EU AI Act

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.


Einleitung

Der EU AI Act (Verordnung (EU) 2024/1689) stellt das weltweit erste umfassende Regelwerk für den sicheren und menschenrechtskonformen Einsatz von Künstlicher Intelligenz (KI) dar. Er verfolgt einen risikobasierten Ansatz, der KI-Systeme je nach potenzieller Gefährdung mit gestaffelten Pflichten belegt und so Innovationen fördert, während fundamentale Rechte geschützt werden.

Historie

  • 2021: EU-Kommission legt Entwurf vor (21. April).​
  • 2022–2023: Verhandlungen; EU-Rat nimmt Ausrichtung an (Dez. 2022), Einigung der Verhandlungsführer (Dez. 2023).​
  • 2024: Rat billigt (Feb.), Parlament stimmt zu (13. März), Veröffentlichung im Amtsblatt (12. Juli), Inkrafttreten (1./2. August).
  • Status 2026: Vollanwendbarkeit größtenteils (August 2026), Hochrisiko-KI bis August 2027.​

Zweck und Relevanz

Der Act schafft rechtliche Klarheit für Unternehmen, Behörden und Entwickler in der EU und darüber hinaus. Er adressiert Risiken wie Diskriminierung durch Bias, Manipulation oder Verlust der menschlichen Kontrolle und verhindert ein regulatorisches Vakuum angesichts der rasanten KI-Diffusion (z. B. generative Modelle wie ChatGPT). Relevanz ergibt sich aus hohen Bußgeldern (bis 7% globalen Umsatzes) und extraterritorialer Geltung: Jede KI, die in der EU vermarktet oder eingesetzt wird, fällt darunter.

Regelungsschwerpunkte

Der Act klassifiziert KI-Systeme in vier Risikostufen mit gestaffelten Pflichten:

  • Unannehmbares Risiko (Art. 5): Verboten seit Feb. 2025, z. B. Echtzeit-Biometrie in öffentlichen Räumen (Ausnahmen: Strafverfolgung), Emotionserkennung am Arbeitsplatz, soziale Scoring-Systeme.
  • Hohes Risiko (Art. 6, Anhang III): Strenge Anforderungen (z. B. Bildgebung in Medizin, kritische Infrastruktur, Bildung); Konformitätsbewertung, Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht.
  • General-Purpose AI (GPAI, Kap. V): Seit Aug. 2025: Technische Dokumentation, Trainingsdaten-Summary, Risikominimierung (systemisches Risiko: Tests, Meldungen).​
  • Geringes Risiko: Transparenzpflichten (z. B. Deepfakes kennzeichnen).​

Risikobasierter Ansatz

Im Gegensatz zu technologie-neutralen Regelwerken wie der DSGVO wendet der AI Act eine proportional proportionale Regulierung an: Von Verboten bei unannehmbarem Risiko (Art. 5) über strenge Anforderungen bei hohem Risiko (Art. 6 ff.) bis hin zu Transparenzpflichten bei geringem Risiko. Dies ermöglicht Flexibilität – z. B. Open-Source-GPAI mit Ausnahmen – und integriert sich nahtlos in bestehende Managementansätze.​

Geltungsbereich

  • KI-Systeme: Software, die autonom Inhalte erzeugt, Vorhersagen trifft oder Entscheidungen fällt (Art. 3).
  • Geografisch: EU-weit, extraterritorial bei EU-Betroffenen oder -Marktzugang.
  • Akteure: Anbieter, Betreiber (Deployer), Importeure, Nutzer; Ausnahmen für Militär/Medizin (bereits reguliert).

Bezug zu ISMS

Der AI Act ergänzt Informationssicherheits-Managementsysteme (ISMS) nach ISO 27001 oder BSI IT-Grundschutz ideal. KI-Risiken (z. B. Modellklau, Datenvergiftung) fließen in Risikoanalysen (Cl. 6/8 ISO 27001) ein, Controls wie A.5.7 (Bedrohungserkennung) decken Cybersicherheit ab. Synergien zu NIS-2 (kritische Infrastruktur) und DSGVO (Datenverarbeitung) erleichtern die Umsetzung; eine KI-Richtlinie passt in den PDCA-Zyklus.

  • Zweck und Relevanz des EU AI Act (Verordnung (EU) 2024/1689)
  • Risikobasierter Ansatz: Von Technologie-neutral zu KI-spezifisch
  • Geltungsbereich: KI-Systeme in der EU, extraterritoriale Wirkung
  • Bezug zu ISMS (ISO 27001, BSI IT-Grundschutz, NIS-2)

Definitionen und Begriffe

  • Kernbegriffe: KI-System, GPAI-Modelle, Betreiber vs. Anbieter
  • Risikostufen: Unannehmbares, hohes, geringes Risiko, GPAI
  • Abgrenzung zu verwandten Regelwerken (DSGVO, NIS-2, Produkt-Sicherheitsverordnung)

Risikobasierte Klassifizierung (Art. 6–13)

  • Unannehmbares Risiko (Art. 5): Verbotene Praktiken (Biometrie, Scoring, Manipulation)
  • Hohes Risiko (Anhang III): Sektoren (Medizin, Infrastruktur, Bildung), Kriterien
  • General-Purpose AI (Kap. V): Systemische Risiken, Open Source-Ausnahmen
  • Geringes Risiko: Transparenzpflichten (Chatbots, Deepfakes)

Rechte und Pflichten der Akteure

  • Anbieter: Konformitätsbewertung, Technische Dokumentation, CE-Kennzeichnung
  • Betreiber: Risikoanalyse, Grundrechte-Impact-Assessment, Incident-Meldung
  • Weitere Parteien: Nachgelagerte Anbieter, Importeure, bevollmächtigte Vertreter
  • Sanktionen: Bußgelder (bis 7% Umsatz), Durchsetzung durch Marktüberwachung

Konkrete Regelungen nach Risikostufe

  • Verbotene KI-Anwendungen: Detaillierte Liste, Ausnahmen (Strafverfolgung)
  • Hochrisiko-Pflichten: Risikomanagement (Art. 9), Datenqualität (Art. 10), Transparenz (Art. 13), Cybersicherheit (Art. 15)
  • GPAI-spezifisch: Trainingsdaten-Transparenz, Modellbewertung, Copyright-Hinweise
  • Dokumentations- und Nachweispflichten: Vorlagen, Fristen

Governance und Aufsicht (Kap. VII)

  • EU AI Office: Rolle, Zuständigkeiten
  • Nationale Behörden und KI-Boards
  • Harmonisierte Standards (CEN/CENELEC), Sandboxes
  • Meldepflichten: Vorfälle innerhalb 15/72 Stunden

Integration in ein ISMS (ISO 27001/BSI-Grundschutz)

  • Plan: Asset-Inventarisierung von KI-Systemen (A.8), Risikobewertung (Cl. 6/8)
  • Do: Erweiterte Policies (KI-Richtlinie), Controls (A.5.7, A.14 Lieferanten, A.18 Compliance)
  • Check: Audits, KPIs (Incident-Rate, Konformitätsrate), interne Audits
  • Act: Schulungen (KI-Literacy), Lieferantenmanagement, kontinuierliche Verbesserung
  • Mapping: EU AI Act zu ISO 27001-Anhängen, ISO 42001 (KI-Management)

Praktische Umsetzungsempfehlungen

  • Gap-Analyse und Roadmap (2026-Fokus)
  • Vorlagen: Risikomatrix, Konformitätserklärung, Incident-Reporting
  • Tools: BSI-Trassen IT-Grundschutz++ 2026, ISO 42001-Zertifizierung
  • Häufige Fallstricke: Open Source-GPAI, Cloud-basiertes Training
  • Übergangsfristen und Priorisierung

Ausblick und Synergien

  • EU AI Act und NIS-2/DSGVO-Integration
  • Globale Vergleiche (USA EO, China AI-Gesetz)
  • Zukünftige Entwicklungen: Delegierte Rechtsakte, Sektor-spezifische Ergänzungen
Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=EU_AI_Act&oldid=1938