Was ist der EU AI Act?

Der EU AI Act (Verordnung 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er legt Pflichten für Anbieter, Betreiber und weitere Akteure entlang der KI-Wertschöpfungskette fest.

Welche Fristen gelten für den EU AI Act?

Die erste Frist (verbotene KI-Praktiken nach Art. 5) gilt seit Februar 2025. GPAI-Pflichten greifen seit August 2025. Hochrisiko-Pflichten gelten ab August 2026.

Für wen gilt der EU AI Act?

Der EU AI Act gilt für alle Akteure, die KI-Systeme in der EU anbieten oder betreiben – unabhängig vom Firmensitz. Dies umfasst Anbieter (Provider), Betreiber (Deployer), Importeure und Distributoren.

Was passiert bei Nichteinhaltung des EU AI Act?

Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes geahndet werden – je nach Art des Verstoßes.

Provider, Deployer, Importeur — Wer muss was tun? — Wissen

Welche Rollen gibt es?

Der EU AI Act definiert verschiedene Rollen entlang der KI-Wertschöpfungskette. Jede Rolle bringt eigene Pflichten mit. Und ja — dein Unternehmen kann mehrere Rollen gleichzeitig einnehmen.

Provider (Anbieter) — Art. 16

Du bist Provider, wenn du ein KI-System entwickelst (oder entwickeln lässt) und es unter deinem Namen auf den Markt bringst.

Bei Hochrisiko-KI musst du als Provider u.a.:

Ein Risikomanagementsystem einrichten (Art. 9)
Data Governance sicherstellen (Art. 10)
Technische Dokumentation erstellen (Art. 11)
Automatische Protokollierung implementieren (Art. 12)
Transparenz gegenüber Betreibern gewährleisten (Art. 13)

Dazu kommen: menschliche Aufsicht ermöglichen (Art. 14), Cybersicherheit sicherstellen (Art. 15), ein QMS betreiben (Art. 17), die Konformitätsbewertung durchführen (Art. 43) und CE-Kennzeichnung anbringen (Art. 48).

Deployer (Betreiber) — Art. 26

Du bist Deployer, wenn du ein KI-System in deinem Unternehmen einsetzt. Das betrifft die meisten Firmen, die KI-Tools nutzen.

Deine Pflichten als Deployer:

Das KI-System gemäß Gebrauchsanweisung einsetzen
Menschliche Aufsicht durch qualifiziertes Personal sicherstellen
Eingabedaten auf Relevanz prüfen
Protokolle mindestens 6 Monate aufbewahren
Betroffene über den Einsatz von Hochrisiko-KI informieren

Importeure und Händler — Art. 23-25

Importeure bringen KI-Systeme aus Drittstaaten in die EU. Sie prüfen, ob der Provider die Konformitätsbewertung durchgeführt hat und die CE-Kennzeichnung vorliegt.

Händler stellen KI-Systeme auf dem Markt bereit und prüfen ebenfalls CE-Kennzeichnung und Dokumentation.

Wann wirst du vom Deployer zum Provider?

Das passiert nach Art. 25, wenn du:

ein Hochrisiko-KI-System unter eigenem Namen in Verkehr bringst,
die Zweckbestimmung wesentlich änderst, oder
wesentliche Änderungen am System vornimmst.

Besonders relevant ist das beim Fine-Tuning oder wenn du ein Foundation Model (z.B. GPT-4) in dein eigenes Produkt integrierst.

Provider, Deployer, Importeur — Wer muss was tun?

Welche Rollen gibt es?

Provider (Anbieter) — Art. 16

Deployer (Betreiber) — Art. 26

Importeure und Händler — Art. 23-25

Wann wirst du vom Deployer zum Provider?

Verwandte Artikel

Unterstützung bei der Umsetzung?