ECLEirini C. LikaRechtsanwältin ·
Solicitor · LL.M.

EU AI Act Compliance

KI-Recht und EU AI Act — regulatorische Beratung für Künstliche Intelligenz

Die Verordnung (EU) 2024/1689 über künstliche Intelligenz ist die erste verbindliche horizontale KI-Regulierung weltweit. Sie gilt unmittelbar in allen EU-Mitgliedstaaten und erfasst auch Unternehmen aus Drittstaaten, soweit ihre KI-Systeme auf dem EU-Binnenmarkt wirken (Art. 2 Abs. 1 lit. c). Für Unternehmen, die KI einsetzen oder anbieten, ist der Handlungsbedarf erheblich und zeitlich nicht mehr weit entfernt.

Systematik des EU AI Act

Der EU AI Act folgt einem risikobasierten Ansatz. Er unterscheidet vier regulatorische Ebenen, die unterschiedliche Rechtsfolgen auslösen:

Verbotene KI-Praktiken (Art. 5): Absolut untersagte Systeme, darunter unterschwellige Manipulation, biometrische Echtzeit Überwachung im öffentlichen Raum (mit engen Ausnahmen) und Social Scoring durch öffentliche Stellen. Für Unternehmen ohne staatliche Funktion sind die meisten Verbote nicht einschlägig, aber die Auslegung des Manipulationsverbots (Art. 5 Abs. 1 lit. a) und der Anforderungen an Emotionserkennung (Art. 5 Abs. 1 lit. f) erfordern sorgfältige Prüfung.

Hochrisiko-KI-Systeme (Art. 6 i.V.m. Anhang III): Systeme in Bereichen wie Beschäftigung, Kreditwürdigkeit, Bildung, kritische Infrastruktur und Strafverfolgung. Für diese gilt ein umfangreiches Pflichtenprogramm. Anbieter müssen Konformitätsbewertungen durchfuhren, technische Dokumentation erstellen, Protokollierungsfunktionen implementieren und Systeme in der EU-Datenbank registrieren. Betreiber müssen Grundrechte-Folgenabschatzungen erstellen und menschliche Aufsicht sicherstellen.

Transparenzpflichtige Systeme (Art. 50): Chatbots, KI-generierte Inhalte und Deepfakes müssen als solche gekennzeichnet werden. Die Anforderungen sind weniger intensiv als bei Hochrisiko-Systemen, aber unmittelbar anwendbar und sanktionsbewehrt.

Allgemeine KI-Modelle, GPAI (Art. 51 ff.): Foundation Models und vergleichbare Modelle mit großem Trainingsaufwand, gelten als GPAI-Modelle mit systemischem Risiko und unterliegen verschärften Anforderungen, einschließlich Bewertung der Cyberresilienz und Berichterstattung an die KI-Behörde.

Hochrisiko-Einstufung: Wann trifft sie Ihr Unternehmen?

Die Einstufung als Hochrisiko-KI ergibt sich aus Anhang III in Verbindung mit Art. 6. Besonders relevant für Tech- und FinTech-Unternehmen sind:

Beschäftigung und Personalmanagement (Anhang III Nr. 4): Systeme zur Auswahl, Bewertung oder Überwachung von Beschäftigten. Wer HR-Scoring, Bewerber-Screening oder Performance-Monitoring durch KI unterstützt, ist typischerweise betroffen.

Wesentliche private und öffentliche Dienstleistungen (Anhang III Nr. 5): Kreditwürdigkeitsbewertung, Versicherungsrisikoabschatzung und Risikoabschatzung im Bereich Lebensversicherungen. Für FinTech-Unternehmen ist dies einer der kritischsten Bereiche: Automatisierte Kreditentscheidungen können als Hochrisiko-KI eingestuft sein.

Kritische Infrastruktur (Anhang III Nr. 2): Systeme zur Steuerung kritischer Infrastrukturen in den Bereichen Energie, Wasser, Transport und digitale Infrastruktur.

Wichtig: Art. 6 Abs. 3 enthalt eine Ausnahme für Systeme, die bestimmte Kriterien erfüllen (z.B. reine Entscheidungsunterstützung ohne eigenständige Entscheidung). Diese Ausnahme ist jedoch eng und erfordert sorgfältige Dokumentation.

Pflichtenprogramm für Anbieter von Hochrisiko-KI

Wer ein Hochrisiko-KI-System anbietet, hat nach Art. 8 ff. EU AI Act folgende Kernpflichten: Implementierung eines Risikomanagementsystems (Art. 9), das den gesamten Lebenszyklus des Systems abdeckt. Einhaltung von Datenanforderungen (Art. 10): Trainingsdaten müssen repräsentativ, fehlerfrei und im Hinblick auf mögliche Verzerrungen analysiert sein. Erstellung technischer Dokumentation (Art. 11 i.V.m. Anhang IV) vor Inverkehrbringen. Führung von Aufzeichnungen und Protokollierung (Art. 12). Transparenz gegenüber Betreibern (Art. 13). Sicherstellung menschlicher Aufsicht (Art. 14). Robustheit, Genauigkeit und Cybersicherheit (Art. 15). Konformitätsbewertung (Art. 43) und EU-Konformitätserklärung (Art. 47). Registrierung in der EU-KI-Datenbank (Art. 49).

Pflichtenprogramm für Betreiber von Hochrisiko-KI

Betreiber, die Hochrisiko-KI-Systeme einsetzen, treffen eigenständige Pflichten nach Art. 26 EU AI Act: Einsatz des Systems gemäß den Anweisungen des Anbieters. Sicherstellung menschlicher Aufsicht durch qualifizierte Personen. Überwachung des Systembetriebs und Meldung von Vorfallen. Grundrechte-Folgenabschatzung (Art. 27) für Betreiber, die öffentliche Stellen sind oder bestimmte private Dienstleistungen erbringen. Führung von Aufzeichnungen über den Einsatz. Auch als Betreiber sind Registrierungspflichten zu beachten (Art. 49 Abs. 2).

Mein Beratungsansatz: Phasenweise Compliance

Phase 1 — Inventarisierung und Einstufung: Systematische Erfassung aller eingesetzten und geplanten KI-Systeme. Risikoklassifizierung nach EU AI Act. Identifikation von Soforthandlungsbedarf (insbesondere im Hinblick auf Art. 5-Verbote).

Phase 2 — Gap-Analyse und Priorisierung: Vergleich des Ist-Stands mit den regulatorischen Anforderungen. Priorisierung nach Sanktionspotenzial und Umsetzungsaufwand. Erstellung eines realistischen Compliance-Fahrplans.

Phase 3 — Implementierung: Unterstützung bei der Erstellung technischer Dokumentation. Entwicklung interner Governance-Richtlinien. Gestaltung von Betreibervertragen mit KI-konformen Klauseln. Vorbereitung auf Konformitätsbewertungen.

Transparente Beratungspakete für diesen Bereich

Strukturierte Pakete mit klaren Leistungen und transparenten Preisen.

EU AI Act & KI-Compliance

Häufig gestellte Fragen

Gilt der EU AI Act auch für Open-Source-KI-Modelle?+

Grundsätzlich ja. Art. 2 Abs. 12 sieht jedoch Erleichterungen für Anbieter von Open-Source-GPAI-Modellen vor: Sie sind von bestimmten Pflichten ausgenommen, sofern kein systemisches Risiko besteht und das Modell unter einer Open-Source-Lizenz veröffentlicht wird. Hochrisiko-KI-Systeme, die auf Open-Source-Modellen aufbauen, bleiben vollständig reguliert.

Was ist eine Grundrechte-Folgenabschatzung?+

Die Grundrechte-Folgenabschatzung (Art. 27 EU AI Act) ist für bestimmte Betreiber verpflichtend: öffentliche Stellen und private Betreiber, die Hochrisiko-KI in den Bereichen Kreditvergabe, Versicherung, Bildung oder Beschäftigung einsetzen. Sie umfasst eine Bewertung der Auswirkungen des KI-Einsatzes auf Grundrechte, eine Konsultation betroffener Gruppen und Dokumentations- und Meldepflichten. Sie ist von der DSFA nach Art. 35 DSGVO zu unterscheiden, auch wenn beide inhaltlich überschneiden können.

Wie verhält sich der EU AI Act zum deutschen KI-Regulierungsrecht?+

Der EU AI Act ist eine Verordnung und gilt unmittelbar ohne nationalen Umsetzungsakt. Er verdrängt entgegenstehende nationale KI-spezifische Regeln (Vorrang des Unionsrechts). Nationales Recht bleibt anwendbar, soweit es nicht dem EU AI Act widerspricht und keine vollständige Harmonisierung erfolgt ist. In Deutschland sind die Marktüberwachungsbehörden nach Art. 70 EU AI Act noch zu designieren; die Bundesregierung arbeitet an der Zuständigkeitsverteilung.

Siehe auch

DSGVO & IT-RechtFinTech-Regulierung

Die Inhalte dieser Seite dienen ausschließlich der allgemeinen Information und stellen keine Rechtsberatung im Einzelfall dar. Durch die Lektüre dieser Seite entsteht kein Mandatsverhältnis. Für eine verbindliche rechtliche Einschätzung wenden Sie sich bitte direkt an die Kanzlei.

Ich freue mich auf Ihre Nachricht.

Sie haben Fragen oder möchten ein Anliegen besprechen? Schreiben Sie mir — ich melde mich zeitnah bei Ihnen.

office@eiriniclika.com+49 (0) 15121587093Erstgespräch vereinbaren