Kapitel 11 In Kraft: 2. August 2025 (gestaffelt)

KI-Gesetz

Gesetz über Künstliche Intelligenz

Überblick

Das EU-KI-Gesetz ist die weltweit erste umfassende horizontale Verordnung zur künstlichen Intelligenz. Es wurde im März 2024 verabschiedet und tritt am 1. August 2024 in Kraft. Es etabliert einen risikobasierten Rahmen, der KI-Systeme nach ihrem potenziellen Schaden kategorisiert und entsprechend Anforderungen auferlegt.[1]

Die Verordnung zielt darauf ab, sicherzustellen, dass KI-Systeme, die auf dem EU-Markt bereitgestellt werden, sicher sind, die Grundrechte respektieren und durch Rechtssicherheit Innovationen fördern.

Gestaffelte Anwendungsdaten

DatumMeilenstein
1. August 2024Inkrafttreten des KI-Gesetzes
2. Februar 2025Verbotene KI-Praktiken untersagt; Verpflichtungen zur KI-Kompetenz gelten
2. August 2025Verpflichtungen für GPAI-Modelle; Governance-Regeln gelten
2. August 2026Volle Anwendung für Hochrisiko-KI-Systeme
2. August 2027Hochrisiko-KI (Anhang I) Anforderungen für bestimmte Produktsicherheitsgesetze

Risikokategorien

Verbotene KI-Praktiken (Artikel 5)[2]

Die folgenden KI-Praktiken sind ab dem 2. Februar 2025 verboten:

  • Unterbewusste Manipulation: KI, die Schwachstellen jenseits des bewussten Wahrnehmens ausnutzt
  • Ausnutzung von Schwachstellen: Zielgerichtet auf Alter, Behinderung oder sozioökonomische Umstände
  • Soziale Bewertung: Klassifizierung von Personen basierend auf Verhalten, die zu nachteiliger Behandlung führt
  • Predictive Policing: Individuelle Kriminalitätsvorhersage ausschließlich basierend auf Profiling
  • Ungezieltes Gesichtsscraping: Erstellung von Gesichtserkennungsdatenbanken aus öffentlichen Quellen
  • Emotionserkennung: An Arbeitsplätzen und Bildungseinrichtungen (mit Ausnahmen)
  • Biometrische Kategorisierung: Ableitung sensibler Merkmale wie Rasse, Politik oder Religion
  • Echtzeit-Fernbiometrische Identifikation: In öffentlichen Räumen für Strafverfolgungsbehörden (mit Ausnahmen)

Hochrisiko-KI-Systeme (Artikel 6)[3]

KI-Systeme in diesen Bereichen unterliegen strengen Anforderungen:

  • Biometrische Identifikation und Kategorisierung
  • Management kritischer Infrastrukturen (Energie, Verkehr, Wasser, Gas)
  • Bildung und berufliche Ausbildung (Zulassungen, Bewertungen)
  • Beschäftigung (Rekrutierung, Leistungsbewertung, Kündigung)
  • Zugang zu wesentlichen Diensten (Kreditbewertung, Notdienste)
  • Strafverfolgung (Beweisauswertung, Risikobewertung)
  • Migration und Grenzkontrolle
  • Justiz und demokratische Prozesse

Allgemeine KI-Modelle (GPAI)

Anbieter von GPAI-Modellen müssen:

  • Technische Dokumentation führen
  • Informationen für die Einhaltung durch nachgelagerte Anbieter bereitstellen
  • Richtlinien zur Einhaltung von Urheberrechten etablieren
  • Zusammenfassungen der Trainingsinhalte veröffentlichen

Systemisches Risiko GPAI (Modelle, die mit >10^25 FLOPs trainiert wurden) haben zusätzliche Verpflichtungen, einschließlich adversarialer Tests und Vorfallsmeldungen.[4]

Anforderungen für Hochrisiko-KI

AnforderungBeschreibung
RisikomanagementEinrichtung, Dokumentation und Pflege eines Risikomanagementsystems
DatenverwaltungSicherstellung, dass Trainingsdaten relevant, repräsentativ und fehlerfrei sind
Technische DokumentationDetaillierte Systemdokumentation vor Markteinführung
AufzeichnungspflichtenAutomatische Protokollierung der Systemoperationen
TransparenzKlare Benutzeranweisungen und Informationen zu Fähigkeiten
Menschliche AufsichtErmöglichung menschlicher Überwachung und Eingriffe
Genauigkeit & RobustheitKonsistente Leistung über die vorgesehenen Anwendungsfälle hinweg
CybersicherheitSchutz vor unbefugtem Zugriff und Manipulation

Verpflichtung zur KI-Kompetenz (Artikel 4)

Ab dem 2. Februar 2025 müssen alle Anbieter und Betreiber sicherstellen:

„Mitarbeitende und andere Personen, die im Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, verfügen über ein ausreichendes Maß an KI-Kompetenz.“[5]

Dies gilt breit für alle KI-Anwendungsfälle, nicht nur für Hochrisikosysteme.

Strafen

  • Verbotene KI-Praktiken: Bis zu 35 Millionen € oder 7 % des weltweiten Umsatzes
  • Verstöße bei Hochrisiko: Bis zu 15 Millionen € oder 3 % des weltweiten Umsatzes
  • Falsche Angaben: Bis zu 7,5 Millionen € oder 1 % des weltweiten Umsatzes[6]

KMU und Start-ups können von proportionalen Obergrenzen profitieren.

Wichtige Maßnahmen für Entwickler

  1. Klassifizieren Sie Ihre KI-Systeme nach Risikostufe
  2. Dokumentieren Sie KI-Anwendungsfälle und beabsichtigte Zwecke
  3. Implementieren Sie KI-Kompetenzprogramme für alle Mitarbeitenden
  4. Bewerten Sie Hochrisiko-Verpflichtungen, falls zutreffend
  5. Überwachen Sie GPAI-Anforderungen bei Nutzung von Foundation-Modellen
  6. Bereiten Sie sich auf Konformitätsbewertungen vor (Hochrisikosysteme)

Quellen & Referenzen

[1]
Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Regeln für künstliche Intelligenz. EUR-Lex: Offizieller Text des KI-Gesetzes
[2]
KI-Gesetz Artikel 5: Verbotene KI-Praktiken. KI-Gesetz Explorer: Artikel 5
[3]
KI-Gesetz Artikel 6: Klassifizierungsregeln für Hochrisiko-KI-Systeme. KI-Gesetz Explorer: Artikel 6
[4]
Verpflichtungen für Allgemeine KI-Modelle. Europäische Kommission: GPAI-Verpflichtungen
[5]
KI-Gesetz Artikel 4: KI-Kompetenz. KI-Gesetz Explorer: Artikel 4
[6]
KI-Gesetz Artikel 99: Strafen. KI-Gesetz Explorer: Artikel 99