<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "FAQPage",
"@id": "https://www.koncile.ai/de/ressourcen/ki-gesetz-alles-fur-ki-projekte-andern-wird#faq",
"url": "https://www.koncile.ai/de/ressourcen/ki-gesetz-alles-fur-ki-projekte-andern-wird",
"name": "FAQ AI Act / KI-Gesetz: Compliance, Risikostufen, Pflichten",
"mainEntity": [
{
"@type": "Question",
"name": "Was ist der AI Act (KI-Gesetz)?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Der AI Act ist die EU-Verordnung zur Regulierung von KI nach einem risikobasierten Ansatz, mit strengeren Pflichten, je höher die potenziellen Auswirkungen eines Systems sind."
}
},
{
"@type": "Question",
"name": "Ab wann gilt der AI Act?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Die Umsetzung erfolgt schrittweise: verbotene Praktiken zuerst, danach Pflichten für General-Purpose-KI (GPAI) und vollständige Anforderungen für Hochrisiko-Systeme typischerweise zwischen 2026 und 2027."
}
},
{
"@type": "Question",
"name": "Ist mein Unternehmen vom AI Act betroffen?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Wahrscheinlich ja, wenn Sie KI in Europa entwickeln, integrieren oder einsetzen, die Entscheidungen automatisiert, sensible Daten verarbeitet oder kritische Geschäftsprozesse unterstützt."
}
},
{
"@type": "Question",
"name": "Welche vier Risikostufen definiert der AI Act?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Unzulässiges Risiko (verboten), hohes Risiko (erlaubt mit strengen Pflichten), begrenztes Risiko (Transparenzpflicht) und minimales Risiko (freie Nutzung)."
}
},
{
"@type": "Question",
"name": "Was ist unter dem AI Act verboten?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Der AI Act verbietet bestimmte KI-Anwendungen, die als unvereinbar mit Grundrechten gelten, z. B. Social Scoring, Kriminalitätsvorhersage nur auf Basis von Profiling, Emotionserkennung am Arbeitsplatz oder in Bildung (mit begrenzten Ausnahmen) sowie bestimmte biometrische Praktiken."
}
},
{
"@type": "Question",
"name": "Was gilt als Hochrisiko-KI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Als Hochrisiko-KI gelten Systeme in sensiblen Bereichen wie Gesundheit, Recruiting, Kredit/Versicherung, Justiz, kritische Infrastrukturen oder Migration, bei denen Fehler oder Bias erheblichen Schaden verursachen können."
}
},
{
"@type": "Question",
"name": "Welche Pflichten gelten für Hochrisiko-KI-Systeme?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Wesentliche Pflichten sind Data Governance und Bias-Reduktion, umfassende technische Dokumentation, menschliche Aufsicht, Nachvollziehbarkeit durch Logging, Cybersicherheitsmaßnahmen sowie teils eine Registrierung in einer EU-Datenbank."
}
},
{
"@type": "Question",
"name": "Sind Chatbots und synthetische Inhalte vom AI Act erfasst?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Ja, sie fallen häufig unter „begrenztes Risiko“. Die wichtigste Anforderung ist Transparenz: Nutzer müssen klar erkennen, dass sie mit KI interagieren oder KI-generierte Inhalte konsumieren."
}
},
{
"@type": "Question",
"name": "Was bedeutet die Transparenzpflicht bei begrenztem Risiko?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Transparenzpflicht bedeutet, KI klar und verständlich zu kennzeichnen, um Nutzer nicht zu täuschen, insbesondere bei Chatbots, synthetischen Stimmen und generierten oder manipulierten Medien."
}
},
{
"@type": "Question",
"name": "Was bedeutet „Human-in-the-loop“ in der Praxis?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Es bedeutet wirksame menschliche Aufsicht: Entscheidungen müssen geprüft, bestätigt, korrigiert oder gestoppt werden können, insbesondere wenn KI hochwirksame Ergebnisse beeinflusst."
}
},
{
"@type": "Question",
"name": "Was ist General-Purpose AI (GPAI)?",
"acceptedAnswer": {
"@type": "Answer",
"text": "General-Purpose AI (GPAI) bezeichnet Modelle, die für viele Aufgaben genutzt werden können (z. B. große Sprachmodelle). Der AI Act sieht dafür spezifische Transparenz-, Sicherheits- und Urheberrechtsanforderungen vor."
}
},
{
"@type": "Question",
"name": "Welche Transparenz ist für GPAI-Modelle erforderlich?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Anbieter müssen eine ausreichend detaillierte Zusammenfassung der Trainingsdaten veröffentlichen und legitime Rechteansprüche (z. B. Urheberrecht, personenbezogene Daten) ermöglichen, während bestimmte Informationen als Geschäftsgeheimnisse geschützt werden können."
}
},
{
"@type": "Question",
"name": "Welche Strafen drohen bei Nicht-Compliance?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Geldbußen können je nach Schwere bis zu 7 % des weltweiten Jahresumsatzes betragen. Zusätzlich drohen rechtliche, operative und reputative Risiken."
}
},
{
"@type": "Question",
"name": "Wie sollten Unternehmen mit der Vorbereitung beginnen?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Beginnen Sie mit einer Bestandsaufnahme Ihrer KI-Use-Cases, klassifizieren Sie diese nach Risikostufe und setzen Sie passende Maßnahmen um: Dokumentation, Data Governance, menschliche Aufsicht, Nachvollziehbarkeit und Sicherheitskontrollen."
}
}
]
},
{
"@type": "HowTo",
"@id": "https://www.koncile.ai/de/ressourcen/ki-gesetz-alles-fur-ki-projekte-andern-wird#howto",
"url": "https://www.koncile.ai/de/ressourcen/ki-gesetz-alles-fur-ki-projekte-andern-wird",
"name": "Schnell prüfen, wie der AI Act ein KI-Projekt betrifft",
"description": "Ein 4-Schritte-Check, um Risikostufe (verboten, hoch, begrenzt) und zentrale Pflichten (Transparenz, Nachvollziehbarkeit, menschliche Aufsicht) zu bestimmen.",
"totalTime": "PT10M",
"step": [
{
"@type": "HowToStep",
"position": 1,
"name": "KI-System nach Risikostufe einordnen",
"text": "Klassifizieren Sie den Use Case als unzulässiges, hohes, begrenztes oder minimales Risiko – basierend auf Kontext und potenziellen Auswirkungen."
},
{
"@type": "HowToStep",
"position": 2,
"name": "Verbotene Praktiken ausschließen",
"text": "Prüfen Sie, ob der Use Case zu verbotenen Praktiken gehört (Social Scoring, Kriminalitätsvorhersage nur via Profiling, Emotionserkennung in Arbeit/Bildung, bestimmte biometrische Anwendungen)."
},
{
"@type": "HowToStep",
"position": 3,
"name": "Sensible Tätigkeiten identifizieren",
"text": "Bei Einsatz in Gesundheit, Recruiting, Kredit/Versicherung, Justiz, kritischen Infrastrukturen oder Migration sollten Sie den Use Case als potenziell hochriskant behandeln."
},
{
"@type": "HowToStep",
"position": 4,
"name": "Passende Pflichten umsetzen",
"text": "Hohes Risiko: Data Governance, Dokumentation, menschliche Aufsicht, Logging/Nachvollziehbarkeit, Cybersicherheit. Begrenztes Risiko: Transparenz gegenüber Nutzern (Chatbots, synthetische Stimme/Video)."
}
]
},
{
"@type": "BreadcrumbList",
"@id": "https://www.koncile.ai/de/ressourcen/ki-gesetz-alles-fur-ki-projekte-andern-wird#breadcrumbs",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Ressourcen",
"item": "https://www.koncile.ai/de/ressourcen/"
},
{
"@type": "ListItem",
"position": 2,
"name": "KI-Gesetz: Warum 2026 alles für KI-Projekte verändern wird",
"item": "https://www.koncile.ai/de/ressourcen/ki-gesetz-alles-fur-ki-projekte-andern-wird"
}
]
},
{
"@type": "WebPage",
"@id": "https://www.koncile.ai/de/ressourcen/ki-gesetz-alles-fur-ki-projekte-andern-wird#webpage",
"url": "https://www.koncile.ai/de/ressourcen/ki-gesetz-alles-fur-ki-projekte-andern-wird",
"name": "KI-Gesetz: Warum 2026 alles für KI-Projekte verändern wird",
"inLanguage": "de",
"isPartOf": {
"@type": "WebSite",
"@id": "https://www.koncile.ai/#website",
"name": "Koncile",
"url": "https://www.koncile.ai/"
}
}
]
}
</script>

‍

Am 13. März 2024 verabschiedete die Europäische Union den AI Act, die weltweit erste globale Verordnung zur künstlichen Intelligenz, die einen historischen Wendepunkt darstellt, der mit dem der DSGVO vergleichbar ist. Ab 2026 müssen alle Unternehmen, die KI-Systeme in Europa entwickeln, integrieren oder nutzen, nachweisen, dass ihre Modelle rückverfolgbar, erklärbar und kontrollierbar sind. Ziel ist es, der undurchsichtigen, unkontrollierten und rechtlich riskanten KI ein Ende zu setzen. Automatisierungen ohne Aufsicht, Entscheidungen, die unmöglich zu erklären sind, „Blackbox“ -Modelle: Was gestern toleriert wurde, wird zu einem großen rechtlichen, finanziellen und Reputationsrisiko. Das KI-Gesetz definiert somit die Spielregeln neu und stellt Unternehmen vor eine neue strategische Frage: Wer wird rechtzeitig bereit sein und wer wird die Kosten einer Nichteinhaltung zu spät erkennen?

Das europäische KI-Gesetz definiert KI durch Risiken. Erfahren Sie, was sich für Unternehmen ändert, welche Sanktionen sie treffen müssen und welche Entscheidungen sie treffen müssen.

Das Kernprinzip des AI Act: eine risikobasierte Regulierung

Der AI Act reguliert künstliche Intelligenz nicht einheitlich. Er basiert auf einem einfachen, aber entscheidenden Prinzip: Je höher die potenziellen Auswirkungen eines KI-Systems auf Menschen, Rechte oder die Gesellschaft sind, desto strenger sind die regulatorischen Anforderungen.

Damit vollzieht die Europäische Union einen klaren Bruch mit früheren Technologieregulierungen. Entscheidend ist nicht mehr, ob ein Unternehmen KI einsetzt, sondern wie, wo und mit welchen Konsequenzen. Im Fokus steht also weniger die Technologie selbst als ihr konkreter Einsatz und ihre Wirkung.

Viele Organisationen sprechen über den AI Act, ohne ihn tatsächlich gelesen zu haben. Das ist kaum überraschend: Der Text ist lang, komplex und stark juristisch geprägt. Dennoch ist es nicht notwendig, jede einzelne Bestimmung zu kennen, um die operative Logik zu verstehen.

Selbst die von der Europäischen Kommission veröffentlichten Zusammenfassungen bleiben für Produkt-, Tech- oder Business-Teams schwer zugänglich. Deutlich effektiver ist es, den AI Act über eine Reihe strukturierter Fragen zu erschließen – beginnend mit der Risikoklassifizierung.

Die vier Risikostufen des AI Act

Das Herzstück des AI Act ist eine Einteilung in vier Risikokategorien. Sie bildet den Ausgangspunkt jeder Compliance-Bewertung.

Unzulässiges Risiko – verboten
Bestimmte KI-Anwendungen sind vollständig untersagt, da sie als unvereinbar mit den Grundrechten gelten. Dazu zählen soziale Bewertungssysteme (Social Scoring), prädiktive Kriminalitätsvorhersagen auf Basis von Profiling, Echtzeit-Gesichtserkennung ohne strenge Auflagen sowie Emotionserkennung am Arbeitsplatz oder im Bildungsbereich.

Hohes Risiko – erlaubt, aber streng reguliert
KI-Systeme mit hohem Risiko sind zulässig, unterliegen jedoch strengen Anforderungen. Sie betreffen Einsatzbereiche, in denen Fehler oder Verzerrungen erhebliche rechtliche, finanzielle oder gesellschaftliche Folgen haben können, etwa im Gesundheitswesen, im Recruiting, bei Krediten und Versicherungen, in der Justiz, bei kritischen Infrastrukturen oder in der Migrationsverwaltung.

Begrenztes Risiko – Transparenzpflicht
Interagiert ein KI-System direkt mit Menschen, müssen diese klar darüber informiert werden. Das gilt insbesondere für Chatbots, synthetische Stimmen oder KI-generierte Inhalte.

Minimales Risiko – freie Nutzung
Niedrigschwellige Anwendungen wie Spamfilter, einfache Empfehlungssysteme oder Videospiele unterliegen keinen besonderen regulatorischen Vorgaben.

Verbotene KI-Anwendungen frühzeitig erkennen

Bevor Unternehmen sich mit komplexen Compliance-Maßnahmen befassen, ermöglicht der AI Act eine schnelle Vorauswahl. Fällt ein Anwendungsfall unter die verbotenen Praktiken, ist Compliance keine Option – das System muss eingestellt oder grundlegend überarbeitet werden.

Für die meisten Unternehmen ist dieser Schritt beruhigend. Wenn Ihre KI weder Menschen bewertet, Verbrechen vorhersagt noch Emotionen von Mitarbeitenden analysiert, können Sie zum nächsten Schritt übergehen. Diese Klarheit nimmt viel von der anfänglichen Unsicherheit.

Sensible Tätigkeiten: Wo Risiken real werden

Kritisch wird es dort, wo KI in sogenannten sensiblen Bereichen eingesetzt wird. In vielen dieser Anwendungsfälle verarbeitet KI große Mengen unstrukturierter oder teilstrukturierter Dokumente, etwa medizinische Unterlagen, Identitätsnachweise, Finanzdokumente oder Verwaltungsakten. Diese Informationen müssen häufig zunächst mittels OCR in verwertbare Daten umgewandelt werden, was die Anforderungen an Genauigkeit, Nachvollziehbarkeit und menschliche Kontrolle im Rahmen des AI Act zusätzlich erhöht.

Kritische Infrastrukturen, medizinische Geräte oder Hochrisikoprodukte können physische Schäden verursachen. Systeme zur Leistungsbewertung von Schülern, im Recruiting, bei der CV-Selektion oder in Kredit- und Versicherungsprozessen bergen Diskriminierungsrisiken. Anwendungen in Migration, Justiz oder demokratischen Prozessen betreffen unmittelbar Grundrechte.

In diesen Kontexten ist KI kein reines Optimierungswerkzeug mehr, sondern ein entscheidungsrelevanter Akteur, der klaren Regeln unterliegen muss.

Hochrisiko-KI: Konkrete und verschärfte Pflichten

Wird ein KI-System als hochriskant eingestuft, lässt der AI Act kaum Interpretationsspielraum. Die Anforderungen sind klar definiert und operativ umsetzbar.

Unternehmen müssen die Qualität ihrer Trainingsdaten sicherstellen und Verzerrungen minimieren, eine umfassende technische Dokumentation vorhalten, eine wirksame menschliche Aufsicht gewährleisten, Entscheidungen nachvollziehbar protokollieren, ihre Systeme vor Cyberangriffen schützen und bestimmte Modelle in einer EU-Datenbank registrieren.

Diese Vorgaben verändern die Art, wie KI-Systeme entwickelt werden. Bevorzugt werden strukturierte, auditierbare und steuerbare Architekturen – und nicht mehr intransparente „Black-Box“-Lösungen. Dieser Ansatz steht in direktem Zusammenhang mit intelligent document processing, das darauf abzielt, datengetriebene Entscheidungsprozesse nachvollziehbar, erklärbar und kontrollierbar zu gestalten.

KI mit begrenztem Risiko: Transparenz als zentrale Pflicht

Nicht jedes KI-Projekt fällt unter die Hochrisiko-Kategorie. Viele gängige Anwendungsfälle, insbesondere im Bereich der generativen KI, gelten als begrenztes Risiko.

Hier ist die wichtigste Anforderung eindeutig: Transparenz. Nutzer müssen klar erkennen können, dass sie mit einer KI interagieren oder KI-generierte Inhalte konsumieren. Ziel ist es, Vertrauen zu schaffen und Irreführung zu vermeiden.

Generative KI und General-Purpose-Modelle: Das Ende der Intransparenz

Der AI Act führt zudem einen eigenen Rahmen für General Purpose AI (GPAI) ein, etwa für große Sprachmodelle. Diese Modelle müssen ausreichend detaillierte Zusammenfassungen ihrer Trainingsdaten veröffentlichen, das Urheberrecht beachten, Sicherheitstests durchführen und besonders leistungsstarke Modelle als systemisches Risiko deklarieren.

Auch wenn einige Details noch konkretisiert werden, ist eines klar: KI-Modelle mit breitem Einsatzspektrum können in Europa künftig nicht mehr vollständig intransparent betrieben werden.

Governance, Zeitplan und Sanktionen

Die Durchsetzung des AI Act wird von einem europäischen AI Office überwacht. Die Umsetzung erfolgt schrittweise: Zunächst greifen Verbote unzulässiger Praktiken, anschließend Pflichten für GPAI, und schließlich die vollständige Compliance für Hochrisiko-Systeme innerhalb von zwei bis drei Jahren.

Die möglichen Geldbußen können bis zu 7 % des weltweiten Jahresumsatzes betragen und stellen den AI Act auf eine Stufe mit der DSGVO – sowohl finanziell als auch reputativ.

Zusammengefasst

Der AI Act bedeutet nicht das Ende von KI in Unternehmen. Er markiert das Ende unkontrollierter KI. Organisationen, die frühzeitig in strukturierte Daten, nachvollziehbare Entscheidungen und menschliche Kontrolle investieren, werden nicht nur konform sein. Sie verschaffen sich einen nachhaltigen strategischen Vorteil.

‍

FAQ

FAQ — AI Act / KI-Gesetz: Was Unternehmen wissen müssen

Was ist der AI Act (KI-Gesetz)?

Der AI Act ist die EU-Verordnung zur Regulierung von Künstlicher Intelligenz nach einem risikobasierten Ansatz. Je höher das potenzielle Risiko eines Systems, desto strenger sind die Anforderungen an Transparenz, Nachvollziehbarkeit und Kontrolle.

Ab wann gilt der AI Act?

Die Umsetzung erfolgt schrittweise. Verbotene Praktiken werden zuerst adressiert, danach gelten spezifische Pflichten für General-Purpose-KI (GPAI). Für Hochrisiko-Systeme greifen die Anforderungen vollständig typischerweise zwischen 2026 und 2027.

Ist mein Unternehmen vom AI Act betroffen?

Wahrscheinlich ja, wenn Sie KI in Europa entwickeln, integrieren oder einsetzen, die Entscheidungen automatisiert, sensible Daten verarbeitet oder kritische Geschäftsprozesse unterstützt. Auch interne Systeme können relevant sein, wenn sie menschliche Entscheidungen beeinflussen.

Was ist der Unterschied zwischen Hochrisiko-KI und KI mit begrenztem Risiko?

Hochrisiko-KI wird in sensiblen Bereichen wie Gesundheit, Recruiting, Kredit, Versicherung oder Justiz eingesetzt und unterliegt strengen Pflichten. KI mit begrenztem Risiko, z. B. Chatbots oder synthetische Inhalte, ist erlaubt, erfordert aber Transparenz gegenüber Nutzern.

Sind Chatbots und generative KI vom AI Act erfasst?

Ja. Chatbots und viele generative KI-Anwendungen fallen typischerweise in die Kategorie „begrenztes Risiko“ und müssen klar kennzeichnen, dass Nutzer mit KI interagieren oder KI-generierte Inhalte sehen. Für große General-Purpose-Modelle gelten zusätzliche Pflichten.

Was bedeutet „Human-in-the-loop“ in der Praxis?

Es bedeutet eine echte menschliche Aufsicht: Menschen müssen Entscheidungen prüfen, bestätigen, korrigieren oder stoppen können. Der AI Act stellt vollständig autonome Systeme ohne wirksame Kontrolle insbesondere in Hochrisiko-Kontexten in Frage.

Welche Risiken drohen bei Nicht-Compliance?

Je nach Schwere können Geldbußen bis zu 7 % des weltweiten Jahresumsatzes erreichen. Zusätzlich drohen rechtliche, operative und reputative Risiken, etwa bei Audits oder Beschwerden.

Wie sollten Unternehmen mit der Vorbereitung beginnen?

Starten Sie mit einer Bestandsaufnahme Ihrer KI-Use-Cases, klassifizieren Sie diese nach Risikostufe und etablieren Sie passende Maßnahmen: Dokumentation, Data Governance, menschliche Aufsicht, Nachvollziehbarkeit/Logging und Sicherheitskontrollen.

Jules Ratier

Mitbegründer von Koncile - Verwandeln Sie jedes Dokument mit LLM in strukturierte Daten - jules@koncile.ai

Jules leitet die Produktentwicklung bei Koncile und konzentriert sich darauf, wie unstrukturierte Dokumente in Geschäftswert umgewandelt werden können.