KI-VERORDNUNG / EU AI ACT
Die KI-Verordnung, klar erklärt.
Das weltweit erste umfassende KI-Gesetz — Risikoklassen, Pflichten, Fristen und wie Sie Ihr Unternehmen konform aufstellen. Praxisleitfaden für Betreiber und Anbieter.
Verordnung (EU) 2024/1689 – in Kraft seit 1. August 2024
Zeitplan
Die wichtigsten Fristen.
Risikoklassen
Die vier Stufen der KI-Verordnung.
Verbotene KI
Social Scoring durch Behörden, manipulative KI, ungezielte Gesichtsbild-Datenbanken, Echtzeit-Biometrie im öffentlichen Raum (mit Ausnahmen)
Hochrisiko-KI
Recruiting, Kreditvergabe, Bildung, kritische Infrastruktur, Strafverfolgung, Medizintechnik, Migration – Anhang III
Transparenz-KI
Chatbots, Deepfakes, emotionsklassifizierende KI – Kennzeichnungspflichten
Minimales Risiko
Spamfilter, KI-basierte Rechtschreibprüfung, Spielmechaniken – keine spezifischen Pflichten
Pflichten
Was Betreiber tun müssen.
KI-Inventar
Alle KI-Systeme erfassen, klassifizieren und aktuell halten.
Risikoklassifizierung
Jedes System einer der vier Risikoklassen zuordnen.
Betreiberpflichten (Art. 26)
Gebrauchsanweisung befolgen, menschliche Aufsicht, Protokollierung.
KI-Kompetenz (Art. 4)
Nachweisbare Schulung aller Personen, die KI-Systeme bedienen.
Grundrechte-Folgenabschätzung
Pflicht für öffentliche Akteure und in spezifischen Bereichen.
Transparenz
Information der Nutzer, Deepfake-Kennzeichnung, Chatbot-Offenlegung.
Datenqualität und Bias-Tests
Für Hochrisiko-KI: repräsentative, qualitätsgesicherte Daten.
Technische Dokumentation
Anhang IV-Dokumentation für Hochrisiko-Systeme.
Incident-Meldung
Schwerwiegende Vorfälle an nationale Behörde melden.
Kontinuierliche Nachweise
Aufzeichnungspflichten über Lebensdauer des KI-Systems.
GPAI
General-Purpose-AI-Modelle.
GPAI-Modelle wie GPT-4, Claude, Gemini und Llama unterliegen spezifischen Pflichten. Anbieter müssen Modellkarten, Zusammenfassungen der Trainingsdaten und Copyright-Richtlinien veröffentlichen. GPAI mit systemischem Risiko (>10^25 FLOPs) haben zusätzliche Pflichten: Modellevaluierung, adversariales Testen, Incident-Meldung, Cybersicherheit. Betreiber, die solche Modelle in der EU einsetzen, müssen im Rahmen der Anbieter-Nutzungsrichtlinie agieren und eigene Compliance-Dokumentation pflegen.
Wie Matproof hilft
KI-Verordnung-Compliance, eingebaut.
FAQ
Häufige Fragen zur KI-Verordnung
Was ist die KI-Verordnung?+
Die KI-Verordnung (EU AI Act, Verordnung 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Sie klassifiziert KI-Systeme in vier Risikoklassen: verbotene KI, Hochrisiko-KI, KI mit Transparenzpflichten und minimales Risiko. Die Verordnung trat am 1. August 2024 in Kraft. Verbotene Praktiken gelten ab 2. Februar 2025, GPAI-Pflichten ab 2. August 2025, Hochrisiko-Pflichten ab 2. August 2026 (harmonisierte Bereiche ab 2027). Die Verordnung ist unmittelbar in allen EU-Mitgliedstaaten anwendbar.
Welche Fristen gelten für die KI-Verordnung?+
Die Fristen sind gestaffelt: 2. Februar 2025 – Verbot bestimmter KI-Praktiken (z.B. Social Scoring, biometrische Echtzeit-Identifizierung mit Ausnahmen) und KI-Kompetenzpflicht nach Art. 4. 2. August 2025 – Verpflichtungen für General-Purpose AI-Modelle (GPAI) und Benennung nationaler Behörden. 2. August 2026 – volle Anwendung der Hochrisiko-Pflichten für KI-Systeme in Anhang III. 2. August 2027 – Hochrisiko-KI, die Sicherheitskomponenten regulierter Produkte ist (z.B. Medizintechnik).
Was ist Hochrisiko-KI?+
Hochrisiko-KI umfasst KI-Systeme, die erhebliche Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte haben. Anhang III listet konkrete Bereiche: biometrische Identifizierung, kritische Infrastrukturen, Bildungszugang, Beschäftigung (Recruiting, Leistungsbewertung), Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen (Kreditvergabe, Versicherung), Strafverfolgung, Migration, Justiz und demokratische Prozesse. Für diese Systeme gelten strenge Pflichten: Risikomanagementsystem, Daten-Governance, technische Dokumentation, Aufzeichnungspflichten, Transparenz, menschliche Aufsicht, Robustheit und Cybersicherheit.
Wer ist von der KI-Verordnung betroffen?+
Betroffen sind Anbieter von KI-Systemen (Entwickler, Hersteller), Betreiber (Nutzer in einem Unternehmenskontext), Einführer (Importeure) und Händler. Die Pflichten unterscheiden sich nach Rolle. Auch Unternehmen außerhalb der EU fallen unter die Verordnung, sobald ihre KI-Systeme in der EU in Verkehr gebracht oder eingesetzt werden oder wenn die Ausgaben in der EU genutzt werden – ähnlich der DSGVO. Für die meisten Unternehmen bedeutet das: Wenn Sie OpenAI, Anthropic, Google Gemini oder eigene KI-Modelle in der EU einsetzen, sind Sie Betreiber und haben Transparenz-, Kompetenz- und Dokumentationspflichten.
Welche Strafen drohen bei Verstößen gegen die KI-Verordnung?+
Die Bußgelder sind höher als unter der DSGVO. Verstöße gegen Verbote (z.B. unzulässige KI-Praktiken) werden mit bis zu EUR 35 Mio. oder 7 % des weltweiten Jahresumsatzes sanktioniert. Verstöße gegen Hochrisiko-Pflichten können bis zu EUR 15 Mio. oder 3 % kosten. Bereitstellung irreführender Informationen gegenüber Behörden kostet bis zu EUR 7,5 Mio. oder 1,5 %. GPAI-Anbieter haften gesondert nach Art. 101.
Was sind General-Purpose AI-Modelle (GPAI)?+
GPAI sind KI-Modelle mit allgemeinem Verwendungszweck, die für eine Vielzahl unterschiedlicher Aufgaben eingesetzt werden können – z.B. GPT-4, Claude, Gemini, Llama. Die KI-Verordnung unterteilt GPAI in zwei Stufen: (1) Basis-GPAI mit Transparenzpflichten (Modellkarten, Schulungsdaten-Zusammenfassung, Copyright-Richtlinie, EU-Konformitätserklärung). (2) GPAI mit systemischem Risiko (Modelle mit >10^25 FLOPs Trainingsrechenleistung) mit zusätzlichen Pflichten: Modellevaluierung, adversariales Testen, Incident-Meldung, Cybersicherheit. Die Pflichten richten sich primär an Modellanbieter, betreffen aber auch Unternehmen als Betreiber beim Einsatz solcher Modelle.
Wie setze ich die KI-Verordnung im Unternehmen um?+
Schritt 1: KI-Inventar erstellen – welche KI-Systeme sind in der Organisation im Einsatz? Schritt 2: Risikoklassifizierung pro System (verboten, Hochrisiko, Transparenz, minimal). Schritt 3: Betreiberpflichten nach Art. 26 etablieren (Gebrauchsanweisung befolgen, Protokollierung, menschliche Aufsicht, Folgenabschätzung bei öffentlichen Akteuren). Schritt 4: KI-Kompetenz sicherstellen – nachweisbare Schulung aller Personen, die KI-Systeme bedienen (Art. 4). Schritt 5: Dokumentation und Nachweise. Schritt 6: Integration in das bestehende GRC/ISMS. Matproof bildet den kompletten EU-AI-Act-Katalog ab und automatisiert Risikoklassifizierung, Betreiberpflichten und Nachweise.
Was ist der Unterschied zwischen der KI-Verordnung und der DSGVO?+
Beide regeln unterschiedliche Aspekte. Die DSGVO schützt personenbezogene Daten – also das Was der Datenverarbeitung. Die KI-Verordnung reguliert KI-Systeme – also das Wie und Wofür, unabhängig davon, ob personenbezogene Daten verarbeitet werden. In der Praxis überlappen beide häufig: Ein KI-Recruiting-System fällt sowohl unter die DSGVO (automatisierte Entscheidungsfindung nach Art. 22) als auch unter die KI-Verordnung (Hochrisiko-KI nach Anhang III Nr. 4). Matproof bildet beide Frameworks an und erlaubt Cross-Framework-Mapping, sodass eine Nachweiseinheit beide Anforderungen erfüllt.
Kostenloses Tool
In welche Risikoklasse fällt Ihre KI?
Mit dem kostenlosen KI-Verordnung-Check ordnen Sie jedes KI-System in 3 Minuten in eine der vier Risikoklassen des EU AI Act ein — inklusive der für Sie geltenden Pflichten und Fristen.
Loslegen
Bereit für die KI-Verordnung-Compliance?
30-minütige Demo. Sehen Sie, wie Matproof KI-Inventar, Risikoklassifizierung und Betreiberpflichten automatisiert.