Was ist der EU AI Act?

Der EU AI Act (Verordnung 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er legt Pflichten für Anbieter, Betreiber und weitere Akteure entlang der KI-Wertschöpfungskette fest.

Welche Fristen gelten für den EU AI Act?

Die erste Frist (verbotene KI-Praktiken nach Art. 5) gilt seit Februar 2025. GPAI-Pflichten greifen seit August 2025. Hochrisiko-Pflichten gelten ab August 2026.

Für wen gilt der EU AI Act?

Der EU AI Act gilt für alle Akteure, die KI-Systeme in der EU anbieten oder betreiben – unabhängig vom Firmensitz. Dies umfasst Anbieter (Provider), Betreiber (Deployer), Importeure und Distributoren.

Was passiert bei Nichteinhaltung des EU AI Act?

Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes geahndet werden – je nach Art des Verstoßes.

Glossar

Die wichtigsten Begriffe rund um KI und den EU AI Act — kompakt und verständlich.

EU AI Act & Regulierung

AI LiteracyArt. 4: Pflicht nach Art. 4 EU AI Act: Anbieter und Betreiber müssen sicherstellen, dass Personal über ausreichende KI-Kompetenz verfügt.
AI Office: Das Büro für Künstliche Intelligenz der EU-Kommission. Zuständig für die Durchsetzung der GPAI-Regeln und die Koordination der Umsetzung des EU AI Act.
AI SandboxArt. 57-62: Regulatorische Testumgebung (Regulatory Sandbox), in der innovative KI-Systeme unter behördlicher Aufsicht entwickelt und getestet werden können. Jeder EU-Mitgliedstaat soll mindestens eine einrichten.
Annex IAnnex I: Auflistung der EU-Harmonisierungsvorschriften (z.B. Medizinprodukte, Maschinen), bei denen KI als Sicherheitskomponente automatisch als Hochrisiko gilt.
Annex IIIAnnex III: Auflistung der 8 Hochrisiko-Bereiche: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Dienstleistungen, Strafverfolgung, Migration, Demokratie.
Bestimmungsgemäße VerwendungArt. 3 Nr. 12: Die Verwendung, für die ein KI-System vom Anbieter vorgesehen ist, einschließlich des spezifischen Kontexts und der Bedingungen.
CE-KennzeichnungArt. 48: Kennzeichnung, die bestätigt, dass ein Hochrisiko-KI-System die Anforderungen des EU AI Act erfüllt und eine Konformitätsbewertung durchlaufen hat.
Code of PracticeArt. 53-55: Freiwilliger Verhaltenskodex für GPAI-Modellanbieter, veröffentlicht im Juli 2025 vom AI Office. Wer ihn befolgt, genießt eine Vermutung der Konformität (Presumption of Conformity).
Deployer (Betreiber)Art. 3 Nr. 4: Eine natürliche oder juristische Person, die ein KI-System in eigener Verantwortung verwendet (nicht im Rahmen persönlicher, nicht beruflicher Tätigkeit).
Digital Omnibus: EU-Kommissionsvorschlag vom November 2025 zur Anpassung mehrerer Digital-Verordnungen. Enthält eine mögliche Verschiebung der Hochrisiko-Fristen des EU AI Act (Annex III → Dez 2027, Annex I → Aug 2028).
GPAI (General Purpose AI)Art. 3 Nr. 63: KI-Modelle mit allgemeinem Verwendungszweck, die für eine breite Palette von Aufgaben eingesetzt werden können (z.B. GPT-4, Gemini, Claude). Besondere Transparenzpflichten.
Hochrisiko-KI-SystemArt. 6: Ein KI-System, das als Sicherheitskomponente eines Produkts (Annex I) oder für einen Verwendungszweck (Annex III) bestimmt ist und umfangreiche Anforderungen erfüllen muss.
InbetriebnahmeArt. 3 Nr. 11: Die Bereitstellung eines KI-Systems zur erstmaligen Verwendung durch einen Betreiber.
InverkehrbringenArt. 3 Nr. 9: Die erstmalige Bereitstellung eines KI-Systems auf dem Unionsmarkt.
KI-SystemArt. 3 Nr. 1: Maschinengestütztes System, das für autonomen Betrieb ausgelegt ist und aus Eingaben ableitet, wie Ausgaben (Vorhersagen, Inhalte, Empfehlungen, Entscheidungen) erzeugt werden.
KonformitätsbewertungArt. 43: Verfahren zum Nachweis, dass ein Hochrisiko-KI-System alle Anforderungen des EU AI Act erfüllt. Kann intern (Annex VI) oder extern (Annex VII) erfolgen.
Post-Market MonitoringArt. 72: System zur fortlaufenden Überwachung eines KI-Systems nach dem Inverkehrbringen. Provider müssen dies einrichten und dokumentieren.
Provider (Anbieter)Art. 3 Nr. 3: Eine natürliche oder juristische Person, die ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen in Verkehr bringt oder in Betrieb nimmt.
Regulatory SandboxArt. 57-62: Kontrollierte Testumgebung, in der innovative KI-Systeme unter behördlicher Aufsicht entwickelt und getestet werden können. Jeder Mitgliedstaat soll mindestens eine einrichten.
RisikomanagementsystemArt. 9: Fortlaufender, iterativer Prozess zur Identifizierung, Analyse und Minderung von Risiken bei Hochrisiko-KI-Systemen. Pflicht für Provider.
Technische DokumentationArt. 11: Umfassende Dokumentation eines Hochrisiko-KI-Systems, die vor dem Inverkehrbringen erstellt und laufend aktualisiert werden muss.

Technische Begriffe

A2A Protocol: Von Google entwickeltes Agent-to-Agent Protocol, das die Kommunikation und Zusammenarbeit zwischen verschiedenen AI Agents standardisiert.
Agentic AI: KI-Systeme, die autonom planen, Entscheidungen treffen und Aktionen ausführen können. Im Gegensatz zu Chatbots können sie mehrstufige Aufgaben selbstständig bearbeiten und Tools nutzen.
Bias: Systematische Verzerrung in KI-Systemen, die zu unfairen oder diskriminierenden Ergebnissen führen kann. Entsteht durch verzerrte Trainingsdaten oder fehlerhafte Modellarchitektur.
Embedding: Mathematische Repräsentation von Text, Bildern oder anderen Daten als Vektor (Zahlenreihe). Ermöglicht semantische Suche und ist die Grundlage von RAG-Systemen.
Explainability (Erklärbarkeit): Die Fähigkeit, KI-Entscheidungen für Menschen nachvollziehbar zu machen. Der EU AI Act fordert Transparenz und Nachvollziehbarkeit besonders bei Hochrisiko-Systemen.
Fine-Tuning: Weitertrainieren eines vortrainierten KI-Modells auf domänenspezifischen Daten, um es für bestimmte Aufgaben oder Fachgebiete zu optimieren.
Foundation Model: Großes, vortrainiertes KI-Modell, das als Basis für verschiedene Downstream-Aufgaben dient. Im EU AI Act unter "GPAI-Modelle" reguliert.
Halluzination: Wenn ein KI-Modell plausibel klingende, aber faktisch falsche Informationen generiert. Ein fundamentales Problem statistischer Sprachmodelle.
LLM (Large Language Model): Großes Sprachmodell, trainiert auf riesigen Textmengen. Kann Texte verstehen und generieren. Beispiele: GPT-4, Claude, Gemini, Llama.
MCP (Model Context Protocol): Von Anthropic entwickelter offener Standard, der die Verbindung zwischen KI-Modellen und externen Tools/Datenquellen standardisiert. Wird oft als "USB-C für KI" bezeichnet.
Prompt: Die Eingabe/Anweisung an ein KI-System. Die Qualität des Prompts bestimmt maßgeblich die Qualität der KI-Ausgabe (→ Prompt Engineering).
RAG (Retrieval Augmented Generation): Technik, bei der ein LLM mit einer externen Wissensdatenbank verbunden wird. Verbessert Aktualität und Genauigkeit und reduziert Halluzinationen.
Token: Kleinste Verarbeitungseinheit eines LLM. Ungefähr ¾ eines Wortes. Tokens bestimmen Kosten und Kontextlänge bei der KI-Nutzung.
Transformer: Die 2017 von Google eingeführte Modellarchitektur, auf der alle modernen LLMs basieren. Kernmechanismus: Self-Attention.

Business & Governance

AI Literacy: Die Fähigkeit, KI-Systeme zu verstehen, verantwortungsvoll einzusetzen und ihre Ergebnisse kritisch zu bewerten. Seit Feb 2025 Pflicht nach Art. 4 EU AI Act.
Human-in-the-Loop: Prinzip, bei dem ein Mensch in den KI-Entscheidungsprozess eingebunden ist und bei Bedarf eingreifen kann. Kernforderung des EU AI Act für Hochrisiko-Systeme.
KI-Governance: Gesamtheit der Regeln, Prozesse und Strukturen für den verantwortungsvollen KI-Einsatz in Organisationen. Umfasst Strategie, Ethik, Compliance und Risikomanagement.

Unterstützung bei der Umsetzung?

Als KI-Berater helfe ich dir bei EU AI Act Compliance, KI-Workshops und Strategie. Befähigung statt Dauerberatung.

Beratung anfragen Kostenloses Assessment