KI-Compliance

Wie prüfe ich eigene KI-Anwendung gegen EU-AI-Act?

Zuletzt aktualisiert:

Zeitplan EU-AI-Act

  • 2. Feb 2025: Verbotene Praktiken in Kraft.

  • 2. Aug 2025: Vorschriften für General-Purpose-AI + Governance.

  • 2. Aug 2026: Hoch-Risiko-Systeme + Transparenz-Pflichten.

  • 2. Aug 2027: Vollständige Anwendung.

Vier Risiko-Klassen

  1. Verboten (Art. 5): Social-Scoring, manipulative Praktiken, Echtzeit-Biometrie im öffentlichen Raum (mit Ausnahmen), Emotion-Erkennung am Arbeitsplatz/Schule.

  2. Hoch-Risiko (Anhang III): Personal, Justiz, Bildung, Migration, Kredit, kritische Infrastruktur.

  3. Begrenztes-Risiko: Chatbots, Deepfakes - Transparenz-Pflicht (Kennzeichnung).

  4. Minimal-Risiko: alle anderen - keine Pflichten.

Hoch-Risiko-Pflichten

  • Risk-Management-System (Art. 9).

  • Daten-Governance + Repräsentativität (Art. 10).

  • Technische Doku (Art. 11).

  • Logging der Entscheidungen (Art. 12).

  • Transparenz + Anwender-Information (Art. 13).

  • Menschliche Aufsicht (Art. 14).

  • Genauigkeit + Robustheit + Cybersicherheit (Art. 15).

  • Konformitäts-Bewertung vor Markt-Eintritt.

Vier-Schritte-Prüfung

  1. Klassifizierung: Anhang-III-Liste durchgehen. Wenn Match: Hoch-Risiko.

  2. Pflichten ableiten je nach Klasse.

  3. Konformitäts-Bewertung: intern oder durch Notified-Body.

  4. Beobachtungs-Pflicht nach Deployment: Vorfälle melden, System monitoren.

Verbotene Praktiken konkret

  • Subliminale Manipulation, die Schaden verursacht.

  • Ausnutzung von Schwächen (Alter, Behinderung, Lage).

  • Social-Scoring von Behörden.

  • Predictive-Policing für Personen.

  • Untargeted-Scraping von Gesichts-Bildern.

  • Emotion-Erkennung am Arbeitsplatz + Schule.

  • Biometrische Kategorisierung nach sensitiven Merkmalen.

  • Echtzeit-Biometrie in öffentlichen Raeumen (mit eng begrenzten Ausnahmen).

Konformitäts-Bewertung

  1. Risk-Management-Doku.

  2. Daten-Qualitäts-Nachweis.

  3. Technische Doku komplett.

  4. Test-Reports.

  5. Konformitäts-Erklärung.

  6. CE-Kennzeichnung.

  7. EU-Datenbank-Registrierung.

Begrenztes-Risiko-Transparenz

  • Chatbot: muss als KI erkennbar sein.

  • Emotion-Erkennung / Biometrie: muss angekündigt werden.

  • Deepfakes: müssen als KI-generiert gekennzeichnet werden.

  • Synthetische Inhalte (Bild, Audio, Video).

Sanktionen

  • Verbotene Praktiken: bis 35 Mio EUR oder 7 % Welt-Umsatz.

  • Hoch-Risiko-Verstoss: bis 15 Mio EUR oder 3 %.

  • Falsche Informationen an Behörde: bis 7.5 Mio EUR oder 1 %.

  • Inkrafttreten gestaffelt mit Anwendungs-Zeitpunkten.

Anti-Patterns

  • Klassifizierung erst nach Deployment - illegale Anwendung.

  • Konformität als Marketing-Stempel - Bürokratie ohne Substanz.

  • Hoch-Risiko-System als Begrenztes-Risiko deklariert - Bussgeld-Risiko.

  • Doku als 1x-Aufgabe - kontinuierliches Update Pflicht.

  • Vendor-Versprechen ohne eigene Prüfung.

Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.

Co-Intelligence Podcast Logo
🎙️ KI-Podcast

Co-Intelligence: der Podcast für alle, die KI verstehen wollen

Komplexe Themen einfach erklärt. In unserem Podcast sprechen Benjamin und Moritz über das, was KI heute kann und wie wir sie gemeinsam gestalten können. Für alle, die mitdenken, mitfühlen und mitverändern wollen.

Co-Intelligence – Der KI-Podcast