Der EU AI Act ist in Kraft – und IT-Teams müssen jetzt handeln
Seit Mitte 2024 ist der EU AI Act offiziell in Kraft getreten. Die längsten Übergangsfristen laufen 2026 ab – damit beginnt für viele Unternehmen jetzt die Phase der konkreten Umsetzungspflicht. IT-Teams stehen vor der Aufgabe, nicht nur bestehende KI-Systeme zu bewerten, sondern interne Prozesse, Dokumentationspflichten und Risikobewertungen dauerhaft zu etablieren.
Dieser Artikel fasst zusammen, was IT-Teams konkret wissen müssen: Welche Systeme fallen unter welche Risikokategorie? Was muss dokumentiert werden? Und was droht bei Verstößen?
Das Risikoklassifikationsmodell im Überblick
Der EU AI Act unterteilt KI-Anwendungen in vier Risikokategorien, die unterschiedliche Anforderungen nach sich ziehen:
- Unakzeptables Risiko: Verbotene KI – darunter Social Scoring, manipulative Systeme und biometrische Echtzeit-Überwachung im öffentlichen Raum.
- Hochrisiko-KI: Systeme, die in kritischen Bereichen wie Personalwesen, Kreditbewertung, Bildung, Strafverfolgung oder kritischer Infrastruktur eingesetzt werden. Hier gelten die strengsten Anforderungen.
- Begrenztes Risiko: Systeme wie Chatbots, für die Transparenzpflichten gelten – Nutzer müssen wissen, dass sie mit KI interagieren.
- Minimales Risiko: Die Mehrheit der KI-Anwendungen, z. B. Spam-Filter oder KI-gestützte Spielmechaniken. Hier gibt es keine gesetzlichen Pflichten, aber freiwillige Verhaltenskodizes.
Die entscheidende Aufgabe für IT-Teams besteht darin, alle eingesetzten KI-Systeme zu inventarisieren und zu klassifizieren.
Was Hochrisiko-KI-Systeme konkret erfordert
Wer Hochrisiko-KI-Systeme betreibt oder entwickelt, muss eine Reihe technischer und organisatorischer Maßnahmen umsetzen. Dazu gehören im Wesentlichen:
Risikomanagement-System
Es muss ein dokumentiertes Risikomanagement-System vorhanden sein, das bekannte und vorhersehbare Risiken des Systems identifiziert, bewertet und minimiert. Das System muss über den gesamten Lebenszyklus gepflegt werden – nicht nur bei der Erstzulassung.
Datengovernance
Trainingsdaten, Validierungsdaten und Testdaten müssen nach klar definierten Qualitätskriterien ausgewählt werden. Bias-Prüfungen sind verpflichtend, und die Datenherkunft muss nachvollziehbar dokumentiert sein.
Technische Dokumentation
Für jedes Hochrisiko-System muss eine umfassende technische Dokumentation vorliegen – von der Systembeschreibung über die Leistungsgrenzen bis hin zu Cybersecurity-Maßnahmen. Diese Dokumentation muss für Marktüberwachungsbehörden auf Anfrage bereitgestellt werden können.
Menschliche Aufsicht
Hochrisiko-Systeme müssen so gestaltet sein, dass menschliche Aufsicht möglich bleibt. Das bedeutet: Übersteuerungsfunktionen, Stopp-Mechanismen und nachvollziehbare Entscheidungsprozesse müssen technisch realisiert und dokumentiert sein.
Genauigkeit, Robustheit und Cybersicherheit
Systeme müssen gegen Angriffe und Fehleingaben robust sein. IT-Teams müssen sicherstellen, dass Modelle regelmäßig evaluiert werden und Maßnahmen gegen Adversarial Attacks oder Datenverfälschung existieren.
Transparenzpflichten für Chatbots und generative KI
Auch unterhalb der Hochrisiko-Schwelle gibt es Pflichten. Wer Chatbots oder andere KI-basierte Dialogsysteme betreibt, muss Nutzer klar informieren, dass sie mit einem KI-System interagieren. Bei generativer KI, die Texte, Bilder oder Audios produziert, müssen Ausgaben als KI-generiert kennzeichnet werden – soweit technisch machbar.
Für Unternehmen, die Dienste wie KI-gestützte Support-Chats, automatisierte E-Mail-Beantwortungen oder KI-generierte Berichte einsetzen, bedeutet das konkret: Nutzerhinweise einführen, Logging aktivieren und interne Richtlinien dokumentieren.
Was IT-Teams jetzt konkret tun müssen
Die wichtigsten Schritte für die Umsetzung des EU AI Act in IT-Organisationen lassen sich auf sechs Punkte verdichten:
- KI-Inventar erstellen: Alle eingesetzten KI-Tools und -Systeme erfassen – intern entwickelte ebenso wie eingekaufte Lösungen.
- Risikobewertung durchführen: Jede Anwendung anhand der vier Risikoklassen einordnen. Zweifelsfälle konsultativ mit Rechts- und Compliance-Abteilungen klären.
- Dokumentationsprozesse aufbauen: Für Hochrisiko-Systeme vollständige technische Dokumentation anlegen und aktuell halten.
- Transparenzhinweise implementieren: Chatbots und generative Systeme mit entsprechenden Hinweisen versehen.
- Menschliche Kontrollmechanismen sicherstellen: Eskalationspfade und Übersteuerungsfunktionen für automatisierte Entscheidungen einrichten.
- Monitoring und Logging aktivieren: KI-Systeme müssen protokollierbar sein – Logs helfen nicht nur bei der Compliance, sondern auch bei Audits und Sicherheitsvorfällen.
Welche Strafen bei Verstößen drohen
Der EU AI Act sieht empfindliche Bußgelder vor. Bei Verstößen gegen das Verbot bestimmter KI-Praktiken (unakzeptables Risiko) sind Strafen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes möglich. Bei Verletzung anderer Pflichten für Hochrisiko-Systeme liegen die Obergrenzen bei 15 Millionen Euro oder 3 % des Umsatzes. Falsche oder unvollständige Informationen gegenüber Aufsichtsbehörden können bis zu 7,5 Millionen Euro oder 1 % des Umsatzes kosten.
Für kleine und mittlere Unternehmen gelten jeweils die niedrigeren der beiden Grenzen. Dennoch: Auch KMU sollten die Anforderungen ernst nehmen, denn die nationalen Marktüberwachungsbehörden erhalten umfangreiche Prüfrechte.
Wie Monitoring-Tools bei der Compliance helfen können
Ein oft übersehener Aspekt: KI-Compliance erfordert laufendes Monitoring. IT-Teams, die bereits Uptime-Monitoring, Heartbeat-Checks und Statusseiten für ihre Infrastruktur betreiben, können diese Logik auf KI-Systeme ausweiten. Reaktionszeiten, Verfügbarkeit und Fehlerraten von KI-APIs lassen sich genauso überwachen wie klassische Infrastrukturkomponenten.
Tools wie FreshCore ermöglichen es, Monitore für KI-Endpunkte einzurichten und bei Anomalien sofortige Benachrichtigungen zu verschicken. So entsteht ein nachvollziehbares Protokoll – hilfreich sowohl für die interne Betriebssicherheit als auch für externe Audits.
Fazit: Compliance ist kein Einmalprojekt
Der EU AI Act verlangt keine einmalige Zertifizierung, sondern dauerhaftes, dokumentiertes Qualitätsmanagement für KI-Systeme. IT-Teams, die jetzt strukturiert beginnen – mit einem klaren Inventar, Risikobewertungen und belastbarer Dokumentation –, schaffen sich nicht nur Rechtssicherheit, sondern stärken das Vertrauen ihrer Nutzer und Geschäftspartner.
Wer die Anforderungen als Chance begreift, seine KI-Infrastruktur professioneller und transparenter zu gestalten, wird langfristig profitieren.
Quellen: Europäisches Parlament – Verordnung (EU) 2024/1689 (EU AI Act); European AI Office; Bitkom e.V. – Leitfaden EU AI Act 2024.
Bildquelle: Unsplash / Levart_Photographer (KI-Visualisierung, lizenzfrei)