Seit dem 2. August 2024 ist die Verordnung (EU) 2024/1689 – kurz EU AI Act – in Kraft. Sie ist die erste umfassende Regulierung für Künstliche Intelligenz in Europa. Die Umsetzung erfolgt schrittweise bis 2027. Für alle, die generative KI entwickeln oder geschäftlich einsetzen, bringt das zwei große Meilensteine:
Meilenstein | Datum | Pflicht |
|---|---|---|
| Transparenzpaket für General-Purpose-AI-Modelle (GPAI) | 2. August 2025 | System-Steckbrief, öffentliche Kurzfassung der Trainingsquellen, sichtbarer Hinweis bei KI-Inhalten |
| Kennzeichnung sämtlicher KI-Inhalte | 2. August 2026 | Menschlich lesbares Label und maschinenlesbare Metadaten bei Deepfakes, KI-Text, Chatbots u. Ä. |
Kurz erklärt: Risikobasierter Ansatz
Der Act ordnet jede KI-Anwendung einer Risikoklasse zu. Je höher das Risiko für Sicherheit, Gesundheit oder Grundrechte, desto strenger die Auflagen. Generative Modelle für Marketing, Kundenservice oder HR fallen in der Regel in die mittlere Klasse – dennoch greifen bereits die Transparenzpflichten.
Wer ist betroffen?
- Anbieter: Firmen, die KI-Systeme entwickeln oder bereitstellen
- Betreiber: Unternehmen, die AI im operativen Geschäft nutzen
Der Standort spielt keine Rolle. Entscheidend ist, ob die Inhalte im europäischen Markt landen. Reiner Privatgebrauch bleibt außen vor.
Was muss ab 2025 offengelegt werden?
- System-Steckbrief: Zweck, Funktionsgrenzen, bekannte Risiken
- Trainingsquellen: Öffentliche Kurzfassung der genutzten Datensätze und Lizenzen
- Hinweis bei KI-Output: Sichtbares Label in Text, UI oder Wasserzeichen
Alles gilt auch für Lösungen im eigenen Rechenzentrum. Vorteil: Logs und Modelle sind direkt verfügbar, wenn die Aufsichtsbehörde fragt.
Kennzeichnungspflicht ab 2026
Ab 2. August 2026 muss jeder KI-generierte Inhalt eindeutig als solcher erkennbar sein.
- Deepfakes: Bilder, Videos, Audio, synthetische Stimmen
- KI-Texte: Öffentlich verbreitete Content-Stücke, Produktbeschreibungen, Reports
- KI-Interaktionen: Chatbots, virtuelle Assistenten
Das Label muss sowohl für Menschen sichtbar als auch für Maschinen auslesbar sein. Viele Tools schreiben Metadaten bereits automatisch; das sichtbare Zeichen bleibt in der Verantwortung des Betreibers.
Ausnahme: Wurde der Inhalt redaktionell geprüft und substanziell angepasst, entfällt die Pflicht.
Sofortprogramm für AI-Act-Readiness
Inventar erstellen
Alle KI-Berührungspunkte erfassen, Zweck notieren, Verantwortliche benennen.
Transparenzcheck durchführen
Fachfremde Person prüfen lassen, ob der KI-Ursprung sofort erkennbar ist.
Mini-Dossier anlegen
Zwei Seiten reichen: Datensätze, Risiken, Protokolle. Später leicht ausbaubar.
Unser Ansatz: eigener KI-Cluster in Deutschland
Gemeinsam mit NetCon IT-Security bauen wir derzeit einen dedizierten KI-Cluster in einem deutschen Rechenzentrum auf. Ziel:
- Modelle und Trainingsdaten bleiben auf eigenen Servern
- Zugriffsrechte granular steuerbar
- Audit-fähige Logs ohne Cloud-Abhängigkeit
Damit schaffen wir volle Nachweisketten für unsere Kunden – passgenau zur EU AI Act-Compliance.
Fazit
Die Uhr tickt. Wer heute inventarisiert, kennzeichnet und dokumentiert, spart morgen Bußgelder und bleibt in Ausschreibungen konkurrenzfähig. Der EU AI Act ist kein reines Compliance-Thema, sondern eine Chance, Vertrauen und Datensicherheit sichtbar zu machen.