Top Themen Cyber Branchen Soziales Kirche Gesundheit Versicherungen Digitale Sicherheit & Technik Cyberversicherung

Der AI Act: Europas neues Gesetz für Künstliche Intelligenz

Künstliche Intelligenz (KI) ist längst Teil des Arbeitsalltags, sei es durch Chatprogramme im Kundenservice, automatische Übersetzungen, digitale Bild- und Textanalysen oder komplexe Anwendungen in der Industrie und Verwaltung, sondern auch in Bereichen, die besonders sensibel für Gesellschaft und Menschen sind: in Krankenhäusern und Pflegeeinrichtungen, in sozialen Diensten oder in kirchlichen Organisationen. Dort unterstützt KI zum Beispiel Ärztinnen und Ärzte bei Diagnosen, erleichtert Pflegekräften die Betreuung und optimiert Abläufe von Unternehmen und Institutionen, um Angebote effizienter zu gestalten.

Mit dem zunehmenden Einsatz wachsen jedoch auch die Risiken: automatisierte Entscheidungen, die Menschen benachteiligen, fehlerhafte Diagnosen oder täuschend echte Falschinformationen. Die Europäische Union reagiert darauf mit dem AI Act, einem europaweiten Gesetz, das seit 2024 den Einsatz von KI regelt. Es ist das erste umfassende Regelwerk seiner Art weltweit. Ziel ist es, Vertrauen zu schaffen, Grundrechte zu schützen und gleichzeitig Innovation zu ermöglichen.

KI-Regulierung in Europa – Stand 2025

Bis 2024 gab es keine einheitlichen Regeln für Künstliche Intelligenz. Unternehmen, Behörden und Privatpersonen setzten die Technologie ein, ohne dass klar war, welche Grenzen gelten und was erlaubt ist. Der AI Act soll diese Lücke schließen und europaweit klare Vorgaben schaffen. Dabei gilt: Nicht jede KI ist gleich riskant, weshalb Systeme nach Risikoklassen eingeteilt werden – von „verboten/unzulässig“ bis „geringes Risiko“.
Einige Regeln des AI Acts sind bereits in Kraft. Unzulässige Anwendungen wie Social Scoring oder bestimmte biometrische Überwachungssysteme sind verboten. Nationale Behörden, die künftig die Einhaltung überwachen, werden europaweit eingerichtet. Unternehmen sind aufgefordert, sich bereits jetzt einen Überblick über ihre KI-Nutzung zu verschaffen: Welche Systeme laufen intern, welche über externe Anbieter?

Blick nach vorn: 2026 und 2027

Die Umsetzung erfolgt gestaffelt. Ab 2026 gelten für Hochrisiko-Systeme umfassende Nachweis- und Dokumentationspflichten: Betreiber müssen sicherstellen, dass ihre Systeme sicher, nachvollziehbar und korrekt eingesetzt werden. Ab 2027 kommen verpflichtende Prüfverfahren hinzu. Hersteller und Betreiber müssen dann nachweisen, dass ihre KI-Systeme diskriminierungsfrei arbeiten, keine unkontrollierten Risiken bergen und durchgängig überwacht werden.

Als „hochrisikobehaftet“ gelten KI-Anwendungen, die erhebliche Folgen für Menschen oder die öffentliche Sicherheit haben können. Zum Beispiel:

Gesundheitswesen

Diagnose- und Therapiesysteme, Patienten-Triage, Medikamentenempfehlungen

Sozialwesen

KI bei Sozialleistungsentscheidungen, Risikoeinschätzung in Jugend- oder Pflegehilfe

Kirche

Bewerbermanagement in Kitas/Schulen, Spenden- und Finanzverwaltung

Industrie/Produktion

Predictive Maintenance, Qualitätskontrolle, Prozesssteuerung in sensiblen Anlagen

Transport/Logistik

Routenplanung, autonome Fahrzeuge, Lager- und Verkehrssteuerung

Finanzwesen

Kreditwürdigkeitsprüfungen, Betrugserkennung, automatisierte Risikobewertung

Betreiber oder Hersteller – wer trägt welche Verantwortung?

Der AI Act unterscheidet klar zwischen Herstellern und Betreibern. Hersteller müssen ihre Produkte gesetzeskonform gestalten – inklusive Sicherheitsupdates, Transparenzpflichten und Konformitätsbewertungen. Betreiber, also die Unternehmen, die KI einsetzen, tragen die Verantwortung für den richtigen Einsatz. Das betrifft nahezu alle: vom Krankenhaus mit Diagnosetools über das Industrieunternehmen mit vorrauschauender Wartung bis hin zum Mittelständler, der Chatbots oder KI-gestützte Cloud-Dienste nutzt. Auch „einfache“ Anwendungen wie Chatbots oder automatische Übersetzungen fallen unter den AI Act, hier vor allem mit Transparenzpflichten: Nutzer müssen wissen, dass sie mit einer Maschine interagieren oder Inhalte von einer KI erstellt wurden.

Unternehmen können mit einfachen Schritten beginnen, um vorbereitet zu sein:

Wie sollten Unternehmen Hochrisiko-Systeme handhaben?

1.Bestandsaufnahme

Welche Anwendungen nutzen wir? Wo steckt bereits KI drin, auch in externen Lösungen wie Office-Paketen oder Cloud-Diensten?

2.Risikoeinschätzung

Welche Systeme könnten Hochrisiko sein, weil sie Entscheidungen mit Folgen für Menschen oder Sicherheit treffen?

3.Zuständigkeiten festlegen

Wer ist im Unternehmen verantwortlich? Oft ist eine enge Zusammenarbeit von IT, Compliance und Fachabteilungen sinnvoll.

4.Dokumentation

Festhalten, wofür die KI genutzt wird, welche Daten verarbeitet werden und welche Grenzen das System hat.

5.Kontrolle und Überwachung

Regelmäßige Tests durchführen, Einsatz im laufenden Betrieb beobachten, Fehlfunktionen oder Auffälligkeiten dokumentieren.

6.Menschliche Aufsicht

Entscheidungen mit größerer Tragweite sollten nie allein einer KI überlassen werden.

7.Datenschutz sicherstellen

Datenqualität prüfen, Herkunft nachvollziehen und Einhaltung der DSGVO gewährleisten.

8.Verträge prüfen

Bei externen Anbietern sicherstellen, dass Pflichten aus dem AI Act vertraglich berücksichtigt sind.

Handlungsempfehlungen für Unternehmen

Unternehmen können bereits heute wichtige Schritte unternehmen, um auf die Anforderungen des AI Act vorbereitet zu sein. Dazu gehört zunächst, einen umfassenden Überblick über alle im Betrieb eingesetzten KI-Systeme zu schaffen und eine erste Einschätzung vorzunehmen, welche dieser Systeme ab 2026 oder 2027 als Hochrisiko eingestuft werden könnten. Gleichzeitig sollten Verantwortlichkeiten klar benannt und die Führungsebene informiert werden, um Transparenz und Zuständigkeiten sicherzustellen. Auch die IT-Sicherheitsmaßnahmen müssen angepasst werden, denn Angreifer setzen selbst zunehmend KI-Technologien ein. Zudem ist es wichtig, Verträge mit Software- und Cloud-Anbietern zu prüfen, um die Pflichten aus dem AI Act rechtlich abzusichern.

eccyber empfiehlt daher, früh zu starten: Eine aktuelle Bestandsaufnahme verhindert Zeitdruck später. Dabei sollten Unternehmen breit denken und nicht nur Hochrisiko-Systeme, sondern auch Alltagsanwendungen wie Chatbots oder Übersetzungen prüfen. Prozesse und Nachweise sollten rechtzeitig vorbereitet und aufgebaut werden, damit ab 2026 und 2027 eine rechtskonforme Umsetzung möglich ist. Wichtig ist außerdem, kontinuierlich informiert zu bleiben und Entwicklungen sowie Fristen aktiv zu verfolgen.

Fazit

Der AI Act betrifft nicht nur große Technologieunternehmen. Nahezu jedes Unternehmen ist Betreiber von KI-Anwendungen, sei es in kritischen Prozessen oder in alltäglichen Tools. Wer jetzt beginnt, seine Systeme zu erfassen und Risiken einzuschätzen, ist für die kommenden Jahre vorbereitet. Das schafft nicht nur Rechtssicherheit, sondern auch Vertrauen bei Kunden, Geschäftspartnern und Aufsichtsbehörden.