Bereit für das EU-KI-Gesetz?

Was regelt der AI Act?

Mit dem AI Act hat die EU das weltweit erste umfassende Gesetz zum Umgang mit Künstlicher Intelligenz verabschiedet. „Das Ziel ist ein sicherer und ethisch korrekter Umgang mit KI“, sagt Mariusz Bucki, Head of Data Protection Services bei Creditreform Compliance Services. Die EU will sicherstellen, dass ihre hohen grundrechtlichen Maßstäbe durch KI nicht verwässert werden. „Der AI Act ist die in Europa übliche Produktsicherheitsregulierung, übertragen auf KI-Modelle und -Anwendungen“, sagt Fritz-Ulli Pieper, Rechtsanwalt und Partner im KI-Team der Kanzlei Taylor Wessing.
 

Was genau schreibt die Befähigungspflicht vor?

Seit dem 2. Februar 2025 fordert der AI Act eine sogenannte AI Literacy. Frei übersetzt, müssen alle Unternehmen, die KI anbieten oder nutzen, ihre Mitarbeiter befähigen, grundlegende Konzepte der KI zu verstehen und verantwortungsvoll anzuwenden. Konkrete Vorgaben an Inhalte, Form oder gar Zertifizierungen gibt es aber nicht. „Es geht um Grundlagen der Arbeit mit Künstlicher Intelligenz“, sagt Bucki. „Auch die Verbindung zum Datenschutz sollte eine Rolle spielen.“
 

Wie betrifft das KI-Gesetz Unternehmen?

Die Verordnung unterscheidet zwischen Anbietern und Nutzern (im Gesetz „Betreiber“) und teilt KI in vier Risikoklassen ein: von „nicht annehmbarem Risiko“ bis hin zu „minimalem oder keinem Risiko“. Das begrenze den Geltungsbereich des AI Act auf sehr spezifische Fälle, etwa auf Anbieter, deren Produkte ohnehin schon hoch reguliert sind wie die Automobilindustrie oder Medizinprodukte, sagt Pieper. „Einfache Nutzer von ChatGPT und ähnlicher Software sind kaum betroffen.“ Für sie gelten lediglich einige Befähigungs- und Transparenzpflichten.
 

Welche Regelungen folgen noch?

Der AI Act tritt schrittweise in Kraft. Vollumfänglich gilt er erst ab dem 2. August 2027. Dann greift unter anderem auch Artikel 50, der bestimmte Transparenzverpflichtungen regelt. „Wenn ich einen KI-Chatbot im Kundenservice betreibe, muss für User etwa ersichtlich sein, dass sie nicht mit einem Menschen chatten“, gibt Pieper ein Beispiel. Ebenso müssen KI-generierte Bilder und Videos gekennzeichnet sein, um zu verhindern, dass mit Deepfakes Tatsachen verfälscht oder Persönlichkeitsrechte verletzt werden.
 

Was passiert, wenn KI-Pflichten versäumt werden?

Das ist noch offen. Bis zum 2. August 2025 muss die Bundesregierung eine Marktüberwachungsbehörde benennen. Experten erwarten, dass diese – ähnlich wie bei der DSGVO – erst in den Hochrisikofällen genauer hinschaut und aktiv wird. „Von da aus wird sie schrittweise auch andere Unternehmen beobachten. Aber davon sind wir aktuell noch weit entfernt“, sagt Pieper. Wer eine KI-Richtlinie entwickele und sein Schulungskonzept gut dokumentiere, sei vorerst gut aufgestellt.

Quelle: Magazin "Creditreform"
Text: Christian Raschke