Blog
EU AI Act 2025: Neue Pflichten & Chancen für Unternehmen
Im Mai 2024 hat die EU ihren AI Act verabschiedet, der im Februar 2025 in Kraft getreten ist. Die Mitgliedsstaaten, also auch Deutschland, sind nun verpflichtet, dieses weltweit erste Gesetz zur Regulierung von Künstlicher Intelligenz (KI) in nationale Vorgaben umzusetzen. Wir geben Ihnen einen Überblick darüber, was der AI Act für Ziele hat und was er für Unternehmen bedeutet:
Das will die EU mit dem AI Act erreichen
Ob das frei verfügbare Chat GPT oder der KI-Assistent Copilot von Microsoft – KI hält gerade in alle Bereiche des Lebens Einzug. Neben den großen Chancen bringt das auch bisher unbekannte Risiken mit sich. Mit ihrem AI Act will die EU sicherstellen, dass die Grundrechte der europäischen Bürger gewahrt werden: Er soll verhindern, dass durch KI Diskriminierung entsteht oder dass die Technologie als Werkzeug zu Überwachung und Machtmissbrauch eingesetzt wird. Auch KI muss sich an den Menschenrechten und geltender Ethik orientieren, so die Prämisse. Die Regeln und die damit etablierten Standards sollen helfen, den europäischen Raum zu einem Standort für vertrauenswürdige KI zu machen.
Die wichtigsten Inhalte des Gesetzes
Die EU verfolgt einen risikobasierten, vorbeugenden Ansatz. Der Act teilt KI-Systeme deshalb nach Risiko für Gesellschaft und Individuen in vier Kategorien eingeteilt:
- Verbotene KI (z.B. soziale Bewertungssysteme nach chinesischem Vorbild)
- Hochriskante KI (z.B. biometrische Identifizierung, Kreditvergabe)
- KI mit begrenztem Risiko (z.B. Chatbots mit Transparenzpflichten)
- KI mit minimalem Risiko (z.B. Videospiele mit KI-Funktionen)
Je nach Risikostufe gelten für Entwickler und Anbieter dieser KI festgelegte Anforderungen. Die Vorgaben und entsprechende Testumgebungen bei der Entwicklung sollen zu KI führen, die sicher genutzt werden kann.
Der EU AI Act verpflichtet Unternehmen zum besonderen Schutz von Grundrechten, Transparenz und Datenschutz. KI-generierte Inhalte (z.B. Deepfakes) müssen offen als solche gekennzeichnet sein. Wie ernst es die EU mit der Umsetzung nimmt, zeigt sich an den strengen Sanktionen, die bei Verstößen vorgesehen sind: Ähnlich wie bei der DSGVO können auf Unternehmen hohe Geldstrafen bis zu 35 Mio. Euro bzw. sieben Prozent des weltweiten Jahresumsatzes zukommen.
Wie wird KI in den USA und in der VR China reguliert?
Wie in anderen Bereichen, etwa bei Entwicklungen der Pharmaindustrie, setzen die USA eher auf Innovationsförderung und Vertrauensvorschuss. Das bedeutet, es gibt weniger strenge Einschränkungen für Unternehmen – dafür ist das Risiko hoher Schadensersatzklagen gegen einzelne Unternehmen groß. Daher gibt es bisher auch keine einheitlichen nationale KI-Regulierung, sondern eine Mischung aus Bundesrichtlinien (Executive Orders) und einzelstaatlichen Regelungen. Regularien wie die US Executive Order on AI setzen eher auf Leitlinien und freiwillige Selbstregulierung.
Einheitliche Strafen fehlen, es gibt nur eine sektorspezifische Regulierung. KI-generierte Inhalte müssen zwar in der Regel gekennzeichnet werden. Die Vorschriften zu Transparenz und Kennzeichnung sind allerdings weniger streng. Die existierenden Regeln stehen aktuell durch die Trump-Regierung zur Disposition.
In der Volksrepublik China liegt der Schwerpunkt auf starker staatlicher Kontrolle: Ein strenges, zentralisiertes Modell soll KI-Unternehmen zur Einhaltung bestimmter ethischer und sicherheitsrelevanter Vorgaben zwingen. KI-Systeme werden streng vom Staat überwacht und lizensiert. Bei der Kennzeichnung von KI-generierten Inhalten gibt es mit den USA vergleichbare Richtlinien.
Was bedeutet der EU AI Act konkret für Unternehmen?
Je nach Risikoklasse gibt es bestimmte Kernvorschriften, an die sich Unternehmen halten müssen:
- Verbotene KI: Überhaupt nicht erlaubt
- Hochriskante KI: Strenge Anforderungen an Transparenz & Datenschutz
- KI mit begrenztem Risiko: Besondere Transparenzpflichten
- KI mit minimalem Risiko: Keine besonderen Einschränkungen
Jedes Unternehmen muss – unabhängig vom Risikoniveau der eingesetzten KI – die mögliche Verwendung von Kundeninformationen und mögliche Risiken zu den AI-Risikokategorien zuordnen. Es gibt vier zentrale Anforderungen, die es zu erfüllen gilt:
- Transparenz: Usern muss bewusst sein, dass sie mit einer KI interagieren (z. B. Chatbots). KI-generierte oder manipulierte Inhalte (z. B. Deepfakes) müssen immer gekennzeichnet sein.
- Dokumentation: KI-Modelle müssen klar nachvollziehbar und überprüfbar sein.
- Menschenzentrierte, ethische KI: Kritische Entscheidungen, etwa in der Medizin, dürfen nicht ausschließlich von KI getroffen werden. Es muss ein Mensch am Ende der Entscheidungskette stehen, der die Verantwortung trägt.
- Risikomanagement: Unternehmen müssen dokumentieren, wo es bei Prozessen und den damit verbundenen Assets zum Einsatz von KI kommt und welche dies ist. Dies muss im Risikomanagement berücksichtigt werden.
Was bedeutet das in der Praxis?
Hier drei Beispiele aus der Anpassung der ISMS bezüglich ISO 27001:
- Die Konfiguration von KI-Systemen muss so überwacht und verwaltet werden, dass unerwünschte Änderungen verhindert werden (Konfigurationsmanagement, Control A8.9).
- Es muss sichergestellt sein, dass KI-Systeme zuverlässig und kontinuierlich verfügbar sind – insbesondere, wenn sie in kritischen Infrastrukturen eingesetzt werden (IKT-Bereitschaft für die Geschäftskontinuität, Control A5.30).
- Entscheidungsprozesse von KI-Systemen müssen dokumentiert und nachvollziehbar sein (Transparenz & Nachvollziehbarkeit, Controls 5.10 & 8.16).
Angesichts der aktuellen Weltlage ist der EU AI Act ein wichtiger Schritt, die Sicherheit der EU-Bürger zu schützen und faire Wettbewerbsbedingungen für Unternehmen herzustellen. Wie sich Copilot für Microsoft 365 in diesem Zusammenhang einführen und konfigurieren lässt, erklären wir in einem unserer nächsten Blog-Artikel. Und natürlich unterstützen Sie unsere Experten gern bei Fragen rund um den AI Act und den Einsatz von KI in Ihrem Unternehmen: