AI Act Pflichten nach Artikel

Der AI Act (Verordnung (EU) 2024/1689) legt je nach Risikoniveau des KI-Systems unterschiedliche Pflichten fest. Praktiken mit unannehmbarem Risiko sind grundsaetzlich verboten (Artikel 5). Hochrisiko-Systeme muessen strenge Anforderungen erfuellen: technische Dokumentation, Risikomanagement, Datenverwaltung, menschliche Aufsicht und Cybersicherheit. Systeme mit begrenztem Risiko unterliegen Transparenzpflichten (Artikel 50). Alle Akteure muessen zudem die KI-Kompetenz ihres Personals sicherstellen (Artikel 4).

Der AI Act gilt fuer vier Kategorien von Akteuren: Anbieter (die ein KI-System entwickeln oder auf den Markt bringen), Betreiber (die ein KI-System unter eigener Verantwortung nutzen), Importeure (die ein KI-System eines nicht in der EU ansaessigen Anbieters einfuehren) und Haendler (die ein KI-System auf dem europaeischen Markt bereitstellen). Die Pflichten variieren je nach Rolle des Akteurs und Risikoniveau des betreffenden Systems.

Der Anbieter ist die Stelle, die ein KI-System entwickelt oder entwickeln laesst und es unter eigenem Namen oder eigener Marke auf den Markt bringt oder in Betrieb nimmt. Der Betreiber ist jede Person, die ein KI-System unter eigener Verantwortung im beruflichen Kontext einsetzt. Dieselbe Organisation kann je nach System beide Rollen innehaben. Anbieter tragen umfangreichere Pflichten, darunter die technische Dokumentation und die Konformitaetsbewertung vor dem Inverkehrbringen.

Hochrisiko-KI-Systeme muessen umfassende regulatorische Anforderungen erfuellen: Risikomanagementsystem (Art. 9), Verwaltung der Trainingsdaten (Art. 10), detaillierte technische Dokumentation (Art. 11), automatische Ereignisprotokollierung (Art. 12), Transparenz und Nutzerinformation (Art. 13), menschliche Aufsichtsmassnahmen (Art. 14) sowie Garantien fuer Genauigkeit, Robustheit und Cybersicherheit (Art. 15). Der Anbieter muss zudem ein Qualitaetsmanagementsystem einrichten.

Der AI Act trat am 1. August 2024 in Kraft, mit einer schrittweisen Anwendung. Verbotene Praktiken und die KI-Kompetenzpflicht gelten seit dem 2. Februar 2025. Die Regeln fuer GPAI-Modelle gelten seit dem 2. August 2025. Transparenzpflichten (Art. 50) und Hochrisiko-Systeme nach Anhang III gelten ab dem 2. August 2026. Systeme nach Anhang I (regulierte Produkte) folgen am 2. August 2027.

Die Sanktionen sind der Schwere des Verstosses angemessen: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes fuer verbotene Praktiken, bis zu 15 Millionen Euro oder 3 % fuer die Nichteinhaltung anderer regulatorischer Pflichten, und bis zu 7,5 Millionen Euro oder 1 % fuer die Bereitstellung ungenauer Informationen an Behoerden. Fuer KMU und Start-ups werden die Betraege auf den niedrigeren der beiden Schwellenwerte angepasst.

Ja, Anbieter von GPAI-Modellen (wie grosse Sprachmodelle) haben seit dem 2. August 2025 besondere Pflichten: Erstellung einer technischen Dokumentation, Einhaltung des EU-Urheberrechts und Veroeffentlichung einer Zusammenfassung der Trainingsdaten. GPAI-Modelle mit systemischem Risiko haben zusaetzliche Pflichten: gruendliche Modellbewertung, Minderung systemischer Risiken, Meldung schwerwiegender Vorfaelle und angemessenes Cybersicherheitsniveau.

Ein KI-System wird in zwei Faellen als Hochrisiko eingestuft: wenn es eine Sicherheitskomponente eines Produkts ist, das unter die EU-Harmonisierungsgesetzgebung faellt (Anhang I: Medizinprodukte, Maschinen, Spielzeug usw.), oder wenn es in die sensiblen Bereiche des Anhangs III faellt (Biometrie, kritische Infrastrukturen, Bildung, Beschaeftigung, wesentliche Dienstleistungen, Strafverfolgung, Migration, Justiz). Unser kostenloses Diagnosetool ermoeglicht es Ihnen, das fuer Ihr System geltende Risikoniveau in wenigen Minuten zu ermitteln.