Data Governance

EU KI Gesetz verstehen – Hintergrund, Vorschriften und Umsetzung

Das neue EU-KI-Gesetz setzt weltweit Maßstäbe für die Regulierung von KI-Systemen. Erfahre, wie der risikobasierte Ansatz funktioniert, welche Bußgelder drohen könnten und wie Kertos dich bei der Einhaltung unterstützt.

Autor
Dr. Kilian Schmidt
Datum
2.3.2025
Aktualisiert am
28.2.2025
EU KI Gesetz verstehen – Hintergrund, Vorschriften und Umsetzung
  • Das EU-KI-Gesetz ist der weltweit erste umfassende Rechtsrahmen zur Regulierung von KI, der ein Gleichgewicht zwischen Innovation und den Grundrechten der EU-Bürger schaffen soll.
  • Es folgt einem risikobasierten Ansatz, der KI-Systeme in vier Kategorien einteilt: minimales, begrenztes, hohes und inakzeptables Risiko, wobei strenge Regeln für hochriskante Anwendungen gelten.
  • Unternehmen, die gegen das EU-KI-Gesetz verstoßen, müssen mit hohen Bußgeldern rechnen, die bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes betragen können.
  • Das Gesetz trat im August 2024 in Kraft und wird innerhalb von zwei Jahren vollständig umgesetzt, wobei gestaffelte Fristen für die Einhaltung von Vorschriften gelten.
  • Kertos unterstützt Unternehmen bei der Erfüllung der Compliance-Anforderungen für risikoreiche KI-Systeme und bietet Lösungen zur Sicherstellung der Einhaltung des EU-KI-Gesetzes.

Kometenhafter Aufstieg von KI birgt Risiken

In den letzten Jahren hat uns das enorme Potenzial der künstlichen Intelligenz begeistert, insbesondere durch die rasche Verbreitung großer Sprachmodelle (LLM), generativer KI und Automatisierungswerkzeuge. Der zunehmende Einsatz von KI zur Entscheidungsfindung in risikoreichen Bereichen wie Gesundheitswesen, Personalbeschaffung, Bildung und E-Commerce hat jedoch ethische, gesellschaftliche und wirtschaftliche Bedenken ausgelöst.  

Die Mängel der KI, die mit der potenziellen Verletzung der Privatsphäre des Einzelnen, der verstärkten Vorurteile, den undurchsichtigen Entscheidungsprozessen und der algorithmischen Entmenschlichung einhergehen, geben Anlass zu ernsten Bedenken und machen eine Regulierung erforderlich. Die Entwicklung hat einen Wendepunkt erreicht, an dem ihre Fähigkeiten und ihre Nutzung mit ihren Auswirkungen auf die Gesellschaft abgewogen werden müssen. Die bestehenden Vorschriften boten keinen ausreichenden Schutz gegen die Anpassungsfähigkeit, die ethischen Auswirkungen und die rasante Entwicklung.  

Das EU-Gesetz über künstliche Intelligenz

Das EU-KI-Gesetz, auch Gesetz über künstliche Intelligenz der Europäischen Union genannt, wurde mit dem Ziel erlassen, die Entwicklung und/oder Nutzung von KI in der EU zu regeln. Es zielt darauf ab, ein empfindliches Gleichgewicht zwischen der Innovation, die KI mit sich bringt, und den Grundrechten der Bürger der Europäischen Union herzustellen. Das EU-KI-Gesetz bildet zusammen mit dem KI-Innovationspaket und dem koordinierten Plan für KI ein konsolidiertes Paket politischer Maßnahmen, die die Entwicklung vertrauenswürdiger KI in Europa und darüber hinaus unterstützen sollen.  

Es ist der erste umfassende Rechtsrahmen für KI weltweit und hat schwerwiegende Folgen für alle wichtigen Akteure in der KI-Wertschöpfungskette. Der Geltungsbereich des EU-KI-Gesetzes ist ähnlich wie der der Datenschutzgrundverordnung. Das bedeutet, dass jeder Anbieter, der sein KI-System in der EU auf den Markt bringt oder einsetzt, zur Einhaltung des Gesetzes verpflichtet ist, unabhängig davon, ob er einem Nicht-EU-Staat angehört. Solange die KI-Systeme von Nicht-EU-Unternehmen EU-Bürger betreffen, sind sie auch an die extraterritoriale Anwendung des Gesetzes gebunden.  

Die wichtigsten Akteure in der KI-Wertschöpfungskette:

  1. Anbieter: Entwickler von KI-Systemen oder allgemeinen KI-Modellen
  2. Anwender: Nutzer oder Implementierer von KI-Systemen  
  3. Importeure: Diejenigen, die KI-Systeme von außerhalb der EU auf den EU-Markt bringen  

Risikobasierter Ansatz für die Regulierung

Der EU- Gesetzentwurf verfolgt einen risikobasierten Ansatz für die Regulierung. Sie kategorisiert KI-Produkte in vier Kategorien, basierend auf dem jeweiligen Risikoniveau. Die vier Risikoklassen umfassen minimales Risiko, begrenztes Risiko, hohes Risiko und inakzeptables Risiko.  Geringes Risiko Das Gesetz erlaubt den freien Einsatz von KI-Produkten mit minimalem Risiko. Die Entwickler dieser Produkte müssen keine zusätzlichen Vorsichtsmaßnahmen treffen. Die große Mehrheit der in der EU verwendeten KI-Anwendungen fällt in diese Kategorie. Beispiele hierfür sind KI-gestützte Videospiele, Spam-Filter usw.  

Begrenztes Risiko

Begrenztes Risiko bezieht sich auf KI-Systeme, bei denen die Entwickler für Transparenz sorgen müssen, indem sie offenlegen, dass die Nutzer mit der KI interagieren. Wenn Websites beispielsweise Chatbots zur Unterstützung einsetzen, müssen die Nutzer darüber informiert werden, dass sie mit einer Maschine interagieren, damit sie eine fundierte Entscheidung darüber treffen können, ob sie zurücktreten oder fortfahren möchten.  

Unannehmbare Risiken  

Artikel 5 stuft bestimmte KI-Technologien, die schädlich sind und gegen die Werte der EU und die Grundrechte der EU-Bürger verstoßen, als „inakzeptables Risiko“ ein. Die Verwendung, das Angebot und die Inbetriebnahme solcher Produkte sind nach dem Gesetz streng verboten. Einige Beispiele für inakzeptable Anwendungsfälle sind das ungezielte Auslesen von Gesichtsaufnahmen aus dem Internet, biometrische Identifizierungssysteme in Echtzeit und soziale Bewertungssysteme, denen es an Transparenz, Fairness oder Verantwortlichkeit fehlt, insbesondere bei Entscheidungsprozessen.  

Hohes Risiko

Artikel 6 des Gesetzes bezeichnet KI-Systeme, die das Potenzial haben, die Sicherheit, die Grundrechte oder andere kritische Aspekte zu beeinträchtigen als hochriskant. Auch solche Produkte oder Sicherheitskomponenten von Produkten gelten als hochriskant und werden durch spezifische EU-Gesetze geregelt, auf die im Gesetz verwiesen wird, wie z. B. die Gesetze zur Sicherheit von Spielzeug und In-vitro-Diagnostika.  

Zu den Faktoren, die ein KI-System als hochriskant einstufen, gehören die folgenden:

  • KI-Systeme, die zur Bewertung von Bewerbern im Beschäftigungskontext eingesetzt werden.  
  • Verwaltung kritischer Infrastrukturen, die das Leben und die Gesundheit der Bürger gefährden könnten.  
  • Automatisierte Verwaltung von Migration, Asyl oder Grenzkontrollen.  
  • Bestimmung des Zugangs zu grundlegenden öffentlichen Dienstleistungen, einschließlich Systemen, die den Anspruch auf öffentliche Leistungen abfragen und Kreditwürdigkeitsprüfungen vornehmen.  
  • Justizielle und demokratische Systeme, die das Ergebnis von Wahlen beeinflussen sollen.  
  • Biometrische Identifizierungssysteme, die nicht verboten sind, mit Ausnahme von Systemen, deren einziger Zweck darin besteht, die Identität einer Person zu überprüfen.  

Ausnahmen von der Hochrisikokategorie sind möglich, wenn eines oder mehrere der im Gesetz genannten Kriterien erfüllt sind, darunter:

  • Eine enge verfahrenstechnische Aufgabe muss mit Hilfe von KI-Anwendungen durchgeführt werden.  
  • Eine richterliche oder andere unabhängige Behörde genehmigt den Einsatz der KI-Anwendung, wobei die geografische Reichweite, die durchsuchten Datenbanken und der Zeitrahmen begrenzt sind.  

Anbieter von KI-Systemen mit hohem Risiko müssen sich der Konformitätsbewertung unterziehen und die unten genannten Anforderungen erfüllen:

  • Überprüfung der Einhaltung der technischen Standards in Bezug auf Sicherheit, Genauigkeit, Transparenz und Rechenschaftspflicht.  
  • Durchführung einer internen Konformitätsbewertung oder einer Bewertung durch einen Dritten  
  • Sicherstellung, dass das KI-System mit den EU-Vorschriften zu Menschenrechten, Datenschutz und Sicherheit in Einklang steht.  

Durchsetzung und Umsetzung

Die Nichteinhaltung verbotener AI-Praktiken kann zu Bußgeldern von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Bei Verstößen der Hochrisikokategorie können Bußgelder in Höhe von bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes verhängt werden.  

Darüber hinaus kann die Irreführung der Behörden durch die Weitergabe falscher oder unvollständiger Informationen mit 7.500.000 EUR oder 1 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Für KMU und Start-ups sieht das Gesetz niedrigere Bußgelder vor, da Innovation der Schlüsselfaktor ist, der größtenteils vom sogenannten Start-up-Ökosystem ausgeht.  

„Gemäß Artikel 99 Absatz 6 des EU-KI-Gesetzes beträgt jede in diesem Artikel genannte Geldbuße bis zu den in den Absätzen 3, 4 und 5 genannten Prozentsätzen oder Beträgen, je nachdem, welcher dieser Beträge niedriger ist.“  

Das im Februar 2024 von der Europäischen Kommission eingerichtete Europäische Amt für geistiges Eigentum überwacht die Durchsetzung und Umsetzung des Gesetzes in den Mitgliedsstaaten. Ziel ist es, ein sicheres Umfeld für den Einsatz von KI zu schaffen, in dem KI-Technologien die Würde, die Rechte und das Vertrauen der Menschen respektieren.

Zeitplan der Umsetzung

  • Es trat am 1. August 2024 in Kraft und wird 2 Jahre später vollständig anwendbar sein.  
  • Ab dem Datum des Inkrafttretens sieht das Gesetz eine sechsmonatige Frist für die Unternehmen vor, um „unannehmbare Risiken“ auslaufen zu lassen.  
  • Nach 12 Monaten treten die GPAI-Vorschriften für neue GPAI-Modelle in Kraft; diejenigen, die 12 Monate vor Inkrafttreten des Gesetzes bereits auf dem Markt sind, haben ab dem Datum des Inkrafttretens 36 Monate Zeit, die Vorschriften zu erfüllen.  
  • Nach 24 Monaten treten die Vorschriften zur Regulierung von „Hochrisiko“-Anwendungen in Kraft.  
  • Nach 36 Monaten gelten die Vorschriften für KI-Systeme, bei denen es sich um Produkte oder Sicherheitsbauteile von Produkten handelt, die durch spezifische EU-Gesetze geregelt sind.  

Schlussfolgerung

Der Bedarf an gezielten KI-spezifischen Rechtsvorschriften ist mit der Verabschiedung des EU-KI-Gesetzes, einer lang erwarteten Verordnung, erfüllt worden. Nach ihrer Verabschiedung erregt sie weltweit unterschiedliche Aufmerksamkeit. Sie wird auch als Maßstab für die KI-Branche angesehen, ähnlich wie die Einführung der DSGVO im Jahr 2018 für den Datenschutz.  

Mit Kertos kannst du damit beginnen, die Compliance-Anforderungen für risikoreiche KI-Systeme zu erfüllen. Unsere Experten bewerten dein KI-System, um das Risikoniveau zu prüfen, führen dich durch die Implementierung der notwendigen Schutzmaßnahmen und stellen die Einhaltung des EU-KI-Gesetzes sicher.

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Jetzt downloaden
EU KI Gesetz verstehen – Hintergrund, Vorschriften und Umsetzung
Bereit, deine Compliance auf Autopilot zu setzen?
Angebot anfordern
Dr Kilian Schmidt

Dr Kilian Schmidt

CEO & Co-Founder, Kertos GmbH

Dr. Kilian Schmidt entwickelte schon früh ein starkes Interesse an rechtlichen Prozessen. Nach seinem Studium der Rechtswissenschaften begann er seine Karriere als Senior Legal Counsel und Datenschutzbeauftragter bei der Home24 Gruppe. Nach einer Tätigkeit bei Freshfields Bruckhaus Deringer wechselte er zu TIER Mobility, wo er als General Counsel maßgeblich am Ausbau der Rechts- und Public Policy-Abteilung beteiligt war - und das Unternehmen von einer auf 65 Städte und von 50 auf 800 Mitarbeiter vergrößerte. Motiviert durch die begrenzten technologischen Fortschritte im Rechtsbereich und inspiriert durch seine beratende Tätigkeit bei Gorillas Technologies, war er Co-Founder von Kertos, um die nächste Generation der europäischen Datenschutztechnologie zu entwickeln.

Über Kertos

Kertos ist das moderne Rückgrat der Datenschutz- und Compliance-Aktivitäten von skalierenden Unternehmen. Wir befähigen unsere Kunden, integrale Datenschutz- und Informationssicherheitsprozesse nach DSGVO, ISO 27001, TISAX®, SOC2 und vielen weiteren Standards durch Automatisierung schnell und günstig zu implementieren.

Bereit für Entlastung in Sachen DSGVO?

Angebot anfordernPlattform entdecken
CTA Image

ARTIKEL

Other Articles

Mobile Device Management für die ISO 27001 Compliance
Informationssicherheit
All
Mobile Device Management für die ISO 27001 Compliance

In den letzten Jahren haben mobile Endgeräte eine unübersehbare Präsenz in der Geschäftswelt gefunden. Der weit verbreitete Einsatz mobiler Geräte in Unternehmen wurde durch den von COVID ausgelösten Trend zur Fernarbeit noch verstärkt.

Jetzt reinhören
Kertos 2.0: Die nächste Generation der Compliance ist da!
Data Governance
All
Kertos 2.0: Die nächste Generation der Compliance ist da!

Dies ist ein bedeutender Moment für uns bei Kertos – und für die Zukunft der Compliance! Unternehmen in Europa stehen vor der Herausforderung, zu wachsen, Innovationen voranzutreiben und zu skalieren. Compliance sollte dabei keine Hürde sein, sondern ein echter Enabler. Genau deshalb gehen wir neue Wege und definieren Compliance neu: intuitiv, mühselos und KI-gestützt.

Jetzt reinhören
Shadow IT und seine Bedeutung in modernen B2B-Umgebungen
Informationssicherheit
All
Shadow IT und seine Bedeutung in modernen B2B-Umgebungen

Die Shadow IT ähnelt der Geschichte von trojanischen Pferden und Insider-Bedrohungen in einer B2B-Umgebung. So wie die unbeabsichtigten Handlungen der Wachen das Schloss für Eindringlinge öffnen, können Mitarbeiter unwissentlich ein Tor für Cyberkriminelle öffnen.

Jetzt reinhören