Die Frist für das EU-KI-Gesetz rückt schnell näher. Bis zum 2. August 2026 müssen alle Organisationen, die KI-Systeme in der Europäischen Union betreiben, die neuen Vorschriften für risikoreiche Systeme einhalten. Hier finden Sie Ihre vollständige Checkliste zur Einhaltung der Vorschriften.
Beginnen Sie damit, jedes KI-System in Ihrer Organisation zu katalogisieren. Dazu gehören offensichtliche Tools wie Chatbots und Empfehlungsmaschinen, aber auch weniger offensichtliche: automatisierte Lebenslauf-Prüfung, vorausschauende Wartung, Algorithmen zur Bonitätsbewertung und sogar KI-gestützte Kundenbetreuungs-Weiterleitung.
Der KI-Gesetzentwurf definiert vier Risikoniveaus. Verbotene Praktiken (Artikel 5) müssen sofort eingestellt werden – dazu gehören Social Scoring, manipulative KI und biometrische Identifizierung in Echtzeit im öffentlichen Raum. Hochrisikosysteme (Anhang III) erfordern umfassende Compliance-Maßnahmen. Systeme mit begrenztem Risiko benötigen Transparenzkennzeichnungen. Systeme mit minimalem Risiko unterliegen keinen spezifischen Verpflichtungen.
Für jedes KI-System mit hohem Risiko benötigen Sie einen dokumentierten Risikomanagementprozess. Dies bedeutet, potenzielle Risiken zu identifizieren, deren Wahrscheinlichkeit und Schweregrad zu bewerten, Maßnahmen zur Risikominderung zu ergreifen und nach der Bereitstellung kontinuierlich auf neue Risiken zu überwachen.
Trainingsdaten müssen relevant, repräsentativ und frei von Verzerrungen sein. Dokumentieren Sie, woher Ihre Daten stammen, wie sie verarbeitet wurden und welche Qualitätsprüfungen durchgeführt wurden. Dies ist nicht nur eine technische Anforderung – es ist eine gesetzliche Verpflichtung, deren Nichteinhaltung erhebliche Strafen nach sich zieht.
Jedes risikoreiche System benötigt eine umfassende technische Dokumentation: Zweck des Systems, Architektur, Leistungskennzahlen, bekannte Einschränkungen und Anweisungen für die menschliche Aufsicht. Diese Dokumentation muss den Aufsichtsbehörden auf Anfrage zugänglich sein.
Bestimmen Sie Personen, die KI-Entscheidungen überwachen, interpretieren und außer Kraft setzen können. Diese Aufsichtspersonen müssen die Fähigkeiten und Grenzen des Systems verstehen, jederzeit eingreifen können und die Befugnis haben, das System bei Bedarf anzuhalten.
Bevor Sie ein KI-System mit hohem Risiko in Verkehr bringen, müssen Sie eine Konformitätsbewertung durchführen. Bei den meisten Systemen kann dies intern erfolgen. Bestimmte Kategorien – insbesondere biometrische Identifizierungssysteme – erfordern jedoch eine Bewertung durch eine externe benannte Stelle.
Die Bußgelder sind erheblich: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für verbotene Praktiken und bis zu 15 Millionen Euro oder 3 Prozent für Verstöße mit hohem Risiko. Im Gegensatz zur DSGVO wird erwartet, dass die Durchsetzung proaktiv und nicht erst nach Beschwerden erfolgt.
Die Botschaft ist klar: Unternehmen, die jetzt mit den Vorbereitungen beginnen, werden einen Wettbewerbsvorteil haben. Wer abwartet, riskiert nicht nur Geldstrafen, sondern auch den Verlust des Kundenvertrauens in einem zunehmend KI-bewussten Markt.