Der EU AI Act definiert Anforderungen für die Sicherheit von KI-Systemen je nach Risikoklasse. Mark Thirlwell, Managing Director bei der British Standards Institution (BSI), beleuchtet, welche konkreten Maßnahmen Unternehmen ergreifen müssen, um die Vorgaben zu erfüllen. Zudem zeigt er die Herausforderungen bei der Umsetzung auf und erläutert, wie der AI Act als Chance für sichere Innovationen genutzt werden kann.
Der EU AI Act soll Innovationen nicht im Keim ersticken – im Gegenteil. Durch Klarheit und das damit verbundene Vertrauen soll die Entwicklung von KI gefördert sowie die öffentliche Akzeptanz erhöht werden.
(Bild: Franklin - stock.adobe.com)
Nach dem „International AI Maturity Model“ der British Standards Institution (BSI) ist Deutschland in Europa Vorreiter bei Künstlicher Intelligenz. Die Analyse, die im Rahmen des BSI-Berichts „Trust in AI“ veröffentlicht wurde, zeigt, dass Deutschland optimistisch sein kann: 91 Prozent der Führungskräfte sind zuversichtlich, dass ihr Unternehmen die Vorteile von KI nutzen kann. Die Hälfte der Unternehmen plant in diesem Jahr zudem höhere Investitionen in KI. Ganze 99 Prozent der Befragten stimmen zu, dass eine KI-Regulierung oder internationale Richtlinien für die sichere, ethische und verantwortungsvolle Entwicklung von KI in ihrer Branche wichtig sind. Dies ist angesichts der Veröffentlichung des EU AI Acts im Amtsblatt der EU (OJEU) besonders von Bedeutung. Was müssen deutsche Unternehmen nun wissen, um sich auf den AI Act vorzubereiten?
Die Spielregeln
Es ist der weltweit erste rechtliche Rahmen für KI und ein bedeutender Meilenstein für die EU. Mit der Regulierung von KI soll ein Rahmen geschaffen werden, der den Schutz der Rechte und Werte des Einzelnen gewährleistet und gleichzeitig Innovation fördert. Durch die Festlegung klarer Leitlinien und Standards soll dieser Ansatz die Verantwortlichkeit stärken und die Risiken minimieren, um für alle ein sichereres Umfeld zu schaffen.
Der Regulierungsansatz der EU zeichnet sich dadurch aus, dass er sich auf den Schutz der Menschenrechte bzw. Grundrechte konzentriert. Diese Rechte sind in der EU-Grundrechtecharta und anderen verbindlichen Rechtsvorschriften wie der Datenschutz-Grundverordnung (DSGVO) verankert. Da die Technologie zu einem immer zentraleren Bestandteil der Gesellschaft wird, legt die EU großen Wert auf Vertrauen in KI. Verbraucher müssen sich darauf verlassen können, dass die Produkte und Dienstleistungen sicher, vertrauenswürdig und ethisch vertretbar sind. Dafür legen rechtliche Vorschriften die grundlegenden „Spielregeln“ fest und geben den Verbrauchern die Gewissheit, dass Produkte oder Dienstleistungen aus unbekannten Quellen diese Regeln einhalten.
KI-Systeme haben unterschiedliche Risiken
Es ist wichtig zu verstehen, dass nicht alle KI-Technologien, die im Rahmen des AI Acts als „KI-System“ definiert werden, denselben Verpflichtungen unterliegen. Dennoch sollten wir das Risiko berücksichtigen, das sie für die Gesundheit, Sicherheit und die Grundrechte des Einzelnen darstellen.
Die EU ist der Ansicht, dass ein risikobasierter Ansatz wichtig ist, um sicherzustellen, dass die regulatorischen Eingriffe verhältnismäßig sind. Zu diesem Zweck wird im AI Act zwischen mehreren KI-Kategorien unterschieden: (i) inakzeptables Risiko, (ii) hohes Risiko, (iii) begrenztes Risiko und (iv) geringes oder minimales Risiko. Die Kommission, die das Gesetz vorgeschlagen hat, beurteilt den Grad des Risikos nach der Wahrscheinlichkeit, dass das System die Gesundheit und Sicherheit bestimmter Personen beeinträchtigen und/oder deren Grundrechte verletzen könnte.
Überlegungen für Unternehmen
Beim AI Act handelt es sich um eine horizontale Rechtsvorschrift, die in verschiedenen Sektoren angewendet werden kann. Zum Beispiel in der Medizinproduktindustrie. Hier können die Anforderungen des AI Act an die Anforderungen der Medizinprodukteverordnung (MDR) angehängt werden, damit alle Elemente der bestehenden Gesetze sicher in die Produktion integriert werden. Jedes Unternehmen, das sein Medizinprodukt in Europa auf den Markt bringen möchte, muss bis zum Ende der Übergangsfrist, die für 2027 vorgesehen ist, die Anforderungen des AI Act erfüllen.
Mit dem AI Act werden auch Sektoren unter die Lupe genommen, die bisher keiner Regulierung unterlagen. Je nach Risikograd sieht das Gesetz unterschiedliche Verpflichtungen für KI-Anbieter und -Entwickler vor. Um dem Gesetz gerecht zu werden, müssen Unternehmen Folgendes berücksichtigen:
1. Die Verwendung eines KI-Managementsystems (AIMS), das eine Compliance-Strategie, Prozesse für Entwurf, Entwicklung, Datenverwaltung, Prüfung und Validierung von KI-Systemen, Risikomanagement, Monitoring und Reporting umfassen sollte.
2. Die technische Dokumentation muss ständig auf dem neuesten Stand gehalten werden. Unterliegt das KI-System den Dokumentationsverpflichtungen anderer EU-Rechtsvorschriften, können die Aspekte des AI Acts als dessen Teil behandelt werden.
3. Transparenz: Die Anbieter und Betreiber einiger KI-Systeme müssen Transparenzverpflichtungen erfüllen.
4. „Regulatorische Sandkästen“: Sogenannte „regulatorische Sandkästen“ werden von den zuständigen Behörden der Mitgliedstaaten eingerichtet. „Regulatorische Sandkästen“ sind kontrollierte Umgebungen, die die Entwicklung, Schulung, Prüfung und Validierung von KI-Systemen erleichtern. KI-Systeme können „regulatorische Sandkästen“ nutzen, bevor sie auf den Markt gebracht oder in Betrieb genommen werden.
5. Allgemein einsetzbare KI-Modelle (GPAI): Die wichtigste Aufsichtsbehörde für GPAIs ist das KI-Büro. Das Gesetz enthält Verpflichtungen für GPAI-Anbieter. Es gibt verschiedene Verpflichtungen für GPAI-Modelle mit systemischen Risiken, einschließlich der Bewertung der Modellleistung, der Maßnahmen zur Minderung systemischer Risiken und Cybersicherheit.
Innovation durch Regulierung
Der EU AI Act soll eindeutig, präskriptiv und flexibel sein. Unter anderem legt er je nach Risikoniveau Verpflichtungen für Anbieter und Betreiber fest und sorgt dafür, dass generative KI-Tools wie ChatGPT die Transparenzregeln sowie die oben erwähnten GPAI-Regeln einhalten.
Ziel dieser Regulierung ist es nicht, Innovationen nicht im Keim zu ersticken – im Gegenteil. Durch Klarheit und das damit verbundene Vertrauen soll die Entwicklung von KI gefördert sowie die öffentliche Akzeptanz erhöht werden, um die Nachfrage nach KI-gestützter Technologie zu steigern.
Unternehmen, für die KI eine zentrale Rolle spielt, können sich durch sorgfältige Planung der rechtlichen Anforderungen absichern, jedoch nicht nur, um diese schlicht zu erfüllen, sondern um KI sicher, vertrauenswürdig und ethisch vertretbar einzusetzen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
KI verändert das Leben und die Gesellschaft, aber ihr Einsatz ist nicht ohne Risiken. Das EU-Gesetz macht deutlich, dass weder eine Person noch eine Gruppe allein diese neuen Herausforderungen bewältigen kann. Um den Einsatz dieser Systeme effektiv zu kontrollieren, bedarf es gemeinsamer Bemühungen von Anbietern, Anwendern, der Kommission, den Mitgliedstaaten und allen anderen Akteuren.
Bei der Erweiterung des KI-Horizonts – in der Medizintechnik und darüber hinaus – ist es von entscheidender Bedeutung, dass wir Innovation und Fortschritt mit einem sicheren und ethischen Einsatz verknüpfen. Hier können Regulierungen eine entscheidende Rolle spielen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ca/09/ca09041f3f9b37f0352dd7d69cd2f648/0124778283v2.jpeg "Unternehmen, die KI-Technologien nutzen, dürfen Sicherheit nicht als nachträgliches Add-on betrachten, sondern müssen sie von Anfang an in ihre Strategie einbetten. (Bild: © LALAKA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/dd/8adde34db98b48e34043a4832fb93d7a/0125825584v1.jpeg "Der Autor: Florian Matusek ist Director of AI Strategy bei Genetec (Bild: Genetec)")