfähigkeit, Marktpositionierung und langfristigen Compliance-Sicherung.
Was regelt der Artificial Intelligence Act (AI Act) konkret?
Der Artificial Intelligence Act ist die weltweit erste umfassende gesetzliche Regelung für den sicheren Einsatz von KI-Systemen. Er wurde 2024 als EU-Verordnung verabschiedet (Verordnung EU 2024/1689) und ist direkt in allen Mitgliedstaaten anwendbar – ohne nationale Umsetzungsgesetze.
Die wichtigsten Ziele der Verordnung sind:
Klarheit für Unternehmen und Verbraucher beim Umgang mit KI-Technologien
Sicherstellung der Vertrauenswürdigkeit und Sicherheit von KI
Schutz der Grundrechte wie Datenschutz, Gleichbehandlung und Nichtdiskriminierung
Förderung von Innovation und Wettbewerbsfähigkeit
Was sind die wichtigsten Rollen im AI Act?
Der AI Act unterscheidet zwischen verschiedenen Akteursrollen, die je nach Einsatzgebiet unterschiedliche Pflichten tragen:
- Anbieter (Provider): Unternehmen, die KI-Systeme entwickeln oder unter eigenem Namen auf den Markt bringen
- Verwender (Deployer): Unternehmen oder Organisationen, die ein KI-System innerhalb ihrer Strukturen anwenden
- Importeure und Händler: Akteure, die Systeme aus Drittstaaten einführen oder vertreiben
- Bevollmächtigte Vertreter: Ansprechpartner für Behörden bei nicht-EU-Anbietern
Diese Rollen sind wichtig, um zu bestimmen, wer für welche Compliance-Verpflichtungen und Haftungsfragen verantwortlich ist.
Welche vier Risikostufen gibt es in der KI-Verordnung bzw. im AI Act?
Welche Regeln ein Unternehmen einhalten muss, hängt vor allem davon ab, wofür es eine KI einsetzen will – nicht unbedingt davon, was die KI technisch alles kann. Entscheidend ist also, wie riskant die geplante Nutzung für Menschen in Europa ist – zum Beispiel für ihre Gesundheit, Sicherheit oder Grundrechte. Deshalb unterscheidet das Gesetz vier Risikostufen, in die KI-Systeme eingeteilt werden – wie in der Grafik unten zu sehen:
Die vier Risikostufen im Überblick – und was sie für Unternehmen bedeuten
Der EU AI Act basiert auf einem risikobasierten Ansatz und stuft KI-Systeme in vier Risikokategorien ein – von verboten bis geringes Risiko. Entscheidend ist nicht nur die Technologie, sondern vor allem der Verwendungszweck und das Risiko für Gesundheit, Sicherheit oder Grundrechte.
Diese Einordnung legt fest, welche Pflichten ein Unternehmen erfüllen muss – und bietet Orientierung für die Entwicklung vertrauenswürdiger, gesetzeskonformer KI.
⛔ Inakzeptable Risiken – Verbotene Praktiken (Art. 5)
Diese KI-Anwendungen sind im EU-Raum gänzlich untersagt, da sie als unvereinbar mit den Grundwerten der EU gelten. Sie stellen ein hohes Risiko für die Würde, Rechte oder Sicherheit von Menschen dar.
Beispiele:
- Emotionsanalyse am Arbeitsplatz oder in Schulen
- Biometrische Kategorisierung nach ethnischer Herkunft
- Social Scoring-Systeme nach chinesischem Vorbild
- Subliminale Manipulationstechniken
📌 Verstöße gegen Artikel 5 können zu Bußgeldern bis zu 35 Mio. € oder 7 % des globalen Jahresumsatzes führen.
⚠️ Hochrisiko (Art. 6)
Diese Kategorie umfasst KI-Systeme mit potenziell schwerwiegenden Auswirkungen auf das Leben von Menschen. Hier gelten umfangreiche Dokumentations-, Transparenz- und Kontrollpflichten, wie z. B.:
- Risikomanagementsystem (Art. 9)
- Transparenz & Nachvollziehbarkeit (Art. 13)
- Menschliche Aufsicht (Art. 14)
- Event Logging (Art. 12)
Beispiele laut Anhang I & III des AI Act:
Autonome Fahrzeuge
Medizinprodukte mit KI (z. B. Diagnoseunterstützung)
Bewerberauswahl-Tools im HR-Bereich
KI in sicherheitsrelevanten Infrastrukturen
🧾 Risiken mit Transparenzpflichten (Art. 50)
KI-Systeme mit begrenztem Risiko, die aber transparenzpflichtig sind. Die Nutzer:innen müssen klar erkennen können, dass sie mit einem KI-System interagieren, und dürfen nicht manipuliert werden.
Pflichten:
- Klare Kennzeichnung von KI-generierten Inhalten
- Hinweise bei biometrischer oder emotionaler Analyse
- Keine Täuschung durch menschenähnliche Interaktionen
Beispiele:
General Purpose AI (GPAI), wenn diese interaktiv genutzt werden
Chatbots auf Webseiten
KI-generierte Bilder oder Videos
Werbung mit emotionaler Zielgruppenansprache
✅ Geringes Risiko (Art. 95)
Diese Systeme können ohne besondere Regulierung eingesetzt werden. Dennoch lohnt sich freiwillige Transparenz – insbesondere, wenn KI mit personenbezogenen Daten arbeitet oder strategisch wichtig ist.
Beispiele:
- Spamfilter in E-Mail-Clients
- Autovervollständigung in Texteditoren
- KI-Assistenz in Videospielen oder Schreibprogrammen
Auch wenn keine direkte Regulierung greift, kann es zu indirekten Pflichten kommen – z. B. durch die DSGVO, Wettbewerbsrecht oder Branchenstandards.
👉 Systemisches Risiko entsteht insbesondere dann, wenn KI in kritischen Infrastrukturen, sozialen Kontexten oder mit großem Wirkungskreis eingesetzt wird.
Sonderfall: KI in Videospielen – wirklich nur ein geringes Risiko?
Im Rahmen des EU AI Act gelten viele KI-Systeme in der Gaming-Branche als Systeme mit geringem Risiko. Dazu zählen z. B.:
- NPC-Verhalten (non-player characters)
- Spielbalance-Anpassung
- In-Game-Personalisierung
- Content-Generierung mit KI
Diese Anwendungen haben in der Regel keine rechtlichen oder ähnlich bedeutenden Auswirkungen auf Menschen und greifen nicht in Grundrechte ein – deshalb müssen sie nicht reguliert werden.
Aber Vorsicht: Der Nutzungskontext zählt!
Einige KI-Funktionen in Videospielen können in andere Risikokategorien fallen, insbesondere wenn sie:
- personenbezogene Daten verarbeiten
- manipulative Kaufanreize setzen (z. B. Pay-to-Win-Systeme)
- Spielersperren oder Sanktionen automatisieren
- psychologisch auf bestimmte Nutzergruppen abzielen
| KI-Anwendung im Spiel | Risikokategorie | Begründung |
|---|---|---|
| KI-gesteuerte Gegner (NPCs) | Geringes Risiko | Kein Einfluss auf reale Rechte |
| Dynamische Spielanpassung durch ML | Geringes Risiko | Keine systemische Wirkung |
| Automatisches Sperren durch KI-Moderation | Risiko mit Transparenzpflicht oder Hochrisiko | Möglicher Einfluss auf Zugang und Rechte |
| In-Game-Algorithmen zur Kaufanimation | Risiko mit Transparenzpflicht | Abhängig vom Verhalten & Profiling |
| Gamification im HR-Training mit Feedback | Hochrisiko | Wenn berufliche Entscheidungen betroffen sind |
Tipp für Unternehmen: Auch bei als „gering eingestuftem Risiko“ lohnt es sich, freiwillig auf Transparenz und Erklärbarkeit zu setzen – etwa durch Hinweise auf KI-Funktionen, Logging oder freiwillige Dokumentation. Das stärkt Nutzervertrauen und erleichtert künftige Compliance bei sich wandelnder Regulierung.
Fazit: Jetzt den richtigen Kurs in der KI-Regulierung setzen
Mit dem EU AI Act bringt die Europäische Union endlich Orientierung in die komplexe Welt der KI-Governance. Unternehmen erhalten dadurch nicht nur mehr Klarheit über regulatorische Anforderungen, sondern auch die Chance, frühzeitig Vertrauen aufzubauen und Innovationen auf ein solides Fundament zu stellen.
Gerade in einer zunehmend digitalisierten und datengetriebenen Wirtschaft können Rechtskonformität und Wettbewerbsfähigkeit Hand in Hand gehen. Wer heute proaktiv handelt, verschafft sich morgen einen klaren Marktvorteil.
✅ Unser Tipp: Früh starten statt spät reagieren
- Prüfen Sie jetzt, welche Risikostufe Ihre KI-Systeme einnehmen
- Erarbeiten Sie eine tragfähige Strategie zur Erfüllung der Transparenzpflichten
- Stärken Sie intern Ihre Governance- und Compliance-Strukturen
- Und sichern Sie sich durch gezielte Maßnahmen einen Vorsprung bei Kund:innen, Partnern und Aufsichtsbehörden
🤝 Jetzt durchstarten mit Servus Data
Sie möchten wissen, ob ihr KI-System AI Act-konform ist? Dann sind Sie bei uns genau richtig. Wir machen Transparenz verständlich und Compliance umsetzbar.
Vereinbaren Sie ein kostenloses und unverbindliches Erstgespräch mit unserer Geschäftsführerin Lejla Rizvanovik. Als erfahrene Beraterin und zugleich Unternehmerin kennt sie nicht nur die gesetzlichen Anforderungen, sondern auch die unternehmerische Perspektive – ein Gespräch auf Augenhöhe.
