Zwei Regelwerke, ein Ziel: Verantwortungsvolle KI
Mit dem EU AI Act hat die Europäische Union das weltweit erste umfassende KI-Regulierungsgesetz verabschiedet. Zusammen mit der bereits bestehenden DSGVO entsteht ein Regelwerk, das den Einsatz von KI-Tools grundlegend beeinflusst. Was müssen Unternehmen jetzt konkret beachten?
Der EU AI Act: Grundprinzipien
Der AI Act klassifiziert KI-Systeme nach Risikoklassen:
- Unakzeptables Risiko: Verboten — z. B. Social Scoring, manipulative KI
- Hohes Risiko: Strenge Auflagen — z. B. KI in Bewerbungsverfahren, Kreditentscheidungen, kritischer Infrastruktur
- Begrenztes Risiko: Transparenzpflichten — z. B. Chatbots müssen als KI erkennbar sein
- Minimales Risiko: Keine besonderen Auflagen — z. B. Spam-Filter, Empfehlungssysteme
Die meisten KI-Tools, die in Unternehmen für Produktivitätszwecke eingesetzt werden (Texterstellung, Übersetzung, Code-Generierung), fallen in die Kategorie „begrenztes” oder „minimales Risiko”.
Wo AI Act auf DSGVO trifft
Die DSGVO bleibt weiterhin das zentrale Regelwerk für den Datenschutz — der AI Act ergänzt sie um spezifische KI-bezogene Anforderungen. Konkret bedeutet das:
- Transparenz: KI-generierte Inhalte müssen als solche erkennbar sein (gilt auch für Text, nicht nur für Deepfakes)
- Datenqualität: Hochrisiko-KI-Systeme müssen auf qualitativ hochwertigen, fairen Datensätzen trainiert werden
- Menschliche Aufsicht: Bei Hochrisiko-Anwendungen muss ein Mensch im Entscheidungsprozess eingebunden bleiben
- Dokumentation: Hochrisiko-Systeme benötigen umfangreiche technische Dokumentation
Wichtige Fristen für Unternehmen
Der AI Act ist im Sommer 2024 in Kraft getreten, wird aber schrittweise angewendet:
- Februar 2025: Verbote für unakzeptable Risiko-KI-Systeme gelten
- August 2025: Regeln für allgemeine KI-Systeme (GPAI) wie ChatGPT gelten
- August 2026: Regeln für Hochrisiko-KI-Systeme gelten vollständig
Was das für Tool-Auswahl bedeutet
Für die meisten Unternehmensanwender ändert der AI Act zunächst wenig an der praktischen Tool-Auswahl — die DSGVO-Anforderungen (AVV, EU-Hosting, Serverstandort) sind weiterhin die relevantesten Kriterien. Wichtig wird der AI Act vor allem für Unternehmen, die KI in sensiblen Bereichen einsetzen: HR (Bewerbungsscreening), Kreditwesen, Gesundheit oder Bildung.
Auf alleKI.de kennzeichnen wir, welche Tools für Hochrisiko-Anwendungen geeignet sind und welche Compliance-Informationen die Anbieter bereitstellen.
Fazit: Jetzt handeln, später profitieren
Unternehmen, die jetzt ihre KI-Nutzung dokumentieren und DSGVO-konform aufstellen, sind auch für den vollständigen AI-Act-Rollout gut gerüstet. Die Grundlage bleibt dieselbe: Wähle Tools mit Transparenz, EU-Hosting und AVV — und dokumentiere den Einsatzzweck.