AI Act: Wer KI nutzt, braucht künftig nicht nur gute Prompts – sondern saubere Prozesse, klare Verantwortung und Nachweise
Was steckt dahinter – und warum betrifft es uns alle?
Stellen Sie sich KI wie ein sehr schnelles, teilweise erstaunlich schlaues „Zusatzgehirn“ vor:
Sie schreibt Texte, analysiert Daten, bewertet Risiken, unterstützt Hotlines oder sortiert Bewerbungen.
Gerade weil KI so leistungsfähig ist, führt die EU mit dem AI Act erstmals einen umfassenden Rechtsrahmen ein. Ziel ist es, Innovation zu ermöglichen und gleichzeitig Grundrechte, Sicherheit und Transparenz zu schützen.
Der AI Act folgt einem risikobasierten Ansatz:
Je höher das Risiko für Menschen oder Grundrechte, desto strenger die Anforderungen. Besonders gefährliche Anwendungen wie manipulative KI Systeme oder Social Scoring werden verboten. Hochrisiko KI hingegen bleibt erlaubt, unterliegt aber strengen Auflagen.
Und weil KI längst im Alltag angekommen ist – in Chatbots, Banking, Bildern, Videos oder automatisierten Entscheidungen – betrifft der AI Act Unternehmen, Mitarbeitende und Bürgerinnen gleichermaßen.
Kurzfassung für Techniker*innen: Das Wichtigste in 60 Sekunden
• Rechtsrahmen: EU Verordnung 2024/1689 („AI Act“), gilt unmittelbar in allen Mitgliedstaaten.
• Risikoklassen:
• Unannehmbar: verboten (z. B. Manipulation, Social Scoring).
• Hohes Risiko: erlaubt, aber stark reguliert (Risikomanagement, Human Oversight, Dokumentation).
• Begrenztes Risiko: Transparenzpflichten (z. B. Kennzeichnung).
• Minimales Risiko: weitgehend unreguliert.
• Transparenz: KI generierte Inhalte und Chatbots müssen erkennbar sein.
Ausführliche Fassung für Techniker*innen
1. Der AI Act – der europäische Grundbauplan für KI
Der AI Act schafft erstmals einen einheitlichen EU Rechtsrahmen für künstliche Intelligenz. Er regelt, wie KI Systeme entwickelt, in Verkehr gebracht und betrieben werden dürfen – inklusive technischer Anforderungen, Transparenz, Aufsicht und Verantwortlichkeiten.
Ziel ist nicht, KI zu bremsen, sondern sie vertrauenswürdig, nachvollziehbar und sicher einzusetzen.
2. Die Risikoklassen im Überblick
Unannehmbares Risiko
Vollständig verboten. Dazu zählen KI Systeme, die Menschen unterschwellig manipulieren, ihre Schwächen gezielt ausnutzen oder sie sozial bewerten (z. B. Social Scoring oder bestimmte Formen biometrischer Echtzeitüberwachung).
Hohes Risiko
Erlaubt, aber stark reguliert – u. a. in Bereichen wie:
• HR & Recruiting
• kritische Infrastruktur
• Gesundheitswesen
• Finanzwesen
• Justiz & Verwaltung
Typische Pflichten:
• Risikomanagement
• technische Dokumentation
• Konformitätsbewertung
• Human Oversight
• laufende Überwachung
Begrenztes Risiko
Vor allem Transparenzpflichten, etwa die Kennzeichnung von Chatbots oder KI generierten Bildern/Videos.
Minimales Risiko
Alltägliche Anwendungen (z. B. einfache Filter, KI in Spielen) sind weitgehend frei nutzbar.
3. Transparenz als Leitprinzip
Ob Hotline Bot, generierte Bilder oder automatisierte Empfehlungen:
Nutzerinnen und Nutzer sollen erkennen können, wann KI im Einsatz ist oder KI Inhalte konsumiert werden.
4. Rollen im AI Act – wer trägt welche Verantwortung?
Provider
Entwickeln KI Systeme und bringen sie auf den Markt.
Sie tragen die umfangreichsten Pflichten, z. B. in Bezug auf Dokumentation, Modellqualität, Konformität und Risikobewertung.
Deployer (berufliche Nutzer)
Nutzen KI Systeme im beruflichen Kontext.
Deployer haben eigene gesetzliche Pflichten, insbesondere bei Hochrisiko KI, u. a.:
• Nutzung gemäß Anleitung des Providers
• Organisation von Human Oversight
• Sicherstellung geeigneter Input Daten (sofern unter eigener Kontrolle)
• Überwachung des laufenden Betriebs
• Speicherung von Log Daten (mindestens 6 Monate bei High Risk KI)
• Informationspflichten gegenüber Beschäftigten und Betroffenen
• Meldung von Risiken oder Vorfällen an Provider und Aufsicht
• Sicherstellung ausreichender AI Kompetenz (AI Literacy) bei Mitarbeitenden
Deployer sind damit keine „passiven Anwender“, sondern aktiv in Governance und Betrieb eingebunden.
Endverbraucher
Endverbraucher nutzen KI privat.
Sie haben keine eigenen Pflichten, profitieren aber von Transparenz und Schutzmechanismen.
5. Aufsicht und Kontrolle
Die EU richtet ein zentrales AI Office ein; die Mitgliedstaaten bauen nationale Marktaufsichtsbehörden auf.
Unternehmen müssen künftig nachweisen können, dass ihre KI Systeme regelkonform eingesetzt werden.
6. Zeitliche Anwendung
• 02.02.2025: Verbot unannehmbarer KI Praktiken + Pflicht zu AI Kompetenz
• Mai 2025: Codes of Practice für GPAI
• 02.08.2025: GPAI Regeln und zusätzliche Pflichten für leistungsstarke Modelle
• 02.08.2026: Hauptpflichten für Hochrisiko KI
• Bis 2027: Übergangsfristen für einzelne Sektoren und bestehende Systeme
Was bedeutet das konkret für IT Administrator*innen?
Der AI Act macht KI zu einem regulierten IT System.
Zentrale Aufgaben:
• Transparenz schaffen über eingesetzte KI Anwendungen
• Logging, Zugriffskontrollen, Rollen & Freigaben technisch absichern
• Monitoring, Tests und Qualitätssicherung ermöglichen
• Schulungen und sichere Nutzungsstandards unterstützen
Kurz gesagt: KI wandert von der Spielwiese in den regulierten Betrieb.
Was habe ich davon als Anwenderin oder Anwender?
• Mehr Transparenz: KI wird erkennbar
• Mehr Fairness: Schutz vor diskriminierenden Hochrisiko Entscheidungen
• Mehr Sicherheit: Pflicht zur Überwachung & Prüfung
• Mehr Orientierung: klare Regeln und bessere Schulungen
So gelingt die Einführung – Tipps aus der Praxis
1. Use Cases klassifizieren
Nicht mit Tools starten, sondern mit der Frage:
Welches Problem soll KI lösen?
Unternehmen sollten ihre KI Anwendungen systematisch identifizieren und risikobasiert einordnen, um Pflichten korrekt bewerten zu können.
Ein internes KI Register ist nicht für alle Unternehmen gesetzlich verpflichtend, aber eine Best Practice, um Transparenz und Governance sicherzustellen.
Rechtlich verpflichtend sind hingegen die Konformitäts und Dokumentationspflichten für High Risk KI, sowie die Registrierung solcher Systeme in der EU Datenbank, sofern anwendbar.
2. Schutzgeländer früh setzen
Kennzeichnung, Datenregeln, Zugriffe und Review Prozesse vor breiter Nutzung definieren.
3. High Risk KI professionell managen
Risikomanagement, Monitoring, Human Oversight und klare Verantwortlichkeiten etablieren.
4. Schulung in zwei Stufen
• Grundlagen für alle Mitarbeitenden
• Vertiefung für Admins und KI Verantwortliche
KI ist kein Feature – KI ist ein System, das betrieben werden muss.
Quellen
• Bundesregierung: EU verabschiedet erstes KI Gesetz – AI Act
https://www.bundesregierung.de/breg-de/aktuelles/ai-act-2285944
• Verbraucherzentrale: AI Act – Was regelt die europäische KI Verordnung?
https://www.verbraucherzentrale-niedersachsen.de/themen/internet-telefon/datenschutz/ai-act-was-regelt-die-neue-europaeische-ki-verordnung
• EUR Lex: Verordnung (EU) 2024/1689 – Artificial Intelligence Act
https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng
• EU Kommission: Guidelines zu verbotenen KI Praktiken
https://digital-strategy.ec.europa.eu/de/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act
Disclaimer
Dieser Text erhebt keinen Anspruch auf vollständige Korrektheit. Die enthaltenen Informationen dienen ausschließlich als Anregungen und ersetzen keine individuelle Beratung oder weiterführende Recherche. Änderungen in der Sachlage können die dargestellten Inhalte beeinflussen. Bitte ziehe bei konkreten Entscheidungen stets zusätzliche, verlässliche Quellen hinzu. Ruf uns zum Beispiel an. Unsere Consultants helfen gerne: Kontaktdaten unter https://eitieCloud.de