Langtitel: Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828

Kurztitel: Verordnung über Künstliche Intelligenz (KI-VO); Artificial Intelligence Act (AIA)

Kurzübersicht

Ziele	Anwendungsbereich	Inhalt	Synergie	Konsequenzen
Förderung von Innnovation und Vertrauen	Anbieter (häufig Entwickler) bei in Verkehr bringen/in Betrieb nehmen von KI-Systemen oder	risikobasierter Ansatz	direkte Verknüpfung mit der RL über außervertragliche Haftung (AILD)
Wahrung der Grundrechte und Sicherheit von EU-Bürgern	GPAI-Modellen (general pupose AI)	Verbote von besonders riskanten Praktiken (zB social scoring, manipulative Systeme)	einige Querbezüge zur DSGVO (zB Verarbeitung zur Vermeidung von Verzerrungen Art 10), regulatory sandboxes
	Ausnahmen: militärische Zwecke; Systeme unter open-source-Lizenz (eingeschränkt); reine Forschungszwecke Inkrafttreten am 1. August 2024; Geltung ab 2. August 2026; einige Aspekte (verbotene Systeme) bereits ab 2. Februar 2025	strenge Regulierung von Hochrisiko- KI-Systemen (bspw Risikomanagement, Datenqualität, Dokumentation, Transparenz, menschliche Aufsicht)
	eingeschränkte Pflichten für Betreiber (professionelle Nutzer)	Transparenzpflichten für gewisse KI-Systeme (bspw Chatbots, Deepfakes)

Einführung

Datei:KI-VO Risikopyramide Kommission.jpg

Die KI-VO stellt den europäischen Versuch dar, eine sektorunabhängige Regulierung von Künstlicher Intelligenz (KI) zu erreichen. Thematisch handelt es sich dabei primär um Produktsicherheitsrecht. Kernstück ist ein risikobasierter Ansatz, der im Sinne der Verhältnismäßigkeit dafür sorgen sollte, dass höhere Risiken mit einer höheren Regulierungsdichte korrespondieren, während KI-Systeme^[1] mit geringem Risiko nicht "überreguliert" werden. Durch die Prominenz von ChatGPT wurden spät im Gesetzgebungsprozess auch noch spezielle Bestimmungen in Bezug auf sog general purpose AI (GPAI) Modelle eingefügt.^[2]

Anwendungsbereich (Art 2 KI-VO)

Die KI-VO ist gem Art 2 KI-VO primär anwendbar auf:

• Anbieter, dh eine Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt (Art 3 Z 3 KI-VO), die in der Union KI-Systeme (unter eigenem Namen/Handelsmarke) in Verkehr bringen oder in Betrieb nehmen oder KI-Modelle mit allgemeinem Verwendungszweck in Verkehr bringen, unabhängig davon, ob diese Anbieter in der Union oder in einem Drittland niedergelassen sind.
• Betreiber von KI-Systemen, dh Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet (Art 3 Z 4 KI-VO), die ihren Sitz in der Union haben oder in der Union befinden;
• Anbieter und Betreiber von KI-Systemen, die ihren Sitz in einem Drittland haben oder sich in einem Drittland befinden, wenn die vom KI-System hervorgebrachte Ausgabe in der Union verwendet wird.

Ausnahmen

Inhaltliche Aspekte

KI-Kompetenz (Art 4 KI-VO)

Als allgemeine Bestimmung fordert Art 4 KI-VO, dass die Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an "KI-Kompetenz" verfügen. Dabei sind ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen.

Verbotene Praktiken (Art 5 KI-VO)

Nach Art 5 KI-VO sind gewisse Praktiken im KI-Bereich verboten:^[3]

• unterschwellige Beeinflussung außerhalb des Bewusstseins, manipulative/täuschende Techniken
• Ausnutzen der Vulnerabilität/Schutzbedürftigkeit
• social scoring (Bewertung/Einstufung von Personen/Gruppen von Personen auf der Grundlage ihres sozialen Verhaltens/Eigenschaften/Persönlichkeitsmerkmale)
• Bewertung des Risikos, dass eine Person eine Straftat begeht (ausschließlich aufgrund von Profiling)
• Erstellung/Erweiterung von Datenbanken zur Gesichtserkennung durch ungezieltes Auslesen von Gesichtsbildern
• Emotionserkennungssysteme am Arbeitsplatz oder in Bildungseinrichtungen
• biometrische Kategorisierung, Ableitung von sensiblen Daten (Rasse, politische Einstellung)
• biometrische Echtzeit-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken (zahlreiche Ausnahmen)

Hochrisiko-KI-Systeme (Art 5 KI-VO)

Die KI-VO definiert Hochrisiko-KI-Systeme in Art 6. Dabei kennt sie zwei Varianten dieser Systeme, die in der Literatur - nicht aber in der KI-VO selbst - als "eingebettete" und "eigenständige Hochrisiko-KI-Systeme" bezeichnet werden. ^[4]

Darüber hinaus enthält Art 6 Abs 3 KI-VO Ausnahmen von der Einstufung als Hochrisiko-KI-System.

Nach Art 6 Abs 5 KI-VO hat die Kommission nach Konsultation des Europäischen Gremiums für Künstliche Intelligenz spätestens bis zum 2. Februar 2026 Leitlinien zur praktischen Umsetzung und eine umfassende Liste praktischer Beispiele für Anwendungsfälle für KI-Systeme, die hochriskant oder nicht hochriskant sind, bereitzustellen.

"Eingebettete" Hochrisiko-KI-Systeme

Nach Art 6 Abs 1 KI-VO gilt zunächst ein KI-System als Hochrisiko-KI-System, wenn die zwei Bedingungen erfüllt sind:

• das KI-System soll als Sicherheitsbauteil eines Produkts verwendet werden oder das KI-System ist selbst ein solches Produkt fällt unter die in Anhang I aufgeführten Harmonisierungsrechtsvorschriften der Union
• das Produkt, dessen Sicherheitsbauteil das KI-System ist, oder das KI-System selbst als Produkt muss im Rahmen dieser Harmonisierungsrechtsvorschriften einer Konformitätsbewertung durch Dritte unterzogen werden

Anhang I, Abschnitt A nennt dabei zwölf solche Harmonisierungsrechtsvorschriften (bezogen auf Maschinen, Spielzeug, Sportboote und Wassermotorräder, Aufzüge, Geräte und Schutzsysteme in explosionsgefährdeten Bereichen, Funkanlagen, Druckgeräte, Seilbahnen, persönliche Schutzausrüstungen, Geräte zur Verbrennung gasförmiger Brennstoffe, Medizinprodukte, In-vitro-Diagnostika).

Um diese Einstufung als Hochrisiko-KI-System durch ein Beispiel zu illustrieren: Software kann ein Medizinprodukte im Sinne der Medizinprodukteverordnung (MPVO) darstellen. Medizinprodukte ab Risikoklasse IIa, das heißt mittlerem Risiko, unterliegen einer Konformitätsbewertung unter Einbeziehung einer "benannten Stelle", das heißt einer externen Konformitätsbewertungsstelle. Software als Medizinprodukt erfüllt damit - sofern sie unter die KI-Definition subsumiert werden kann - häufig beide Bedingungen: einerseits kann sie ein Produkt bzw Sicherheitskomponente eines Produktes darstellen, das unter die MPVO fällt, die in Anhang I genannt wird, und anderseits unterliegt sie im Rahmen der MPVO in fast allen Fällen einer Konformitätsbewertung unter Einbeziehung einer Konformitätsbewertungsstelle, das heißt "Dritter".

"Eigenständige" Hochrisiko-KI-Systeme

Die zweite Variante von "eigenständigen" Hochrisiko-KI-Systemen wird durch Art 6 Abs 2 KI-VO definiert, der dabei auf Anhang III verwiest. Dieser enthält acht Bereiche, untergliedert in konkretere Anwendungsfelder, die ebenfalls als hochriskant gelten (bspw biometrisch Identifizierung, kritische Infrastrukturen, grundlegende öffentliche und private Dienste/Leistungen, Strafverfolgung, Migration, Asyl und Grenzkontrolle). Diese Liste kann dabei mittels delegierter Rechtsakte der Kommission geändert werten (Art 7 KI-VO).

Ausnahmen

Art 6 Abs 3 KI-VO enthält als Abweichung Ausnahmen von der Einstufung als "eigenständiges" Hochrisiko-KI-System. Die Ausnahmen greifen dann, wenn sich zeigt, dass ein in Anhang III genanntes System kein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen birgt, indem es unter anderem nicht das Ergebnis der Entscheidungsfindung wesentlich beeinflusst.

Art 6 Abs 3 2. UAbs enthält dabei vier alternative Bedingungen, die die genannten Kriterien erfüllen. ErwGr 53 liefert konkretisierende Beispiele. Ein KI-System gilt somit als nicht hochriskant, wenn

1. es dazu bestimmt ist, eine eng gefasste Verfahrensaufgabe durchzuführen (bspw ein KI-System, das unstrukturierte Daten in strukturierte Daten umwandelt)
2. es dazu bestimmt ist, das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit zu verbessern (bspw KI-Systeme, deren Ziel es ist, die in zuvor verfassten Dokumenten verwendete Sprache zu verbessern, etwa den professionellen Ton, den wissenschaftlichen Sprachstil oder um den Text an einen bestimmten mit einer Marke verbundenen Stil anzupassen
3. es dazu bestimmt ist, Entscheidungsmuster oder Abweichungen von früheren Entscheidungsmustern zu erkennen, und nicht dazu gedacht ist, die zuvor abgeschlossene menschliche Bewertung ohne eine angemessene menschliche Überprüfung zu ersetzen oder zu beeinflussen (bspw KI-Systeme, die in Bezug auf ein bestimmtes Benotungsmuster eines Lehrers dazu verwendet werden können, nachträglich zu prüfen, ob der Lehrer möglicherweise von dem Benotungsmuster abgewichen ist, um so auf mögliche Unstimmigkeiten oder Unregelmäßigkeiten aufmerksam zu machen)
4. es dazu bestimmt ist, eine vorbereitende Aufgabe für eine Bewertung durchzuführen, die für die Zwecke der in Anhang III aufgeführten Anwendungsfälle relevant ist (bspw intelligente Lösungen für die Bearbeitung von Dossiers, wozu verschiedene Funktionen wie Indexierung, Suche, Text- und Sprachverarbeitung oder Verknüpfung von Daten mit anderen Datenquellen gehören)

Art 6 Abs 3 KI-VO enthält dabei auch eine Rückausnahme, die einen Bezug zur DSGVO herstellt. Ein KI-System nach Anhang III gilt "immer dann als hochriskant, wenn es ein Profiling natürlicher Personen vornimmt."

Pflichten für Anbieter

Pflichten für Betreiber

Transparenzpflichten

GPAI-Modelle

Strafen/sonstige Konsequenzen

Verhältnis und Synergien zu anderen Rechtsakten

Fassungen der KI-VO

• Kommissionsvorschlag April 2021: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union
• Allgemeine Ausrichtung des Rates Dezember 2022: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union – Allgemeine Ausrichtung, 2021/0106(COD)
• Abänderungen des Europäischen Parlaments Juni 2023: Abänderungen des Europäischen Parlaments vom 14. Juni 2023 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union (COM(2021)0206 – C9-0146/2021 – 2021/0106(COD))
• Finale, im Amtsblatt veröffentlichte Fassung: Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz) (KI-VO)

Weiterführende Literatur

Einführungsbücher

• Hense/Mustac, AI Act kompakt. Compliance Management- & Use Cases in der Unternehmenspraxis (2024, iE)
• Hilgendorf/Roth-Isigkeit (Hrsg), Die neue Verordnung der EU zur Künstlichen Intelligenz (2023)
• Ulbricht/Brajovic/Duhme, Praxishandbuch KI und Recht (2024, iE)
• Schwartmann/Keber/Zenner (Hrsg), KI-Verordnung. Leitfaden für die Praxis (2024, iE)
• Voigt/Hullen, Handbuch KI-Verordnung. FAQ zum EU AI Act (2024, iE)
• Wendt/Wendt, Das neue Recht der Künstlichen Intelligenz. Artificial Intelligence Act (AI Act) (2024, iE)
• Windholz, Praxishandbuch KI-VO (2024, iE)

Kommentare

• Bomhard/Pieper/Wende, KI-VO. Künstliche Intelligenz-Verordnung (2024, iE)
• Ebers/Zou, Artificial Intelligence Act. A Commentary (2024, iE)
• Feiler/​Forgó, KI-VO. EU-Verordnung über Künstliche Intelligenz (2024, iE)
• Heinze/Steinrötter/Zerdick, KI-Verordnung. Gesetz über künstliche Intelligenz (2025)
• Martini/Wendehorst, KI-VO. Künstliche Intelligenz-Verordnung (2024, iE)
• Reusch/Chibanguza, KI-VO. Künstliche Intelligenz-Verordnung (2025)
• Schwartmann/Keber/Zenner, KI-VO (2024)
• Wendt/Wendt, Artificial Intelligence Act. Article-by-Article Commentary (2024, iE)
• Wendt/Wendt, Artificial Intelligence Act. Gesetz über Künstliche Intelligenz (2024, iE)

Allgemeinere Werke zu KI (Fokus auf Europa)

• Custers/Fosch-Villaronga (Hrsg), Law and Artificial Intelligence. Regulating AI and Applying AI in Legal Practice (2022)
• Ebers/Heinze/Steinrötter (Hrsg), Künstliche Intelligenz und Robotik. Rechtshandbuch² (2025)
• Ebers/Quarch (Hrsg), Rechtshandbuch ChatGPT. KI-basierte Sprachmodelle in der Praxis (2024, iE)
• Kaulartz/Merkle (Hrsg), Rechtshandbuch Künstliche Intelligenz² (2025)
• Mayrhofer/Nessler/Bieber/Fister/Homar/Tumpel (Hrsg), ChatGPT, Gemini & Co. Große Sprachmodelle und Recht (2024)
• Wischmeyer/Rademacher (Hrsg), Regulating Artificial Intelligence (2019)

Weiterführende Links

• CNIL, Self-assessment guide for artificial intelligence (AI) systems
• European Parlament, Legislative train: the AI Act
• Future of Life Institute (FLI), AI Act Explorer
• GDD ([Deutsche] Gesellschaft für Datenschutz und Datensicherheit), GDD-Praxishilfe Europäische Datenstrategie: KI-VO, Data Act etc. - Adressaten und Regelungsschwerpunkte der neuen Digitalakte (Juli 2024)
• Österreichische Datenschutzbehörde, FAQ zum Thema KI und Datenschutz (Stand: 2. Juli 2024)