Veröffentlicht am: 13. Februar 2025 / Update vom: 13. Februar 2025 – Verfasser: Konrad Wolfenstein
KI-Systeme Hochrisiko-Systeme und der AI Act für die Praxis in Unternehmen und Behörden – Bild: Xpert.Digital
EU-KI-Gesetz: Neue Leitlinien der EU-Kommission – Was Unternehmen jetzt wissen müssen
KI-Systeme, Hochrisiko-Anwendungen und der AI Act in Unternehmen und Behörden
Die Europäische Kommission hat am 11. Februar 2025 umfassende Leitlinien zur praktischen Umsetzung des EU-KI-Gesetzes (AI Act) veröffentlicht. Diese sollen Unternehmen und Behörden dabei unterstützen, die Anforderungen des Gesetzes besser zu verstehen und konform umzusetzen. Besonders im Fokus stehen verbotene KI-Praktiken, Hochrisiko-Systeme und Maßnahmen zur Einhaltung der Vorschriften.
Wichtige Aspekte der Leitlinien
Verbotene KI-Praktiken
Der AI Act verbietet explizit bestimmte KI-Anwendungen, die als unannehmbar risikobehaftet eingestuft werden. Seit dem 2. Februar 2025 sind diese Verbote in Kraft. Dazu gehören unter anderem:
- KI-Systeme, die manipulative oder täuschende Techniken verwenden
- Systeme, die Schwachstellen bestimmter Personen oder Gruppen gezielt ausnutzen
- Soziale Bewertungssysteme (Social Scoring)
- KI zur Vorhersage potenzieller krimineller Handlungen ohne eindeutige Beweise
- Unkontrolliertes Scraping von Gesichtsbildern aus dem Internet zur biometrischen Identifikation
- Systeme zur Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen
- Biometrische Echtzeit-Identifikationssysteme in öffentlichen Räumen (mit wenigen Ausnahmen für Strafverfolgungsbehörden)
Diese Verbote sollen sicherstellen, dass KI-Technologien ethisch und verantwortungsvoll eingesetzt werden und keine Grundrechte verletzen.
Praktische Anwendung der Leitlinien
Die 140-seitigen Leitlinien der EU-Kommission enthalten zahlreiche praxisnahe Fallbeispiele, um Unternehmen und Behörden die korrekte Einordnung ihrer KI-Systeme zu erleichtern. Obwohl diese Leitlinien rechtlich nicht bindend sind, dienen sie als Referenz für Aufsichtsbehörden bei der Überwachung und Durchsetzung der Vorschriften.
Bedeutung für Unternehmen und Behörden
Unternehmen und Behörden müssen sich aktiv mit den Leitlinien auseinandersetzen, um:
- Ihre bestehenden KI-Systeme auf mögliche Verstöße zu überprüfen
- Frühzeitig notwendige Anpassungen vorzunehmen
- Interne Compliance-Strukturen aufzubauen, um Strafen zu vermeiden
Die Nichteinhaltung der Vorschriften kann schwerwiegende Konsequenzen haben. Die Sanktionen reichen bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes eines Unternehmens, je nachdem, welcher Betrag höher ist.
Nächste Schritte
Bevor die Leitlinien vollständig umgesetzt werden, müssen sie noch in alle EU-Amtssprachen übersetzt und formal verabschiedet werden. Dennoch sollten Unternehmen und Behörden proaktiv Maßnahmen ergreifen, um sich auf die schrittweise Einführung des AI Act vorzubereiten. Die vollständige Anwendung des Gesetzes ist für den 2. August 2026 vorgesehen.
Die Risikokategorisierung von KI-Systemen
Der EU AI Act teilt KI-Systeme in vier Risikoklassen ein, die jeweils unterschiedliche regulatorische Anforderungen mit sich bringen:
1. Unannehmbares Risiko – Verbotene KI-Systeme
Diese Systeme sind in der EU vollständig untersagt, da sie eine erhebliche Gefahr für die Rechte und Freiheiten der Bürger darstellen. Beispiele sind:
- KI-Systeme zur sozialen Bewertung (Social Scoring)
- Manipulative KI, die das Verhalten von Nutzern unbewusst beeinflusst
- Biometrische Echtzeit-Identifikation in öffentlichen Räumen für Strafverfolgungszwecke (mit wenigen Ausnahmen)
- KI-Systeme, die Schwachstellen aufgrund von Alter, Behinderung oder sozioökonomischem Status ausnutzen
2. Hohes Risiko – Strenge Regulierung erforderlich
Diese Systeme müssen strenge Anforderungen erfüllen und eine Konformitätsprüfung durchlaufen, bevor sie auf den Markt kommen. Sie umfassen:
- KI als Sicherheitskomponente in kritischen Produkten wie Medizinprodukten, Fahrzeugen oder Maschinen
- Eigenständige KI-Systeme mit Auswirkungen auf Grundrechte (z. B. Kreditwürdigkeitsprüfung, Bewerbungsscreening, Strafverfolgung, Justizverwaltung)
Für diese Anwendungen gelten umfangreiche Anforderungen an Transparenz, Risikomanagement, Datenqualität und menschliche Aufsicht.
3. Begrenztes Risiko – Transparenzpflichten
Diese Systeme müssen den Nutzern mitteilen, dass sie mit einer KI interagieren. Beispiele sind:
- Chatbots
- Deepfakes, die zur Erstellung oder Manipulation von Medieninhalten verwendet werden
4. Minimales oder kein Risiko – Freie Nutzung
Solche Systeme unterliegen keinen speziellen gesetzlichen Verpflichtungen, jedoch wird ein freiwilliger Verhaltenskodex empfohlen. Beispiele sind:
- KI-gestützte Videospiele
- Spamfilter
Hochrisiko-KI-Systeme und ihre Regulierung
Der AI Act definiert Hochrisiko-KI-Systeme als solche, die erhebliche Auswirkungen auf die Sicherheit, Gesundheit oder Grundrechte von Menschen haben. Diese lassen sich in zwei Hauptkategorien unterteilen:
1. KI als Sicherheitskomponente oder eigenständiges Produkt
Ein KI-System wird als Hochrisiko eingestuft, wenn es entweder:
- Als Sicherheitskomponente eines Produkts fungiert, das unter EU-Harmonisierungsvorschriften fällt, oder
- Einer Konformitätsbewertung unterliegt, da es potenzielle Gefahren birgt.
Beispiele für solche Produkte sind:
- KI in medizinischen Geräten (z. B. Diagnosesysteme)
- KI-gestützte Fahrassistenzsysteme
- KI in der industriellen Produktion zur Risikobewertung und Qualitätssicherung
2. Eigenständige Hochrisiko-KI-Systeme mit gesellschaftlicher Relevanz
Diese Systeme sind in Anhang III des AI Act aufgeführt und betreffen kritische gesellschaftliche Bereiche wie:
a) Kritische Infrastrukturen
- KI zur Steuerung und Überwachung von Stromnetzen oder Verkehrsnetzen
b) Bildung und Beschäftigung
- KI zur automatisierten Bewertung von Prüfungen
- KI zur Auswahl von Bewerbern oder Leistungsbewertung von Mitarbeitern
c) Zugang zu Finanz- und Sozialleistungen
- KI-gestützte Kreditwürdigkeitsprüfungen
- Systeme zur Bewertung der Anspruchsberechtigung für soziale Leistungen
d) Strafverfolgung und Justiz
- KI für Beweismittelanalyse und Ermittlungsunterstützung
- KI-gestützte Systeme für Grenzkontrollen und Migrationsmanagement
e) Biometrische Identifikation
- Systeme zur biometrischen Fernidentifikation
- Emotionserkennungssysteme in sicherheitskritischen Umgebungen
Für all diese Hochrisiko-KI-Anwendungen gelten strenge Anforderungen an Risikomanagement, Transparenz, Datenverarbeitung, technische Dokumentation und menschliche Überwachung.
AI Act der EU: Wie Unternehmen sich auf die strengen KI-Vorschriften vorbereiten können
Der AI Act der EU setzt einen klaren Rahmen für den Einsatz von KI-Technologien und legt besonderen Wert auf den Schutz der Grundrechte. Unternehmen und Behörden müssen sich intensiv mit den neuen Vorschriften auseinandersetzen und ihre KI-Anwendungen entsprechend anpassen, um Sanktionen zu vermeiden. Besonders für Hochrisiko-Systeme gelten strenge Anforderungen, die frühzeitig in die Entwicklungs- und Implementierungsprozesse integriert werden sollten.
Die kontinuierliche Überwachung der Gesetzgebung und proaktive Compliance-Maßnahmen sind essenziell, um den Einsatz von KI verantwortungsvoll zu gestalten und gleichzeitig Innovationen innerhalb der gesetzlichen Rahmenbedingungen zu fördern. Die kommenden Jahre werden zeigen, wie sich der AI Act in der Praxis bewährt und welche weiteren Anpassungen erforderlich sein könnten.
Passend dazu:
Ihr globaler Marketing und Business Development Partner
☑️ Unsere Geschäftssprache ist Englisch oder Deutsch
☑️ NEU: Schriftverkehr in Ihrer Landessprache!
Konrad Wolfenstein
Gerne stehe ich Ihnen und mein Team als persönlicher Berater zur Verfügung.
Sie können mit mir Kontakt aufnehmen, indem Sie hier das Kontaktformular ausfüllen oder rufen Sie mich einfach unter +49 89 89 674 804 (München) an. Meine E-Mail Adresse lautet: wolfenstein∂xpert.digital
Ich freue mich auf unser gemeinsames Projekt.