Artificial Intelligence Act – Gesetz über künstliche Intelligenz (AIA)

Der Artificial Intelligence Act (AIA) ist am 01.08.2024 in Kraft getreten und enthält konkrete Vorschläge zur Regelung im Umgang mit Künstlicher Intelligenz (KI) in der Forschung und Wirtschaft. Im Wesentlichen dient das Gesetz der Regulierung der KI, da diese gesellschaftlichen Schaden anrichten könnte. Die tatsächliche Anwendung seiner Regelungen erfolgt dann gestaffelt über mehrere Jahre. Der Artificial Intelligence Act soll vor allem die Sicherheit von KI-Systemen gewährleisten.Dazu folgt das Gesetz einem risikobasierten Ansatz. Das bedeutet, je höher das Risiko, desto strenger sind die Vorschriften.

Dabei betrifft das Gesetz Anbieter von KI-Systemen, die diese in der EU in Verkehr bringen oder in Betrieb nehmen, also alle juristischen Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System entwickeln oder entwickeln lassen. Ebenfalls betrifft das Gesetz Nutzer von KI-Systemen, die sich in der EU befinden. Dies umfasst auch natürliche Personen.

Unter den Begriff Künstliche Intelligenz fällt eine Software, die Konzepte des maschinellen Lernens oder des tiefen Lernens, logik- und wissensgestützte Konzepte, sowie statistische Ansätze, Bayessche Schätz-, Such- und Optimierungsmethoden nutzt und diese Software zudem vom Menschen festgelegte Ziele verfolgt, das Umfeld, mit dem sie interagiert, beeinflusst und Ergebnisse oder Inhalte empfiehlt, vorhersagt oder entscheidet.

Das Gesetz teilt dabei die Anwendungen der KI in vier Kategorien ein. Die Einordnung richtet sich nach dem potenziellen Risiko, das mit dem Einsatzbereich der Künstlichen Intelligenz einhergeht. Die verschiedenen Risikogruppen sind eingeteilt in: Ein unannehmbares Risiko, ein hohes Risiko und Hochrisiko-KI-Systeme sowie ein geringeres oder minimales Risiko. Je höher das Risiko, desto strenger sind die Regularien.

Demnach sind KI-Anwendungen der Kategorie unannehmbares Risiko untersagt (Art. 5 Nr.1 AIA). Solche Anwendungen sind beispielsweise solche, die menschliches Verhalten manipulieren und Menschen schaden können. Ebenfalls dazu gehören Anwendungen, die aufgrund von sozialem Verhalten oder persönlicher Charakteristik eine nachteilige Bewertung ermöglichen oder Anwendungen die in Echtzeit ferne Systeme in der Öffentlichkeit erkennen und eine biometrische Identifizierung von Menschen ermöglichen.

Eine Einstufung einer KI-Anwendung als Hochrisiko-KI-System bringt gemäß Art. 8 ff. AIA konkrete Pflichten mit sich. Die betroffenen Akteure sind demnach zur Einrichtung, Dokumentation und Aufrechterhaltung eines Risikomanagements verpflichtet. Des Weiteren ist das Führen einer technischen Dokumentation und die Aufsichtsführung durch menschliches Personal vorgeschrieben.

KI-Systeme mit minimalem oder geringem Risiko sind solche, die ein geringes Manipulationsrisiko aufweisen (Art. 52 AIA). Darunter fallen demnach KI-Systeme, die mit Menschen interagieren, Inhalte erzeugen oder manipulieren aber auch Systeme, die zur Erkennung von Emotionen oder zur Assoziierung gesellschaftlicher Kategorien anhand biometrischer Daten eingesetzt werden. Beispiele hierfür sind Chatbots oder auch Spamfilter und Deep Fakes. Für diese Systeme gilt nur eine minimale Transparenz- und Informationspflicht.

Am 2. August 2025 trat eine entscheidende Umsetzungsstufe des AIA in Kraft. Ab diesem Zeitpunkt gelten erstmals verbindliche Anforderungen für Unternehmen, die KI-Modelle mit allgemeinem Verwendungszweck – sogenannte General Purpose AI (GPAI) – entwickeln, vertreiben oder einsetzen.

Besonders betroffen sind große Sprachmodelle (wie GPT), multimodale Systeme und andere universell einsetzbare KI-Lösungen. Anbieter solcher Modelle müssen umfangreiche Transparenz- und Dokumentationspflichten erfüllen. Dazu zählen unter anderem Informationen über die Trainingsdaten, technische Beschreibungen, Risikobewertungen und Hinweise auf potenziellen Missbrauch.

Zeitgleich wurden auch die ersten Governance-Regeln wirksam. Die nationalen Aufsichtsbehörden erhalten konkrete Zuständigkeiten, und die Rahmenbedingungen für die Marktüberwachung werden festgelegt.

Im Falle eines Verstoßes gegen das Gesetz drohen im schlimmsten Fall Geldbußen in Höhe von bis zu 35.000.000 € oder in Höhe von bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem welcher Betrag höher ist.