Was ist der EU AI Act?

Der EU AI Act (Verordnung 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er legt Pflichten für Anbieter, Betreiber und weitere Akteure entlang der KI-Wertschöpfungskette fest.

Welche Fristen gelten für den EU AI Act?

Die erste Frist (verbotene KI-Praktiken nach Art. 5) gilt seit Februar 2025. GPAI-Pflichten greifen seit August 2025. Hochrisiko-Pflichten gelten ab August 2026.

Für wen gilt der EU AI Act?

Der EU AI Act gilt für alle Akteure, die KI-Systeme in der EU anbieten oder betreiben – unabhängig vom Firmensitz. Dies umfasst Anbieter (Provider), Betreiber (Deployer), Importeure und Distributoren.

Was passiert bei Nichteinhaltung des EU AI Act?

Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes geahndet werden – je nach Art des Verstoßes.

Konformitätsbewertung: Schritt für Schritt — Wissen

Was ist eine Konformitätsbewertung?

Die Konformitätsbewertung ist der Nachweis, dass dein Hochrisiko-KI-System alle Anforderungen des EU AI Act erfüllt. Ohne sie darfst du ein Hochrisiko-System nicht in der EU auf den Markt bringen.

Welches Verfahren gilt für dich?

1. Interne Kontrolle (Annex VI) — der Regelfall

Gute Nachricht: Für die meisten Hochrisiko-Systeme nach Annex III kannst du die Bewertung selbst durchführen. Die Schritte:

Qualitätsmanagementsystem prüfen und dokumentieren
Technische Dokumentation erstellen und prüfen
Protokollierung und Überwachung verifizieren
EU-Konformitätserklärung erstellen
CE-Kennzeichnung anbringen
System in der EU-Datenbank registrieren

2. Externe Prüfung durch notifizierte Stelle (Annex VII)

Eine Drittprüfung (vergleichbar mit TÜV) brauchst du nur in zwei Fällen:

Bei biometrischer Identifikation (Annex III Nr. 1) — hier ist immer eine Drittprüfung nötig
Bei Annex-I-Produkten, wenn die produktspezifische Regulierung es vorsieht

Was wird bei der internen Kontrolle geprüft?

Risikomanagementsystem (Art. 9): Gibt es einen systematischen Prozess zur Risikoidentifikation?
Data Governance (Art. 10): Sind die Trainingsdaten dokumentiert, repräsentativ und frei von Bias?
Technische Dokumentation (Art. 11): Ist alles vollständig und aktuell?
Protokollierung (Art. 12): Werden relevante Vorgänge automatisch protokolliert?
Transparenz (Art. 13): Gibt es Gebrauchsanweisungen für Betreiber?
Menschliche Aufsicht (Art. 14): Können Menschen eingreifen und überstimmen?

Und danach?

Nach erfolgreicher Bewertung musst du als Provider:

Die EU-Konformitätserklärung 10 Jahre aufbewahren
Das System in der EU-Datenbank registrieren (Art. 49)
Ein Post-Market Monitoring betreiben (Art. 72)
Bei wesentlichen Änderungen die Bewertung wiederholen

Konformitätsbewertung: Schritt für Schritt