Die EU KI-Verordnung: Der AI-Act einfach erklärt

Generative KI wirbelt viel digitalen Staub auf und krempelt manche Branchen heftig um. Die meisten Unternehmer erwarten sich von KI Effizienzgewinne, gleichzeitig gibt es u.a. Bedenken in Richtung Datensicherheit und Kennzeichnungspflichten. Die EU KI-Verordnung alias „AI-Act“ bietet dafür ein Regelwerk zum Schutz und dient gleichzeitig als Leitlinie für den Einsatz von KI-Systemen.

Die im August 2024 verabschiedete Verordnung regelt europaweit den Einsatz Künstlicher Intelligenz. Doch was bedeutet das konkret für Unternehmen?
RA Dr. Staffler hat für uns den AI-Act in Folge 11 meines Podcasts auf das Wesentliche heruntergebrochen 🙂

Der AI-Act einfach erklärt:

Zwei Ziele, ein System

Im Grunde sind es zwei Ziele die der AI-Act verfolgt: Einerseits will er Innovation fördern und gleichzeitig Grundrechte schützen. Das Prinzip dahinter: In Europa soll nur qualitativ hochwertige KI zum Einsatz kommen. Alle Regelungen im AI-Act spiegeln genau diese Balance wider – zwischen Schutz und Qualität.

Die drei Risikokategorien auf einen Blick, die gleich erklärt werden
1. Verbotene KI- Praktiken – betreffen Grundrechte
2. Hochrisiko KI-Systeme – betreffen sensible Bereiche
3. Geringes oder minimales Risiko – hier gelten Transparenzvorschriften
Und: Im Unternehmenskontext gilt seit Februar 2025 Schulungspflicht für Mitarbeitende!

Dr. Staffler erklärt den AI-Act anhand einer Pyramide mit drei Risikokategorien:

1. An der Spitze: Verbotene KI-Praktiken

Ganz oben stehen wenige, aber klar definierte Anwendungen, die komplett verboten sind. Diese betreffen besonders kritische Bereiche, in denen KI-Einsatz massive Grundrechtseingriffe bedeuten würde. Diese sind in Artikel 5 geregelt – und dienen ganz klar dem Schutz von Personen und ihrer Grundrechte.

1. Subliminale Manipulation – unterschwellige Beeinflussung
2. Social Scoring – wie es z.B. in China praktiziert wird
3. Echtzeit-Biometrie – Massenüberwachung im öffentlichen Raum
4. Emotionserkennung – am Arbeitsplatz oder in Schulen
5. Unzulässiges Profiling – Kategorisierung nach sensiblen Merkmalen

2. Die Mitte: Hochrisiko KI-Systeme

Hier finden sich Anwendungen in besonders sensiblen Bereichen:

• Kreditvergabe: Wenn Banken KI bei Kreditentscheidungen einsetzen, müssen entsprechende Qualitäts- und Compliance-Management-Systeme aktiv sein. Denn solche Entscheidungen haben erhebliche Auswirkungen auf Einzelpersonen.
• HR und Bewerbungsverfahren: Wird ein Bewerber von KI aussortiert, muss sichergestellt sein, dass das System sauber arbeitet, nicht mit diskriminierenden Daten arbeitet und keine fehlerhaften Entscheidungen trifft – etwa aufgrund der Wohnadresse oder anderer irrelevanter Faktoren.
• Medizinische Anwendungen und weitere regulierte Bereiche

Diese Hochrisiko-Anwendungen sind erlaubt, erfordern aber Qualitätsmanagement, Risikomanagement und saubere Datenverarbeitung, um Diskriminierungen und Fehler zu vermeiden.

3. Die Basis: Transparenzpflichten

Die größte Kategorie betrifft das sogenannte „Transparenzrisiko“ (Artikel 50 AI-Act). Hier gilt ein einfaches Prinzip: Bürger sollen wissen, wenn sie mit KI interagieren.

Konkret bedeutet das:

• Chatbots müssen sich als KI-Tools ausweisen
• KI-generierte Bilder und Videos müssen entsprechend gekennzeichnet werden
• KI-generierte Inhalte müssen transparent kommuniziert werden

Ein praktisches Beispiel: Wenn ein Immobilienunternehmen Bilder eines Hauses postet, sollte als Kunde erkennbar sein, ob es sich um den Realzustand oder ein „aufgehübschtes“ KI-Bild handelt. Diese Transparenz schafft Vertrauen und ermöglicht fundierte Entscheidungen.

Eine Pflicht gilt in Unternehmen immer: Die Schulungspflicht

Außerhalb dieser drei Risikokategorien greift nur eine einzige Pflicht: Die Schulungspflicht. Seit Februar 2025 müssen Unternehmen, die KI im Business-Kontext einsetzen, ihre Mitarbeitenden entsprechend schulen.

Praxischeck: KI oder“nur“ klassische Automatisierung?

Ein wichtiger Hinweis: Nicht jede Automatisierung ist KI. Dh. für klassische „Wenn-Dann“-Systeme, die nicht keine Daten verarbeiten, greift der AI-Act nicht. Im Zweifel sollten Unternehmen jedoch davon ausgehen, dass es sich um KI handelt, und entsprechende Vorsichtsmaßnahmen treffen.

So tritt der AI-Act in Kraft: 3 Etappen

• Februar 2025: Schulungspflicht und Verbot bestimmter KI-Praktiken traten in Kraft
• August 2025: Regelungen für große General Purpose AI-Hersteller
• August 2026: Fast alle Regeln werden scharf gestellt

Fazit: In Use-Cases denken

Dr. Stafflers Empfehlung: Unternehmen sollten in Use-Cases denken. Wo setze ich KI ein? Was ist der Mehrwert? Welche Risiken bestehen für betroffene Stakeholder? Daraus lassen sich dann entsprechende Compliance-Systeme entwickeln.

Möchtest du prüfen, was du im Sinne des AI-Acts beachten solltest?
Dann lade dir die Mini-Checkliste zum AI-Act herunter und verschaffe dir einen ersten Überblick über die wichtigsten Punkte!

„Respekt ja, Angst nein.“ – so fasst Rechtsanwalt Dr. Lukas Staffler seine zentrale Botschaft zum EU AI-Act zusammen. Die im August 2024 verabschiedete Verordnung regelt europaweit den Einsatz Künstlicher Intelligenz.

Hier geht es direkt zur ca. 20-minütigen Podcastfolge „Der AI-Act einfach erklärt“ mit RA Dr. Staffler

Wenn du regelmäßig Tipps zu Online-Marketing und Content-Strategie bekommen möchtest: Trag dich am besten gleich in meinen Newsletter ein und erhalte nützliche Tipps zu Content, Marketing und KI.

Über aktuelle Themen rund um KI und Transformation spreche ich jeden 2. Dienstag im Podcast „Vom Hype zum Handeln“ mit einem Gast >> Hier findest du die

• Zusammenfassungen aller Podcastbeiträge inkl. Verlinkung der Audios
• abonniere „Vom Hype zum Handeln“ über das Podcast-Verzeichnis .