Kurz gesagt
Die Verordnung ordnet KI-Nutzung in Risikostufen ein. Einige Praktiken sind verboten. Hochrisiko-Systeme brauchen Dokumentation, menschliche Aufsicht, Logging, Tests und Konformitätsarbeit. Systeme mit begrenztem Risiko brauchen meist eine klare Offenlegung, dass eine Person mit KI interagiert oder KI-generierte Inhalte sieht.
Für die meisten KMU beginnt die Arbeit mit einem Inventar: welche KI-Tools genutzt werden, welche Daten hineingehen, ob das Unternehmen Anbieter oder Betreiber ist, ob der Use Case Hochrisiko ist und welche Hinweise oder menschliche Prüfung nötig sind.
Wo es wehtut
Der EU AI Act tut weh, wenn ein nützlicher KI-Pilot still Teil von Hiring, Kredit, Kundeneignung, Bildung, Sicherheit oder einem anderen folgenreichen Workflow wird. Risikoklassifizierung, Logging und menschliche Aufsicht nach dem Launch zu rekonstruieren kostet mehr, als die Leitplanken vor Release zu bauen.
Was zu prüfen ist
- Ist das System verboten, Hochrisiko, begrenztes Risiko oder minimales Risiko nach der Verordnung?
- Sind Sie Anbieter, Betreiber, Importeur, Händler oder nur Endnutzer des KI-Systems?
- Wo sind Nutzerhinweis, menschliche Prüfung, Logging, Datenschutz und Beschwerdeweg dokumentiert?
Häufige Fragen
Was ist der EU AI Act?
Der EU AI Act ist die EU-Verordnung, die KI-Systeme nach Risiko klassifiziert und Pflichten für verbotene, Hochrisiko-, begrenzte Risiko- und General-Purpose-KI-Systeme festlegt.
Macht uns ChatGPT-Nutzung zum KI-Anbieter?
In der Regel nein. Die meisten Unternehmen, die kommerzielle KI-Tools nutzen, sind Betreiber oder Nutzer, nicht Modellanbieter. Die Pflicht hängt trotzdem vom Use Case, den Daten und der Wirkung auf echte Entscheidungen ab.
Was sollten Sie beim EU AI Act zuerst prüfen?
Starten Sie mit einem KI-System-Inventar, Risikoklassifizierung je Use Case, Anbieter- oder Betreiberrolle, Transparenzhinweisen, menschlicher Aufsicht, DSGVO-Rechtsgrundlage und aktueller Umsetzungsfrist.