Die Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten und reguliert den gesamten EU-Binnenmarkt einheitlich. Unternehmen au\u00dferhalb der EU sind ebenfalls betroffen, wenn sie KI-Systeme im europ\u00e4ischen Markt anbieten oder deren Outputs hier genutzt werden.<\/p>\n
Das Kernprinzip der KI-Verordnung: Der risikobasierte Ansatz<\/h2>\n
Die KI-VO kategorisiert KI-Systeme nach ihrem Risikopotenzial. Je h\u00f6her das Risiko f\u00fcr Menschen und die Gesellschaft, desto strenger sind die Auflagen. Dieser risikobasierte Ansatz bildet das Herzst\u00fcck der Regulierung und teilt KI-Anwendungen in vier Stufen ein.<\/p>\n
![\"Risikoklassen](\"https:\/\/www.haufe-akademie.de\/blog\/wp-content\/uploads\/2025\/01\/eu-ai-act-risikoklassen-ki-systeme.webp\")
<\/p>\n
Stufe 1: Inakzeptables Risiko \u2013 verbotene Systeme<\/h3>\n
Bestimmte KI-Anwendungen sind in der EU komplett untersagt, weil sie die Grundrechte fundamental gef\u00e4hrden. Dazu z\u00e4hlen:<\/p>\n
- \n
- Social Scoring durch staatliche Stellen zur Bewertung von B\u00fcrger:innen<\/li>\n
- manipulative Techniken, die das Verhalten von Personen unterbewusst beeinflussen<\/li>\n
- biometrische Echtzeit-Fernidentifikation im \u00f6ffentlichen Raum (mit eng definierten Ausnahmen f\u00fcr Strafverfolgung)<\/li>\n<\/ul>\n
Stufe 2: Hochrisiko-KI<\/h3>\n
Hochrisiko-KI-Systeme kommen in kritischen Bereichen zum Einsatz und unterliegen den weitreichendsten Dokumentations- und Aufsichtspflichten der Verordnung. Die konkreten Pflichten f\u00fcr Hochrisiko-KI werden im weiteren Verlauf des Artikels noch detailliert erl\u00e4utert.<\/p>\n
In folgenden typischen Anwendungsbereiche gilt die KI als Hochrisiko:<\/p>\n
- \n
- Kritische Infrastrukturen (Verkehr, Energie, Wasser)<\/li>\n
- Personalwesen (Bewerbermanagement, Leistungsbewertung)<\/li>\n
- Medizinprodukte und Gesundheitsversorgung<\/li>\n
- Bildung und Berufsbildung<\/li>\n
- Strafverfolgung und Rechtspflege<\/li>\n
- Grenzkontrollen und Migrationsmanagement<\/li>\n<\/ul>\n
Stufe 3: Begrenztes Risiko<\/h3>\n
KI-Systeme mit begrenztem Risiko sind beispielsweise Chatbots oder Deepfake-Tools. Hier gilt die Kennzeichnungspflicht f\u00fcr alle KI-generierten Inhalte, ob Text, Bild, Audio oder Video.<\/p>\n
Stufe 4: Minimales Risiko<\/h3>\n
Die meisten KI-Anwendungen fallen in diese Kategorie. Spamfilter, Empfehlungssysteme oder einfache Bilderkennungstools bergen kaum Risiken. F\u00fcr sie gelten keine verpflichtenden Regelungen, freiwillige Verhaltenskodizes sind jedoch m\u00f6glich.<\/p>\n
Sonderfall: Allzweck-KI und Basis-Modelle<\/h2>\n
Gro\u00dfe Sprachmodelle wie GPT, LLaMA oder Claude unterliegen besonderen Regelungen. Diese sogenannten General Purpose AI Systems (GPAI) k\u00f6nnen Unternehmen f\u00fcr vielf\u00e4ltige Zwecke einsetzen und ben\u00f6tigen daher spezifische Transparenz- und Dokumentationspflichten.<\/p>\n
Modelle mit systemischem Risiko \u2013 definiert durch mehr als 10\u00b2\u2075 Rechenoperationen beim Training \u2013 m\u00fcssen zus\u00e4tzliche Sicherheitsbewertungen durchlaufen und robuste Governance-Strukturen nachweisen.<\/p>\n
Die Pflichten der KI-Verordnung: Was m\u00fcssen Unternehmen tun?<\/h2>\n
Die KI-VO definiert gestaffelte Anforderungen je nach Risikoklasse der KI-Systeme. Grundlegende Pflichten treffen alle Anbieter beziehungsweise nutzende Unternehmen, w\u00e4hrend Hochrisiko-Systeme nochmal deutlich strengeren Auflagen unterliegen.<\/p>\n
Allgemeine Pflichten f\u00fcr alle KI-Systeme:<\/strong><\/p>\n
- \n
- Transparenzpflichten<\/strong> gegen\u00fcber Nutzenden und Besch\u00e4ftigten: Betroffene m\u00fcssen erkennen k\u00f6nnen, dass und in welchem Kontext ein KI-System eingesetzt wird.<\/li>\n
- Kennzeichnung<\/strong> von KI-generierten Inhalten: KI-erzeugte oder manipulierte Inhalte (Deepfakes, synthetische Medien) sind klar als solche zu markieren, um T\u00e4uschung und Desinformation zu vermeiden.<\/li>\n
- Grundlegende Anforderungen an Daten- und Trainingsqualit\u00e4t<\/strong>: Verwendete Daten m\u00fcssen relevant, m\u00f6glichst fehlerfrei und f\u00fcr den jeweiligen Zweck geeignet sein.<\/li>\n
- Ma\u00dfnahmen zur Bias-Vermeidung<\/strong> in KI-Systemen: Unternehmen m\u00fcssen pr\u00fcfen, ob das System systematisch bestimmte Personengruppen benachteiligt.<\/li>\n
- Schulung und Kompetenzaufbau<\/strong> der Mitarbeitenden im Umgang mit KI: Mitarbeitende sollen die Funktionsweise, Grenzen und Risiken der eingesetzten KI verstehen.<\/li>\n
- Dokumentation<\/strong> aller eingesetzten KI-Systeme: Unternehmen m\u00fcssen Einsatzbereiche, Funktionsweise und Verantwortlichkeiten nachvollziehbar festhalten.<\/li>\n
- Mitwirkung<\/strong> bei Konformit\u00e4tsbewertung und Markt\u00fcberwachung: Unternehmen m\u00fcssen die Beh\u00f6rden durch die Bereitstellung von Informationen oder Unterlagen unterst\u00fctzen.<\/li>\n<\/ul>\n
Zus\u00e4tzliche Pflichten f\u00fcr Hochrisiko-Systeme:<\/strong><\/p>\n
- \n
- Umfassendes Risikomanagement<\/strong> \u00fcber den gesamten Lebenszyklus: Risiken sind von der Entwicklung bis zum laufenden Betrieb systematisch zu identifizieren und zu \u00fcberwachen.<\/li>\n
- Strenge technische Dokumentation mit l\u00fcckenlosen Nachweisen<\/strong>: Unternehmen m\u00fcssen den Aufbau, die Funktionslogik, die Trainingsdaten und das Pr\u00fcfverfahren detailliert dokumentieren.<\/li>\n
- Verpflichtende menschliche Aufsicht bei kritischen Entscheidungen<\/strong>: Menschen m\u00fcssen KI-Ergebnisse pr\u00fcfen, korrigieren oder im Bedarfsfall \u00fcbersteuern k\u00f6nnen.<\/li>\n
- Erh\u00f6hte Anforderungen an Robustheit und Cybersicherheit<\/strong>: Systeme m\u00fcssen stabil funktionieren und vor Manipulation, Missbrauch und Ausf\u00e4llen gesch\u00fctzt sein.<\/li>\n
- Formale Konformit\u00e4tsbewertung<\/strong> vor der Einf\u00fchrung des KI-Systems: Die Hochrisiko-KI darf erst eingesetzt werden, nachdem sie ein vorgeschriebenes Pr\u00fcfverfahren erfolgreich durchlaufen hat.<\/li>\n<\/ul>\n
Governance, Sanktionen und Zeitplan der KI-Verordnung<\/h2>\n
Die \u00dcberwachung der KI-VO erfolgt auf zwei Ebenen: Das neu geschaffene AI Office koordiniert auf EU-Ebene, w\u00e4hrend nationale Marktaufsichtsbeh\u00f6rden die Einhaltung in den Mitgliedstaaten kontrollieren.<\/p>\n
Bei Verst\u00f6\u00dfen drohen empfindliche Bu\u00dfgelder, die sich am weltweiten Jahresumsatz orientieren:<\/p>\n
- \n
- verbotene KI-Systeme: bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes<\/li>\n
- Verletzung von Hochrisiko-Pflichten: bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes<\/li>\n
- falsche Angaben gegen\u00fcber den Beh\u00f6rden: bis zu 7,5 Millionen Euro oder 1,5 % des Jahresumsatzes<\/li>\n<\/ul>\n
Der Zeitplan im \u00dcberblick, ab wann welche Regel gilt:<\/p>\n
- \n
- Februar 2025: Verbote f\u00fcr Systeme mit inakzeptablem Risiko sind in Kraft getreten<\/li>\n
- August 2025: Regelungen f\u00fcr Allzweck-KI-Modelle wurden wirksam<\/li>\n
- August 2026: vollst\u00e4ndige Anwendbarkeit aller Vorschriften f\u00fcr Hochrisiko-Systeme tritt in Kraft<\/li>\n<\/ul>\n
Handlungsempfehlungen f\u00fcr die KI-VO: So bereiten Sie sich vor<\/h2>\n
Unternehmen sollten jetzt mit der Vorbereitung beginnen. Eine systematische Vorgehensweise hilft, Compliance-Risiken zu minimieren.<\/p>\n
Checkliste f\u00fcr die Umsetzung:<\/strong><\/p>\n
- \n
- KI-Inventur durchf\u00fchren:<\/strong> Erfassen Sie alle KI-Systeme, die Sie entwickeln oder nutzen \u2013 von offensichtlichen Anwendungen bis zu versteckten KI-Komponenten in Software.<\/li>\n
- Risikobewertung vornehmen:<\/strong> Pr\u00fcfen Sie f\u00fcr jedes System, in welche Risikoklasse es f\u00e4llt. Besondere Aufmerksamkeit verdienen Anwendungen in Personalwesen, Kritischer Infrastruktur oder im Bereich Gesundheit sowie Bildung.<\/li>\n
- Compliance-Strukturen schaffen:<\/strong> Benennen Sie Verantwortliche f\u00fcr die KI-Governance, etablieren Sie Prozesse f\u00fcr das Risikomanagement und die Dokumentation.<\/li>\n
- Mitarbeitende systematisch schulen:<\/strong> Qualifizieren Sie Ihre Teams im Umgang mit KI-Systemen \u2013 die KI-VO verpflichtet dazu. Mitarbeitende m\u00fcssen verstehen, wie eingesetzte Systeme funktionieren, welche Risiken bestehen und wie sie verantwortungsvoll damit arbeiten.<\/li>\n<\/ul>\n
<\/p>\n
KI-Lernreise: Praxisnahes Wissen f\u00fcr die KI-Verordnung<\/h3>\n
Die Haufe Akademie unterst\u00fctzt Sie dabei, KI-Kompetenzen strukturiert aufzubauen und die Schulungspflichten der KI-VO umzusetzen. In unserem Whitepaper zur KI-Lernreise erfahren Sie, wie Sie Ihre Teams praxisnah qualifizieren und gleichzeitig Compliance-Anforderungen erf\u00fcllen.<\/p>\n
- Risikobewertung vornehmen:<\/strong> Pr\u00fcfen Sie f\u00fcr jedes System, in welche Risikoklasse es f\u00e4llt. Besondere Aufmerksamkeit verdienen Anwendungen in Personalwesen, Kritischer Infrastruktur oder im Bereich Gesundheit sowie Bildung.<\/li>\n
- KI-Inventur durchf\u00fchren:<\/strong> Erfassen Sie alle KI-Systeme, die Sie entwickeln oder nutzen \u2013 von offensichtlichen Anwendungen bis zu versteckten KI-Komponenten in Software.<\/li>\n
- Strenge technische Dokumentation mit l\u00fcckenlosen Nachweisen<\/strong>: Unternehmen m\u00fcssen den Aufbau, die Funktionslogik, die Trainingsdaten und das Pr\u00fcfverfahren detailliert dokumentieren.<\/li>\n
- Kennzeichnung<\/strong> von KI-generierten Inhalten: KI-erzeugte oder manipulierte Inhalte (Deepfakes, synthetische Medien) sind klar als solche zu markieren, um T\u00e4uschung und Desinformation zu vermeiden.<\/li>\n
- Transparenzpflichten<\/strong> gegen\u00fcber Nutzenden und Besch\u00e4ftigten: Betroffene m\u00fcssen erkennen k\u00f6nnen, dass und in welchem Kontext ein KI-System eingesetzt wird.<\/li>\n