EU AI Act

Der EU Artificial Intelligence Act

Was Ihr Unternehmen jetzt wissen muss

Haben Sie Fragen zum EU AI Act?

Unser Agent hilft weiter!

Das Wichtigste in Kürze

Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er definiert klare Regeln für die Entwicklung, den Einsatz und den Vertrieb von KI-Systemen in der EU. Unternehmen müssen je nach ihrer Rolle in der KI-Wertschöpfungskette unterschiedliche Anforderungen erfüllen.

Die wichtigsten Rollen nach dem EU AI Act sind:

Anbieter (Provider): Unternehmen, die KI-Systeme entwickeln, trainieren oder als Produkt oder Service auf den Markt bringen.
Betreiber (User): Unternehmen, die KI-Lösungen in ihren Geschäftsprozessen einsetzen.
Einführer (Importer): Unternehmen, die KI-Systeme aus Drittstaaten in die EU einführen und verkaufen.
Händler (Distributor): Unternehmen, die KI-Produkte weiterverkaufen oder bereitstellen.

Je nach Risiko-Kategorie der KI-Systeme, von minimalem Risiko (z. B. Chatbots) bis Hochrisiko (z. B. Kreditbewertung, medizinische Diagnosen), gelten unterschiedliche Verpflichtungen. Ziel des Gesetzes ist es, Innovation und Sicherheit in Einklang zu bringen und den ethischen Einsatz von KI zu gewährleisten.

Die wichtigsten Rollen im Detail

Anbieter (Provider)

Ein Unternehmen gilt als Anbieter, wenn es ein KI-System entwickelt oder entwickeln lässt und dieses unter eigenem Namen oder Marke in der EU in Verkehr bringt oder in Betrieb nimmt. Anbieter müssen sicherstellen, dass ihre KI-Systeme den Anforderungen des EU AI Acts entsprechen, insbesondere wenn es sich um Hochrisiko-KI handelt.

Mögliche Geschäftsmodelle:

KI-Modellentwicklung & Training: Unternehmen, die eigene KI-Modelle von Grund auf trainieren, zum Beispiel für Spracherkennung, Bilderkennung oder Entscheidungsunterstützung. Beispiel: Eine Firma entwickelt ein großes Sprachmodell (LLM), das für Unternehmen im Kundenservice eingesetzt werden kann.
Entwicklung von KI-Lösungen mit bestehenden Modellen: Unternehmen, die keine eigenen Modelle trainieren, sondern bestehende Modelle (z. B. von OpenAI, Google, Hugging Face) nutzen und darauf spezialisierte KI-Lösungen aufbauen. Beispiel: Ein Softwareunternehmen nutzt ein bestehendes Bildanalysemodell, um eine KI für Versicherungen zu entwickeln, die Schadensbilder automatisch bewertet.
AI-as-a-Service (AIaaS): Anbieter, die KI-Funktionalitäten als Cloud-Dienst anbieten, sodass andere Unternehmen ohne eigene KI-Entwicklung darauf zugreifen können. Beispiel: Ein Unternehmen bietet eine API für Bild- und Spracherkennung, die von E-Commerce-Plattformen zur automatischen Produkterkennung genutzt wird.

Betreiber (User)

Betreiber sind Unternehmen, die ein KI-System in eigener Verantwortung verwenden, es sei denn, das System wird ausschließlich privat genutzt. Sie müssen sicherstellen, dass das eingesetzte KI-System den Vorschriften entspricht und es korrekt anwenden.

Beispiel: Ein Personalvermittlungsunternehmen setzt eine KI-Software ein, um Bewerbungen zu sichten und geeignete Kandidaten auszuwählen.

Einführer (Importer)

Ein Einführer ist ein in der EU ansässiges Unternehmen, das ein KI-System aus einem Drittland in die EU importiert und in Verkehr bringt. Es muss überprüfen, ob das importierte KI-System den EU-Vorschriften entspricht.

Beispiel: Eine europäische Firma importiert ein in den USA entwickeltes KI-gestütztes Übersetzungstool und vertreibt es in der EU.

Händler (Distributor)

Händler sind Unternehmen innerhalb der Lieferkette, die ein KI-System auf dem EU-Markt bereitstellen, aber weder Anbieter noch Einführer sind. Sie müssen sicherstellen, dass die von ihnen vertriebenen KI-Systeme den geltenden Vorschriften entsprechen.

Beispiel: Ein Elektronikhändler verkauft verschiedene KI-basierte Smart-Home-Geräte, die von anderen Unternehmen hergestellt und importiert wurden.

Zentrale Verpflichtungen und Massnahmen

Anbieter (Provider)

Risikomanagementsystem aufbauen:

Anbieter von Hochrisiko-KI-Systemen müssen ein formales Risikomanagementsystem etablieren, das über den gesamten Lebenszyklus des KI-Systems angewendet wird.
Identifikation, Bewertung und Minderung von Risiken im Zusammenhang mit Betrieb, Datennutzung und potenziellen Auswirkungen auf Gesundheit, Sicherheit und Grundrechte.

Konformitätsbewertungsverfahren durchführen (für Hochrisiko-KI):

Für Hochrisiko-KI-Systeme ist ein Konformitätsbewertungsverfahren vorgeschrieben, das entweder durch eine benannte Stelle oder durch interne Verfahren (je nach Klassifizierung und Vorgaben) durchgeführt wird.
Sicherstellen, dass das KI-System den wesentlichen Anforderungen gemäss EU AI Act entspricht, z. B. in Bezug auf Genauigkeit, Robustheit und Cybersicherheit.

Technische Dokumentation und Anweisungen bereitstellen:

Erstellung und fortlaufende Pflege einer detaillierten technischen Dokumentation, in der das System, die verwendeten Datenquellen sowie die Methoden der Datenvorverarbeitung und -bereinigung beschrieben werden.
Ausführliche Betriebsanleitung und Sicherheitsinformationen bereitstellen, einschliesslich Gebrauchsanweisungen, Einschränkungen und möglichen Risiken.
Dokumentation für die zuständigen nationalen Behörden verfügbar halten (so lange, wie es laut Gesetzgebung erforderlich ist).

Transparenz- und Informationspflichten:

Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren (z. B. in Chatbots oder automatisierten Entscheidungshilfen).
Bei Hochrisiko-KI ist zu erläutern, welche Daten erhoben und zu welchem Zweck sie verarbeitet werden, und welche Massnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden.

Datenqualität und Governance:

Sicherstellen, dass die zum Training verwendeten Datensätze hinreichend repräsentativ, sauber und relevant sind, um Verzerrungen (Bias) möglichst zu minimieren.
Implementierung geeigneter Verfahren für Datenaufbereitung, -speicherung und -schutz (Datengovernance).

Protokollierung und Rückverfolgbarkeit:

Anlegen und Pflegen von Logs, um wichtige Schritte und Entscheidungen des KI-Systems nachvollziehbar zu machen.
Ermöglichen, dass im Falle von Problemen oder Rückrufen genau nachvollzogen werden kann, welche Komponenten oder Versionen betroffen sind.

Nachmarktüberwachung (Post-Market Monitoring):

Kontinuierliche Überwachung der Systemleistung und -sicherheit, Sammeln von Feedback, Erkennen neuer Risiken und Einführung von Updates oder Korrekturen.
Bei festgestellten Problemen geeignete Korrekturmassnahmen ergreifen und – wenn erforderlich – die zuständigen Behörden informieren.

Kennzeichnung und CE-Konformitätsmarkierung (falls anwendbar):

Hochrisiko-KI-Systeme müssen nach erfolgreichem Konformitätsbewertungsverfahren entsprechend gekennzeichnet werden, damit ihre Konformität ersichtlich ist.

Zusammenarbeit mit Behörden:

Bei Aufforderung durch zuständige Behörden müssen Anbieter relevante Informationen und Dokumentationen zur Verfügung stellen.
Meldepflicht bei Vorfällen, die zu erheblichen Risiken führen können.

Händler (Distributor)

Weitergabe konformer Produkte:

Prüfen, ob das KI-System korrekt gekennzeichnet ist (inkl. CE-Kennzeichnung bei Hochrisiko-KI) und notwendige Unterlagen, wie technische Dokumentation oder Gebrauchsanweisungen, beigelegt sind.

Falls Anzeichen bestehen, dass ein KI-System nicht konform ist (z. B. fehlende Dokumentation oder Warnhinweise), muss dies vor dem weiteren Vertrieb geklärt werden.

Keine Veränderungen am KI-System vornehmen:

In der Regel nehmen Händler keine Eingriffe in das KI-System vor, da sie lediglich den Vertrieb verantworten. Sollte dennoch eine Modifikation erfolgen, können sie unter Umständen zur Anbieter-Rolle werden.

Informations- und Kooperationspflicht:

Bei Rückfragen von Behörden oder Beschwerden von Nutzern müssen Händler schnell die nötigen Informationen bereitstellen.

Sicherstellen, dass Nutzer die erforderlichen Kontaktinformationen (des Anbieters oder Einführers) erhalten, um Produktunterlagen, Sicherheitsinfos und Aktualisierungen zu bekommen.

Rückverfolgbarkeit und Lagerhaltung:

Dokumentieren, welche KI-Systeme in den Verkauf bzw. an wen sie geliefert wurden. Dies ist wichtig für Rückrufe oder sicherheitsrelevante Updates.

Sicherstellen, dass Systeme, die nicht den Anforderungen entsprechen, aus dem Verkauf genommen werden.

Meldepflicht bei erkannten Risiken:

Falls Händler feststellen, dass ein von ihnen vertriebenes KI-System ein Sicherheitsrisiko darstellt oder gegen Vorschriften verstösst, müssen sie die Informationen an den Anbieter oder Einführer und ggf. auch an die zuständigen Behörden weiterleiten.

Betreiber (User)

Prüfung der Konformität vor dem Einsatz:

Sicherstellen, dass das KI-System als konform gekennzeichnet ist und alle notwendigen Anleitungen, Warnhinweise und Dokumentationen vorliegen (insbesondere bei Hochrisiko-KI).
Prüfen, ob das System ordnungsgemäss in Verkehr gebracht wurde (CE-Kennzeichnung falls anwendbar).

Einhaltung der Nutzungsbedingungen:

Das KI-System gemäss den Vorgaben des Anbieters bzw. den Produktspezifikationen einsetzen.
Änderungen oder Modifikationen (z. B. Training mit eigenen Daten, Anpassung von Algorithmen) können zur Übernahme der Anbieterrolle führen, wenn dadurch ein eigenes KI-Produkt geschaffen wird.

Transparenz gegenüber betroffenen Personen:

Personen, die direkt oder indirekt von der KI-Entscheidung betroffen sind, müssen entsprechend informiert werden, wenn dies laut EU AI Act vorgeschrieben ist (z. B. Kennzeichnung automatisierter Entscheidungsprozesse).

Schulung und Kompetenzen:

Mitarbeiter und verantwortliche Personen, die mit der KI arbeiten, müssen ausreichend geschult sein, um das KI-System korrekt anwenden und seine Ergebnisse interpretieren zu können.

Monitoring und Feedback an den Anbieter:

Falls Probleme, Fehler oder Sicherheitsrisiken festgestellt werden, sollten diese dem Anbieter gemeldet werden, damit dieser Korrektur- oder Verbesserungsmassnahmen treffen kann.
Kontinuierliche Überwachung der Performance und Einhaltung rechtlicher Vorgaben (insbesondere Datenschutz, Gleichbehandlung, etc.).

Datenschutz und Sicherheit:

Die Betreiber müssen beim Einsatz des KI-Systems alle geltenden Datenschutzrichtlinien (z. B. DSGVO) einhalten.
Sicherstellen, dass die Datenverarbeitung nur im notwendigen Umfang erfolgt und geeignete technische und organisatorische Massnahmen zum Schutz der Daten getroffen werden.

Einführer (Importer)

Prüfung der Konformität:

Sicherstellen, dass das importierte KI-System alle Anforderungen des EU AI Acts erfüllt, bevor es auf dem EU-Markt angeboten wird.

Kontrolle, ob ein Konformitätsbewertungsverfahren korrekt durchgeführt wurde und entsprechende Nachweise vorliegen.

Verfügbarkeit von technischer Dokumentation:

Sicherstellen, dass der Hersteller aus dem Drittland die erforderliche technische Dokumentation erstellt hat und diese zugänglich ist.

Bei Bedarf müssen Einführer diese Dokumentation für die Behörden bereithalten.

Risikomindernde Massnahmen:

Falls ein Einführer erkennt, dass ein KI-System potenziell nicht konform ist, müssen entsprechende Korrekturmassnahmen mit dem Drittland-Anbieter abgestimmt werden.

Falls das System nicht den EU-Anforderungen entspricht, darf es nicht in Verkehr gebracht werden.

Kennzeichnung und Begleitunterlagen:

Prüfen, ob alle vorgeschriebenen Kennzeichnungen vorhanden sind (z. B. CE-Kennzeichnung bei Hochrisiko-KI).

Sicherstellen, dass Gebrauchsanweisungen und Sicherheitsinformationen in der erforderlichen EU-Amtssprache(n) vorliegen.

Rückverfolgbarkeit und Protokollierung:

Einführer müssen ein System zur Nachverfolgung der in Verkehr gebrachten KI-Systeme führen und bei Rückrufen oder sicherheitsrelevanten Updates kooperieren.

Zusammenarbeit mit Behörden:

Einführer müssen bei Anfragen von Aufsichtsbehörden alle notwendigen Informationen bereitstellen und ggf. weiterführende Nachweise organisieren, um die Konformität des KI-Systems zu belegen.

Zusammenfassende Hinweise

Hochrisiko-KI unterliegt besonders strengen Vorgaben: Risikobewertung, Konformitätsprüfung, Dokumentationspflichten und Meldepflichten sind hier deutlich umfassender.
Nicht-Hochrisiko-KI (mittleres oder niedriges Risiko) hat reduzierte Anforderungen, jedoch gelten weiterhin bestimmte Transparenz- und Informationspflichten (z. B. Offenlegung, wenn Nutzer mit KI interagieren).
Geltende Datenschutzbestimmungen (allen voran die DSGVO) bleiben unberührt und müssen in allen Phasen mitbeachtet werden.
Rollenübergänge: Werden wesentliche Teile des KI-Systems verändert oder ein neues System daraus entwickelt, kann aus einem Betreiber oder Händler schnell ein Anbieter werden. Dann gelten erweiterte Pflichten.

Diese Übersicht soll helfen, den spezifischen Verpflichtungen jeder Rolle gemäss EU AI Act nachzukommen. Im Einzelfall ist jedoch eine detaillierte Analyse notwendig, um sicherzustellen, dass alle technischen und rechtlichen Anforderungen umfassend erfüllt werden.

Zeitleiste für die Anwendung des Gesetzes

1. August 2024

Datum des Inkrafttretens des AI-Gesetzes. Zum jetzigen Zeitpunkt gelten keine der Anforderungen des Gesetzes - sie werden im Laufe der Zeit allmählich zur Anwendung kommen.

2. Februar 2025

Das Verbot bestimmter KI-Systeme und die Anforderungen an die KI-Kompetenz beginnen zu gelten(Kapitel I und Kapitel II).

2. August 2025

Die folgenden Regeln beginnen zu gelten:

Benannte Stellen(Kapitel III, Abschnitt 4),
GPAI-Modelle(Kapitel V),
Governance(Kapitel VII),
Vertraulichkeit(Artikel 78)
Sanktionen (Artikel 99 und Artikel 100)

2. August 2026

Die übrigen Bestimmungen des AI-Gesetzes finden Anwendung, mit Ausnahme von Artikel 6 Absatz 1.

2. August 2027

Artikel 6 Absatz 1 und die entsprechenden Verpflichtungen in der Verordnung beginnen zu gelten.

FAQ

Der EU AI Act ist eine Verordnung der Europäischen Union, die einen gemeinsamen Rechtsrahmen für künstliche Intelligenz (KI) schafft. Er zielt darauf ab, die sichere und vertrauenswürdige Entwicklung und Nutzung von KI innerhalb der EU zu gewährleisten.

Die Verordnung wurde eingeführt, um Risiken im Zusammenhang mit KI zu minimieren, die Sicherheit zu erhöhen und die Grundrechte der Bürger zu schützen. Gleichzeitig soll sie Innovationen fördern und das Vertrauen in KI-Systeme stärken.

Der EU AI Act gilt für Anbieter, Hersteller, Lieferanten, Händler und Anwender von KI-Systemen innerhalb der EU sowie für Organisationen außerhalb der EU, wenn ihre KI-Systeme auf dem EU-Markt angeboten werden oder Personen in der EU betreffen.

Ausgenommen sind KI-Systeme, die ausschließlich für militärische Zwecke oder für die wissenschaftliche Forschung und Entwicklung verwendet werden.

Der EU AI Act teilt KI-Systeme in vier Risikokategorien ein:

Unvertretbares Risiko: KI-Anwendungen, die verboten sind, z. B. solche, die menschliches Verhalten manipulieren oder für soziale Bewertungssysteme verwendet werden.

Hohes Risiko: KI-Systeme, die erhebliche Risiken für Gesundheit, Sicherheit oder Grundrechte darstellen, z. B. in den Bereichen Gesundheit, Bildung oder Strafverfolgung.

Begrenztes Risiko: KI-Systeme mit Transparenzpflichten, z. B. Chatbots, bei denen Nutzer informiert werden müssen, dass sie mit einer KI interagieren.

Minimales Risiko: Die meisten KI-Anwendungen, z. B. Spam-Filter oder Videospiele, die keiner Regulierung unterliegen.

Hochrisiko-KI-Systeme müssen strenge Anforderungen erfüllen, darunter Risikomanagement, Datenqualitätssicherung, Transparenz, menschliche Aufsicht und regelmäßige Konformitätsbewertungen.

Bei Verstössen gegen den EU AI Act können erhebliche Geldstrafen verhängt werden, die bis zu 7 % des weltweiten Jahresumsatzes oder 35 Millionen Euro betragen können, je nachdem, welcher Betrag höher ist.

Die Durchsetzung erfolgt durch nationale Behörden der EU-Mitgliedstaaten in Zusammenarbeit mit dem Europäischen Ausschuss für künstliche Intelligenz, der die einheitliche Anwendung der Vorschriften sicherstellen soll.

Allgemeine KI-Modelle sind solche, die für eine Vielzahl von Aufgaben eingesetzt werden können, z. B. grosse Sprachmodelle wie ChatGPT. Der EU AI Act legt spezifische Anforderungen für solche Modelle fest, insbesondere in Bezug auf Transparenz und Risikomanagement.

Unternehmen ausserhalb der EU müssen den EU AI Act einhalten, wenn sie KI-Systeme auf dem EU-Markt anbieten oder wenn ihre Systeme Personen in der EU betreffen.

Der EU AI Act zielt darauf ab, ein Gleichgewicht zwischen Regulierung und Innovation zu finden, indem er sichere und ethische KI-Anwendungen fördert und gleichzeitig klare Regeln für Entwickler und Anwender festlegt.

Für KI-Systeme mit begrenztem Risiko besteht die Verpflichtung, Nutzer darüber zu informieren, dass sie mit einer KI interagieren, damit sie informierte Entscheidungen treffen können.

Unvertretbares Risiko bezieht sich auf KI-Anwendungen, die als zu gefährlich gelten und daher verboten sind, wie z. B. Systeme, die Menschen manipulieren oder für soziale Bewertungen verwendet werden.

Anbieter von allgemeinen KI-Modellen müssen Transparenzpflichten erfüllen, einschliesslich der Offenlegung von Informationen über das Training der Modelle, und sicherstellen, dass ihre Modelle sicher und vertrauenswürdig sind.

Der EU AI Act erkennt die besonderen Herausforderungen von KMU an und bietet Unterstützung durch Leitlinien und möglicherweise vereinfachte Verfahren, um die Einhaltung der Vorschriften zu erleichtern.

Dieser Ausschuss berät und unterstützt die Europäische Kommission und die Mitgliedstaaten bei der einheitlichen Anwendung des EU AI Act und fördert die Zusammenarbeit zwischen den nationalen Behörden.

Disclaimer: Die auf dieser Seite bereitgestellten Informationen dienen ausschliesslich zu Informationszwecken und stellen keine rechtsverbindliche Beratung dar. Trotz sorgfältiger Recherche und Aktualisierung kann keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der Inhalte übernommen werden. Die endgültigen rechtlichen Anforderungen ergeben sich aus dem offiziellen EU AI Act sowie den jeweiligen nationalen Gesetzen und Verordnungen. Unternehmen und Einzelpersonen sind verpflichtet, die geltenden Vorschriften eigenständig zu prüfen und sich bei Bedarf rechtlich beraten zu lassen. Jegliche Haftung für direkte oder indirekte Schäden, die aus der Nutzung dieser Informationen entstehen, wird ausgeschlossen.