Das Wichtigste auf einen Blick — Risikoklassifizierung nach dem EU AI Act
Der EU AI Act (Verordnung 2024/1689) schafft den weltweit ersten umfassenden, rechtlich verbindlichen Rahmen für künstliche Intelligenz. Sein risikobasiertes Klassifizierungssystem ordnet jedes KI-System einer von vier Stufen zu — inakzeptables, hohes, begrenztes oder minimales Risiko — basierend auf Verwendungszweck und Einsatzkontext. Die Bussen reichen bis zu 35 Millionen EUR oder 7 % des weltweiten Jahresumsatzes. Die Durchsetzung begann im Februar 2025 für verbotene Praktiken, wobei Hochrisikopflichten bis August 2027 schrittweise in Kraft treten. Compliance-Teams müssen alle KI-Systeme inventarisieren, jedes nach Anwendungsfall klassifizieren und stufenspezifische Massnahmen umsetzen.
Was ist der EU AI Act?
Der EU AI Act (formell Verordnung (EU) 2024/1689) ist die horizontale Verordnung der Europäischen Union, die harmonisierte Regeln für künstliche Intelligenz festlegt. Sie wurde am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht und trat am 1. August 2024 in Kraft. Die Verordnung verfolgt einen risikobasierten Ansatz und erlegt Pflichten auf, die im Verhältnis zum Risiko stehen, das ein KI-System für Gesundheit, Sicherheit und Grundrechte darstellt. Quelle: EUR-Lex, Verordnung (EU) 2024/1689
Was ist risikobasierte Klassifizierung in der KI-Regulierung?
Risikobasierte Klassifizierung ist eine regulatorische Methodik, die Compliance-Pflichten anhand des potenziellen Schadens zuweist, den ein KI-System verursachen kann, statt die Technologie selbst zu regulieren. Der EU AI Act definiert vier Stufen: inakzeptables Risiko (Artikel 5, verboten), hohes Risiko (Artikel 6–51, streng reguliert), begrenztes Risiko (Artikel 50, Transparenzpflichten) und minimales Risiko (keine spezifischen Anforderungen). Dieser Ansatz orientiert sich an etablierten Produktsicherheitsrahmen im EU-Recht. Quelle: EUR-Lex, Verordnung (EU) 2024/1689
Was ist eine Konformitätsbewertung nach dem EU AI Act?
Eine Konformitätsbewertung ist der Prozess, mit dem ein Anbieter eines Hochrisiko-KI-Systems nachweist, dass das System die in Kapitel III, Abschnitt 2 des EU AI Act festgelegten Anforderungen erfüllt. Je nach Systemkategorie kann dies eine Selbstbewertung sein oder die Beteiligung einer benannten Stelle erfordern. Die Bewertung umfasst Risikomanagement, Daten-Governance, technische Dokumentation, Genauigkeit, Robustheit und Cybersicherheit. Quelle: EUR-Lex, Verordnung (EU) 2024/1689, Artikel 40–43
Was ist ein KI-Modell mit allgemeinem Verwendungszweck (GPAI)?
Ein KI-Modell mit allgemeinem Verwendungszweck ist ein KI-Modell — einschliesslich grosser generativer Modelle —, das mit einer grossen Datenmenge unter Verwendung von Selbstüberwachung im grossen Massstab trainiert wurde, das eine erhebliche allgemeine Anwendbarkeit aufweist und in der Lage ist, ein breites Spektrum unterschiedlicher Aufgaben kompetent auszuführen. GPAI-Anbieter unterliegen ab August 2025 Transparenzpflichten, und Modelle mit systemischem Risiko unterliegen zusätzlichen Anforderungen, darunter Adversarial Testing und Vorfallmeldungen. Quelle: EUR-Lex, Verordnung (EU) 2024/1689, Artikel 51–56
Statistiken und Marktkontext
Gemäss dem finalen Text des EU AI Act (Erwägungsgrund 1) zielt die Verordnung darauf ab, sicherzustellen, dass auf dem Unionsmarkt in Verkehr gebrachte KI-Systeme sicher sind und die Grundrechte achten. Der Bussgeldrahmen in Artikel 99 legt drei Bussgeldstufen fest: bis zu 35 Millionen EUR oder 7 % des weltweiten Umsatzes für verbotene Praktiken, bis zu 15 Millionen EUR oder 3 % für die Nichteinhaltung bei Hochrisikosystemen und bis zu 7,5 Millionen EUR oder 1 % für die Übermittlung falscher Informationen. Laut einer IAPP-Umfrage aus dem Jahr 2024 hatten bis Mitte 2024 weniger als 25 % der Organisationen mit der formellen Inventarisierung von KI begonnen (IAPP). Eine globale McKinsey-Umfrage aus dem Jahr 2024 ergab, dass 72 % der Organisationen KI in mindestens einer Geschäftsfunktion eingeführt hatten, gegenüber 55 % im Jahr 2023 (McKinsey, The State of AI 2024). Die Folgenabschätzung der Europäischen Kommission schätzte, dass etwa 15 % der in der EU eingesetzten KI-Systeme in die Hochrisikokategorie fallen würden.
Häufig gestellte Fragen
Was sind die vier Risikostufen nach dem EU AI Act?
Der EU AI Act unterteilt KI-Systeme in vier Stufen: inakzeptables Risiko (gemäss Artikel 5 vollständig verboten), hohes Risiko (gemäss Artikel 6–51 zulässig, aber streng reguliert, mit Konformitätsbewertungen, Risikomanagementsystemen und menschlicher Aufsicht), begrenztes Risiko (Transparenzpflichten gemäss Artikel 50, etwa die Offenlegung KI-generierter Inhalte) und minimales Risiko (keine spezifischen regulatorischen Anforderungen). Die Klassifizierung hängt vom Verwendungszweck und Einsatzkontext ab, nicht von der zugrunde liegenden Technologie. Quelle: EUR-Lex, Verordnung (EU) 2024/1689
Was sind die maximalen Bussen nach dem EU AI Act?
Der EU AI Act legt in Artikel 99 einen dreistufigen Bussgeldrahmen fest. Der Einsatz eines verbotenen KI-Systems zieht Bussen von bis zu 35 Millionen EUR oder 7 % des weltweiten Jahresumsatzes nach sich, je nachdem, welcher Betrag höher ist. Die Nichteinhaltung von Hochrisikopflichten löst Bussen von bis zu 15 Millionen EUR oder 3 % aus. Die Übermittlung falscher Informationen an benannte Stellen oder nationale Behörden kann Bussen von bis zu 7,5 Millionen EUR oder 1 % zur Folge haben. Für KMU und Start-ups werden die Bussen auf den jeweils niedrigeren der beiden Beträge begrenzt. Quelle: EUR-Lex, Verordnung (EU) 2024/1689, Artikel 99
Wann beginnen die Durchsetzungsfristen des EU AI Act?
Die Durchsetzung erfolgt gestaffelt über einen Zeitraum von 36 Monaten ab Inkrafttreten (1. August 2024): 2. Februar 2025 — verbotene KI-Praktiken (Artikel 5) werden durchsetzbar. 2. August 2025 — Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck gelten. 2. August 2026 — Hochrisikopflichten für Systeme nach Anhang III (eigenständige Hochrisiko-KI). 2. August 2027 — Hochrisikopflichten für Systeme nach Anhang I (in regulierte Produkte eingebettete KI). Quelle: EUR-Lex, Verordnung (EU) 2024/1689, Artikel 113
Ist Emotionserkennung am Arbeitsplatz nach dem EU AI Act verboten?
Ja. Gemäss Artikel 5(1)(f) des EU AI Act gelten Systeme zur Emotionserkennung, die am Arbeitsplatz und in Bildungseinrichtungen eingesetzt werden, als inakzeptables Risiko und sind verboten, ausser wenn sie zu medizinischen oder Sicherheitszwecken verwendet werden. Dieses Verbot ist seit dem 2. Februar 2025 durchsetzbar. Organisationen sollten bestehende HR-Technologie, Videointerview-Plattformen und Tools zur Analyse des Mitarbeiterengagements auf eingebettete Funktionen zur Emotionserkennung prüfen, die Anbieter möglicherweise als «Sentiment-Analyse» oder «Engagement-Scoring» vermarktet haben. Quelle: EUR-Lex, Verordnung (EU) 2024/1689, Artikel 5
Wie klassifiziert der EU AI Act dasselbe KI-Modell in unterschiedlichen Kontexten?
Die Klassifizierung nach dem EU AI Act ist anwendungsfallabhängig, nicht technologieabhängig. Dasselbe grosse Sprachmodell könnte als begrenztes Risiko eingestuft werden, wenn es als Kundenservice-Chatbot eingesetzt wird (was nur Transparenzoffenlegungen gemäss Artikel 50 erfordert), aber als hohes Risiko, wenn es zur Leistungsbeurteilung von Mitarbeitenden oder zur Bonitätsbewertung verwendet wird (was vollständige Konformitätsbewertungen gemäss Artikel 6–43 erfordert). Das bedeutet, dass Organisationen ihr KI-Inventar nicht einmalig klassifizieren können — jeder neue Einsatzkontext erfordert eine erneute Risikobewertung. Quelle: EUR-Lex, Verordnung (EU) 2024/1689, Artikel 6
Welche Compliance-Pflichten gelten für Hochrisiko-KI-Systeme?
Anbieter von Hochrisiko-KI-Systemen müssen Folgendes umsetzen: ein Risikomanagementsystem (Artikel 9), Daten-Governance-Massnahmen (Artikel 10), technische Dokumentation (Artikel 11), Aufzeichnungen und automatische Protokollierung (Artikel 12), Transparenz und Informationsbereitstellung für Betreiber (Artikel 13), Massnahmen zur menschlichen Aufsicht (Artikel 14) und Standards für Genauigkeit, Robustheit und Cybersicherheit (Artikel 15). Zudem müssen sie eine Konformitätsbewertung durchführen (Artikel 40–43), das System in der EU-Datenbank registrieren (Artikel 49), ein Qualitätsmanagementsystem einrichten (Artikel 17) und eine Beobachtung nach dem Inverkehrbringen umsetzen (Artikel 72). Quelle: EUR-Lex, Verordnung (EU) 2024/1689, Kapitel III
Vergleich der Risikostufen nach dem EU AI Act
| Risikostufe | Artikel des EU AI Act | Wesentliche Pflichten | Maximale Sanktion | Durchsetzungsdatum |
|---|
| Inakzeptabel | Artikel 5 | Vollständiges Verbot; Einsatz muss eingestellt werden | 35 Mio. EUR oder 7 % des Umsatzes | 2. Februar 2025 |
| Hoch | Artikel 6–51 | Konformitätsbewertung, Risikomanagement, menschliche Aufsicht, technische Dokumentation, Registrierung in der EU-Datenbank | 15 Mio. EUR oder 3 % des Umsatzes | 2. August 2026 / 2. August 2027 |
| Begrenzt | Artikel 50 | Transparenzoffenlegungen (z. B. Information der Nutzer, dass sie mit KI interagieren, Kennzeichnung KI-generierter Inhalte) | 15 Mio. EUR oder 3 % des Umsatzes | 2. August 2026 |
| Minimal | Keine spezifischen Artikel | Keine verpflichtenden Anforderungen; freiwillige Verhaltenskodizes werden empfohlen | Nicht zutreffend | Nicht zutreffend |