Paragraphen des EU AI Acts

Hier ist eine Übersicht der zentralen Paragraphen des EU AI Acts, die für Unternehmen und Akteure in der KI-Wertschöpfungskette von Bedeutung sind, einschließlich relevanter Sanktionen: 

Kernpflichten für Anbieter, Betreiber und Anwender


Artikel 16 – Pflichten der Anbieter: Anbieter müssen sicherstellen, dass KI-Systeme vor dem Inverkehrbringen getestet, dokumentiert und den regulatorischen Anforderungen angepasst sind.

Artikel 26 – Pflichten der Betreiber: Betreiber müssen die Nutzung von KI-Systemen überwachen, Transparenz sicherstellen und schwerwiegende Vorfälle melden.

Artikel 50 – Transparenzpflichten! Anbieter und Betreiber müssen die Nutzer:innen informieren, wenn sie mit einem KI-System interagieren oder wenn Inhalte KI-generiert sind. Ausnahmen gelten nur für gesetzlich zugelassene Systeme​.

Artikel 43 – Konformitätsbewertung: Hochrisiko-KI-Systeme müssen einer Konformitätsbewertung unterzogen werden, bevor sie in Verkehr gebracht werden. Anbieter können zwischen internen und externen Prüfverfahren wählen​.

Sanktionen bei Verstößen:

Artikel 99 – Sanktionen - Verbotene KI-Praktiken (Artikel 5): Geldbußen von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes.

Verstöße gegen Anbieter- und Betreiberpflichten: Geldbußen von bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes.
Nichteinhaltung der Transparenzpflichten (Artikel 50): Gleich hohe Bußgelder wie bei Betreiberpflichten.
Minder schwere Verstöße: Sanktionen in Form von Verwarnungen oder nicht-monetären Maßnahmen möglich​.

Spezifische Anforderungen für Hochrisiko-KI-Systeme:

Anhang III – Hochrisiko-KI-Systeme Listet die Anwendungsbereiche, wie z. B. kritische Infrastrukturen, Bildung und Strafverfolgung, in denen KI-Systeme als hochriskant gelten.

Artikel 49 – Registrierungspflichten: Hochrisiko-KI-Systeme müssen vor ihrer Nutzung in der EU-Datenbank für Hochrisiko-KI-Systeme registriert werden​.

Artikel 42 – Vermutung der Konformität: KI-Systeme, die harmonisierte Normen erfüllen, werden als konform mit den gesetzlichen Anforderungen angesehen.

Verbotene KI-Praktiken Artikel 5 – Verbotene AnwendungenKI-Systeme, die Menschen manipulieren oder diskriminieren, sowie Systeme zur biometrischen Echtzeitüberwachung in öffentlichen Räumen, sind grundsätzlich verboten.

Zusätzliche VerpflichtungenArtikel 10 – Datenmanagement: KI-Systeme müssen auf hochwertigen, repräsentativen und fehlerfreien Daten basieren.

Artikel 38 – Koordinierung der notifizierten Stellen: Notifizierte Stellen überwachen Hochrisiko-KI-Systeme und stellen sicher, dass sie die regulatorischen Anforderungen erfüllen​.

Artikel 40 – Harmonisierte Normen: Verweist auf technische Standards, die von der EU verabschiedet wurden, um die Einhaltung zu erleichtern​.

Zeitrahmen und ÜbergangsregelungenGeltung des Gesetzes: Die Verordnung tritt am 2. August 2026 in vollem Umfang in Kraft. 

Einzelne Verbote und Strafen gelten jedoch bereits ab 2. Februar 2025​.

Risikoeinschätzung:

Artikel 9 fordert, dass Unternehmen die potenziellen Risiken, die von KI-Systemen ausgehen, bewerten. Dies umfasst Risiken für Sicherheit, Gesundheit und Grundrechte. Anbieter müssen technische und organisatorische Maßnahmen ergreifen, um Risiken zu minimieren, wie Simulationen und Tests unter verschiedenen Bedingungen.

Maßnahmen:

  • Erstellung eines Berichts, der potenzielle Risiken identifiziert und analysiert.
  • Durchführung technischer Tests und Simulationen, um das Verhalten des Systems zu bewerten.


Einstufung der KI-Systeme:

Artikel 6 beschreibt die Einstufung von KI-Systemen basierend auf ihrer Zweckbestimmung und potenziellen Gefahren. Hochrisikokategorien umfassen Anwendungen in der Medizin, Bildung, Strafverfolgung und kritischer Infrastruktur.

Maßnahmen:

  • Kategorisierung der Systeme anhand der Risikoklassen im AI Act.    
  • Dokumentation, warum ein System in eine bestimmte Risikoklasse fällt.


Einsatz- und Anwendungsnachweise:

Artikel 11 schreibt vor, dass Unternehmen dokumentieren müssen, wie ein KI-System genutzt wird. Dies dient der Nachvollziehbarkeit des Zwecks und der Funktion. Technische Dokumentationen müssen die Zweckbestimmung, Testergebnisse und Risikomanagementmaßnahmen enthalten.

Maßnahmen:

  • Führen eines Einsatzprotokolls mit Informationen zu Nutzung, Zweck und Ergebnissen.
  • Beschreibung, welche Prozesse oder Entscheidungen durch das System unterstützt werden.


Schulungspflicht:

Artikel 4 fordert, dass Mitarbeitende, die mit Hochrisiko-KI-Systemen arbeiten, geschult werden. Dies umfasst technisches Verständnis, rechtliche Anforderungen und die Fähigkeit, mögliche Risiken zu erkennen.

Maßnahmen:

  • Planung und Durchführung regelmäßiger Schulungen für alle betroffenen Mitarbeitenden.
  • Vermittlung technischer und rechtlicher Kenntnisse sowie Sensibilisierung für Risiken.

Bedienungsanleitungen:

Artikel 16 verpflichtet Anbieter, detaillierte und verständliche Bedienungsanleitungen bereitzustellen. Diese müssen die Installation, Nutzung und Wartung sowie potenzielle Einschränkungen und Risiken beschreiben.

Maßnahmen:

  • Überprüfung, ob die bereitgestellten Anleitungen vollständig und verständlich sind.
  • Schulung der Mitarbeitenden basierend auf den Anleitungen.


Transparenz und Nachvollziehbarkeit:

Artikel 13 verlangt, dass Entscheidungen und Prozesse von KI-Systemen für Nutzer nachvollziehbar und transparent sind. Nutzer müssen wissen, dass sie mit einer KI interagieren und wie deren Entscheidungen zustande kommen.

Maßnahmen:   

  • Implementierung von Mechanismen, die Entscheidungsprozesse erklären können.
  • Sicherstellung, dass Nutzer über die Verwendung von KI informiert sind.


Dokumentationspflicht:

Artikel 11 legt fest, dass Unternehmen umfassende technische Dokumentationen führen müssen. Diese Dokumente müssen unter anderem Details zu Algorithmen, Risikobewertungen und Sicherheitsprüfungen enthalten.

Maßnahmen:

  •  Einrichtung eines zentralen Archivs für alle relevanten Informationen zu den eingesetzten KI-Systemen.
  • Regelmäßige Überprüfung und Aktualisierung der Dokumentation.


Kennzeichnungspflicht:

Artikel 13 Absatz 2 schreibt vor, dass KI-Systeme klar gekennzeichnet sein müssen, insbesondere wenn sie mit Menschen interagieren. Die Kennzeichnung dient der Transparenz und Nutzeraufklärung.

Maßnahmen:

  • Sichtbare Hinweise anbringen, die den Einsatz eines KI-Systems anzeigen.
  • Bereitstellung zusätzlicher Informationen über die Funktionalität der KI.


Protokollpflicht:

Artikel 12 fordert die Protokollierung von Hochrisiko-KI-Systemen. Diese Protokolle müssen alle relevanten Aktivitäten und Entscheidungen des Systems dokumentieren und aufbewahren.

Maßnahmen:    

  • Implementierung eines automatisierten Protokollierungssystems, das Entscheidungen und Aktivitäten aufzeichnet.
  • Sicherstellung der sicheren Speicherung der Protokolldaten.


Datenschutz und Datensicherheit:

Artikel 10 regelt den Schutz personenbezogener Daten und verlangt, dass KI-Systeme datenschutzfreundlich gestaltet sind. Die Datenverarbeitung muss den Grundsätzen der Datenschutz-Grundverordnung folgen.

Maßnahmen:    

  • Einführung technischer Maßnahmen wie Verschlüsselung und Zugriffskontrollen.
  • Sicherstellung, dass nur notwendige Daten erhoben und verarbeitet werden.


👉 Jetzt Schulung buchen und rechtskonform handeln! Verpasse Sie nicht die Chance, Ihr Unternehmen fit für die Zukunft der KI zu machen!

jetzt Schulung buchen

Wir sind zertifiziert

Mathias Wald: 
Zertifizierter IHK Manager für angewandte KI-Transformation (IHK)