Der AI Act der EU stellt einige Herausforderungen an Hersteller, Händler, Anbieter und Betreiber von KI-gestützten Produkten oder Dienstleistungen. Dazu hat Rechtsanwältin Hagendorff, Fachanwältin für IT-Recht, bei der IHK Hessen Innovativ am 11. Juni 2025 ein Webinar gehalten, dessen Aufzeichnung hier abrufbar ist. Zum Begriff KI-Gesetz: Obwohl es von der EU-Kommission „KI-Gesetz“ oder „KI-Act“ genannt wird, ist es eine den nationalen Vorschriften vorgehende EU-weite unmittelbar geltende Verordnung.

Zusammenfassung:
Die Europäische Union hat mit der Verordnung (EU) 2024/1689, auch bekannt als AI Act oder KI-Gesetz, einen umfassenden Rechtsrahmen für den Einsatz von Künstlicher Intelligenz geschaffen. Ziel der Vorschriften ist es, eine vertrauenswürdige Nutzung von KI in der EU zu fördern, während Investitionen gestärkt und Innovationen unterstützt werden. Dieses Regelwerk steht im Zentrum der aktuellen Bemühungen der EU, den Technologieeinsatz im Einklang mit europäischen Werten zu regulieren. Doch mit der zunehmenden Komplexität der Gesetzgebung gehen auch Herausforderungen einher, die es zu bewältigen gilt.

Ziele und Struktur des KI-Gesetzes und Risikoeinstufungen

Das AI Act verfolgt einen risikobasierten Ansatz, der klare Regeln für KI-Entwickler und -Anwender festlegt, insbesondere für Hochrisiko-Anwendungsfälle. Vier Risikostufen werden definiert:

1. Unannehmbares Risiko: Bestimmte KI-Anwendungen wie Social Scoring oder manipulative KI sind verboten.

2. Hohes Risiko: Für KI-Systeme in kritischen Bereichen (z.B. Personalwesen, Bildung, Kreditvergabe) gelten strenge Anforderungen

     • Erstellung umfassender technischer Dokumentation einschließlich automatischer Protokollierung der
        Aktivitäten des Hochrisiko-KI Systems ( z.B.in Logfiles)
      • Implementierung von Risikomanagement-Systemen
      • Sicherstellung von Datenqualität und Datenschutz
     • Einrichtung menschlicher Aufsicht
     • Gewährleistung von Transparenz gegenüber Nutzern
     • Regelmäßige Konformitätsbewertungen

3. Begrenztes Risiko: Hier gelten Transparenzpflichten, etwa die Kennzeichnung von KI-generierten Inhalten. Die Dokumentationspflichten sind jedoch ebenfalls nicht zu verachten.

4. Minimales Risiko: Für die meisten KI-Anwendungen mit geringem Risiko gelten keine spezifischen Verpflichtungen.

Risikobasierter Ansatz mit verbotenen Systemen und Pflicht zum Risikomanagement

Systeme mit inakzeptablen Risiken (sog. Hochrisiko-KI-Systeme) sind verboten. Darunter fallen Praktiken wie soziales Scoring und Echtzeit-Gesichtserkennung in öffentlichen Räumen zum Beispiel für Strafverfolgungszwecke. Weitere Details zu den Risikostufen finden Sie in dem Artikel der EU:
https://digital-strategy.ec.europa.eu/de/policies/regulatory-framework-ai

 

Hochrisiko-Anwendungen unterliegen sehr strengen Anforderungen

Hochrisiko-KI-Systeme, die signifikante Gesundheits-, Sicherheits- oder Grundrechtsrisiken bergen, sind besonders reguliert. Beispiele sind KI-Sicherheitskomponenten in kritischen Infrastrukturen, Bildungseinrichtungen und dem öffentlichen Dienstleistungszugang. Anbieter dieser Systeme müssen unter anderem Risikobewertungen, umfassende Dokumentationen und menschliche Aufsichtsmaßnahmen gewährleisten.

Kritik und Wunsch für Harmonisierung

Kritik erfährt der AI Act durch die Spannungen mit bestehenden gesetzlichen Regelwerken, die nicht immer widerspruchsfrei sind und Rechtsstreitigkeiten erwarten lassen. Zum einen gibt es Zielkonflikte mit datenschutzrechtlichen Aspekten wie u.a. der DSGVO-Pflicht zur Datenminimierung und Datensparsamkeit, denn bei Hochrisiko-Systemen ordnet die KI-VO die automatische Protokollierung und dauerhafte Speicherung der Ereignisse und Nutzerdaten an. Während bei der Datenschutz-Grundverordnung (DS-GVO) der Betreiber verantwortlich ist, wird bei dem AI Act der Hersteller, Händler, Anbieter und Betreiber eines KI-Systems haftbar gemacht. Überschneidungen von Regelungen finden sich bei AI Act, DSGVO und Digital Services Act (DSA): Die Forderungen nach Risikoanalysen für große Plattformen und generative KI-Systeme überschneiden sich. Durch Ausnahmen für Hochrisiko-Systeme im AI-Act wird die Verarbeitung sensibler Daten zur Diskriminierungsvermeidung erlaubt, welche ohne diese gesetzliche Regelung an sich nach der DS-GVO verboten wäre, aber soweit die sensiblen Daten zur Vermeidung der Diskriminierung notwendiger Weise verarbeitet werden müssen, die Rechtsgrundlage einer rechtlichen Verpflichtung beinhaltet. Kritisch ist auch das zeitgleiche Zusammentreffen im August 2026 mit der Datenherausgabepflichten für Cloud-System-Anbieter gegenüber ihren Kunden nach dem Data Act (DA) in maschinenlesbarer Form, wenn nach kritischer Prüfung der eingebauten KI-Systeme diese den Anbieter wechseln und ihre Daten portieren möchten.

Herausforderungen in einzelnen Sektoren
• Finanzwesen: Kreditbewertungssysteme unterliegen bereits strengen Regulierungen. Der AI-Act bringt zusätzliche Vorgaben, die das Regelungsumfeld weiter verdichten.
• Medizinprodukte: Hochrisiko-KI-Systeme, etwa zur Krebsdiagnose, unterliegen sowohl der Medizinprodukteverordnung (MDR) als auch dem AI-Act. Das führt zu Doppelverpflichtungen und möglichen Kapazitätsproblemen bei Bewertungsstellen.
• Automobilsektor: Die traditionelle Bewertungsmethodik bleibt zentral, aber der AI-Act bringt zusätzliche Anforderungen für nicht-hochriskante Systeme.
Praktische Maßnahmen für Unternehmer
Unternehmer sollten folgende Schritte unternehmen:
• Bestandsaufnahme aller KI-Systeme und deren Risikoklassifizierung
• Aufbau oder Anpassung von Compliance-Strukturen
• Dokumentation der Konformität mit der Verordnung
• Schulung der Mitarbeiter zu den neuen Anforderungen
• Berücksichtigung der KI-Verordnung bei der Produktentwicklung („Compliance by Design“)
• Einrichtung interner Prüfverfahren für KI-Systeme

Zeitlicher Rahmen

Nach Inkrafttreten der Verordnung gilt eine gestaffelte Umsetzungsfrist. Seit Februar 2025 gilt die Pflicht einer Herstellung der angemessenen KI-Kompetenz der Mitarbeiter und Beauftragten. Unternehmer sollten sich bereits jetzt vorbereiten, da bestimmte Verbote und das Gebot der Herstellung der KI-Kompetenz z.B. durch Schulungen bereits seit Februar 2025 gültig sind und bei Schäden durch KI die fehlende KI-Kompetenz ein Haftungsrisiko darstellt, wenn nicht durch Leitlinien und Schulungen angemessene technische und organisatorische Maßnahmen zur Verhinderung der Verletzungen dokumentiert sind und daher im Streitfall nicht belegt werden können. Unternehmen sollten sich nun vorbereiten, weil die Pflichten bis August 2026 umgesetzt werden müssen und erfahrungsgemäß einige Monate Vorbereitung benötigen.

Sanktionen bei Nichteinhaltung

Bei Verstößen drohen empfindliche Geldbußen:
• Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes für verbotene KI-Systeme
• Bis zu 15 Millionen Euro oder 3% des Jahresumsatzes für andere Verstöße – je nachdem welcher Betrag höher ist.

Vertrauen und Sicherheit beim Umgang mit KI-Produkten schaffen

Das KI-Gesetz der EU definiert klare Verantwortlichkeiten und soll Vertrauen schaffen. Um die Weiterentwicklung sicherzustellen, wurde der KI-Pakt ins Leben gerufen, eine Initiative, die Interessengruppen zur vorzeitigen Einhaltung der Regelungen motiviert.
Das Europäische Amt für Künstliche Intelligenz überwacht die Durchsetzung der Vorgaben, während ein mehrstufiges Governance-System aus Expertengremien die Entwicklung und Implementierung dieses Regelwerks begleitet.
Der AI Act trat im August 2024 in Kraft und wird bis August 2026 vollständig umzusetzen sein. Die adaptierte Umsetzung ermöglicht es, auf systemische Risiken mit nachhaltigen, innovativen Ansätzen zu reagieren und eine menschenzentrierte KI zu gewährleisten.
Durch die konsequente Einbindung aller Interessengruppen bei der Gesetzesentwicklung und Umsetzung kann die EU eine sichere, effektive und ethische Nutzung von KI im europäischen Raum fördern.

Kontakt mit IT-Fachanwältin Hagendorff

Rechtsanwältin Hagendorff bietet anwaltliche Beratung und Unterstützung bei Verträgen mit KI-Herstellern, KI-Vertrieblern und KI-Anbietern sowie der Dokumentation wie etwa der Risikoabschätzungen und auf Nachfrage auch Workshops und Schulungen für Nutzer von Hochrisiko-KI Systemen. Sie ist seit 2015 Fachanwältin für IT-Recht, zugelassen bei der Rechtsanwaltskammer Frankfurt am Main und sitzt mit ihrer Kanzlei Hagendorff in Friedberg (Hessen). Nehmen Sie jetzt Kontaktformular Kanzlei Stefanie Hagendorff auf.