Jetzt anfragen
Glossar

EU AI Act (KI-Verordnung)

Der EU AI Act (KI-Verordnung) ist das europäische Regelwerk für künstliche Intelligenz. Er ordnet KI-Systeme nach Risikoklassen und stellt je nach Risiko unterschiedliche Anforderungen. Er ergänzt die DSGVO, ersetzt sie aber nicht.

Was ist der EU AI Act?

Der EU AI Act – offiziell die KI-Verordnung – ist die erste umfassende gesetzliche Regelung für künstliche Intelligenz in der Europäischen Union. Er wurde 2024 verabschiedet und tritt gestaffelt in Kraft. Ziel ist ein einheitlicher Rahmen, der Innovation ermöglicht, aber Grundrechte und Sicherheit schützt.

Wichtig: Der AI Act ersetzt die DSGVO nicht, sondern ergänzt sie. Wo ein KI-System personenbezogene Daten verarbeitet, gelten beide Regelwerke parallel. Der AI Act adressiert das KI-System als Produkt und seine Risiken; die DSGVO bleibt für den Schutz der personenbezogenen Daten zuständig.

Die Risikoklassen

Der AI Act folgt einem risikobasierten Ansatz und teilt KI-Systeme in vier Stufen ein:

  • Unannehmbares Risiko: verbotene Praktiken wie Social Scoring durch den Staat oder manipulative Systeme,
  • Hohes Risiko: etwa KI in der Personalauswahl, Kreditvergabe oder kritischen Infrastruktur – hier gelten strenge Pflichten zu Risikomanagement, Dokumentation und menschlicher Aufsicht,
  • Begrenztes Risiko: Systeme mit Transparenzpflichten, etwa Chatbots, die sich als KI zu erkennen geben müssen,
  • Minimales Risiko: der Großteil alltäglicher Anwendungen, die kaum gesonderten Pflichten unterliegen.

Für die meisten kleinen und mittleren Unternehmen sind vor allem die Transparenzpflichten und – falls Hochrisiko-Anwendungen wie automatisiertes Profiling im Bewerbungsprozess eingesetzt werden – die strengeren Hochrisiko-Pflichten relevant.

Was das für Unternehmen bedeutet

Auch wer KI nicht selbst entwickelt, sondern nur einsetzt, hat Pflichten – etwa beim Einsatz von Chatbots, KI-gestützten Auswahlverfahren oder generativen Tools wie Sprachmodellen. Erster Schritt ist immer eine Bestandsaufnahme: Welche KI-Systeme nutze ich, in welcher Risikoklasse bewegen sie sich, und welche Daten fließen hinein?

Verarbeitet ein KI-System personenbezogene Daten, ist häufig auch eine Datenschutz-Folgenabschätzung nötig. Praktische Hinweise zum Einsatz von Sprachmodellen finden Sie im Ratgeber zu ChatGPT und Datenschutz. Bei der Bewertung Ihrer KI-Nutzung unterstütze ich Sie mit der Leistung KI-Datenschutz.

FAQ

EU AI Act (KI-Verordnung) – häufige Fragen

Ersetzt der EU AI Act die DSGVO?

Nein. Der AI Act ergänzt die DSGVO. Verarbeitet ein KI-System personenbezogene Daten, gelten beide Regelwerke gleichzeitig – der AI Act für die KI als solche, die DSGVO für die Daten.

Gilt der AI Act auch für kleine Unternehmen?

Ja, sofern sie KI-Systeme einsetzen. Umfang der Pflichten hängt von der Risikoklasse ab. Für viele Anwendungen gelten vor allem Transparenzpflichten, etwa die Kennzeichnung von Chatbots.

Was ist ein Hochrisiko-KI-System?

Dazu zählen etwa KI in der Personalauswahl, Kreditwürdigkeitsprüfung oder kritischen Infrastruktur. Für sie gelten strenge Anforderungen an Risikomanagement, Dokumentation und menschliche Aufsicht.

Brauche ich für KI-Nutzung eine DSFA?

Häufig ja. Wenn ein KI-System personenbezogene Daten verarbeitet und ein hohes Risiko mit sich bringt – etwa durch Profiling –, ist eine Datenschutz-Folgenabschätzung in der Regel erforderlich.

KI einsetzen – DSGVO und AI Act im Blick

Sie nutzen oder planen KI-Anwendungen? In einem kostenlosen Erstgespräch klären wir, welche Risikoklasse und welche Pflichten für Sie gelten.

Kostenloses Erstgespräch
Anrufen E-Mail Anfrage Erstgespräch anfragen