Lexikon

EU AI Act (KI-Verordnung)

Letztes Update:
20.05.2026
Lesezeit:
0
Minuten
Redaktion
Ayunis

Definition

Der EU AI Act ist die erste umfassende gesetzliche Regulierung Künstlicher Intelligenz weltweit und gilt als Verordnung (EU) 2024/1689 unmittelbar in allen EU-Mitgliedstaaten. Die KI-Verordnung verfolgt einen risikobasierten Ansatz und legt abgestufte Pflichten für Anbieter und Betreiber von KI-Systemen fest, einschließlich Behörden und öffentlicher Verwaltung.

Auf einen Blick

  • Der EU AI Act ist am 1. August 2024 in Kraft getreten und wird in mehreren Stufen bis 2027 anwendbar.
  • Der EU AI Act klassifiziert KI-Systeme in vier Risikoklassen: unzulässiges, hohes, begrenztes und minimales Risiko.
  • Verbotene KI-Praktiken nach Artikel 5 EU AI Act gelten seit dem 2. Februar 2025, darunter Social Scoring durch Behörden.
  • Die Pflicht zur KI-Kompetenz nach Artikel 4 EU AI Act gilt seit dem 2. Februar 2025 für alle Organisationen, die KI einsetzen.
  • Pflichten für General-Purpose-AI-Modelle gelten seit dem 2. August 2025, der Großteil der Hochrisiko-Pflichten ab dem 2. August 2026.
  • Behörden sind im EU AI Act doppelt adressiert: als Betreiber von KI-Systemen und als Aufsichts- bzw. Marktüberwachungsakteure.
  • Viele KI-Anwendungen in der öffentlichen Verwaltung gelten als Hochrisiko, etwa in Sozialleistungen, Migrationsverfahren oder kritischer Infrastruktur.

Einordnung und Kontext

Der EU AI Act schafft erstmals einen einheitlichen Rechtsrahmen für die Entwicklung, das Inverkehrbringen und den Einsatz von KI-Systemen in der Europäischen Union. Für die öffentliche Verwaltung ist die KI-Verordnung besonders relevant, weil viele Anwendungsfelder von Behörden in den Hochrisikobereich fallen und gleichzeitig staatliche Stellen die Aufsicht über die Einhaltung der Vorschriften übernehmen. Der EU AI Act ergänzt bestehende Regelwerke wie die DSGVO und ist eng mit den Zielen digitaler Souveränität und einer vertrauenswürdigen Verwaltungsdigitalisierung verknüpft.

Risikoklassen im EU AI Act

Der EU AI Act folgt einem risikobasierten Ansatz und unterscheidet vier Stufen mit jeweils unterschiedlichen Pflichten.

  • Unzulässiges Risiko: Verbotene Praktiken nach Artikel 5 EU AI Act, etwa Social Scoring durch staatliche Stellen, manipulative Systeme oder bestimmte Formen biometrischer Echtzeit-Fernidentifizierung im öffentlichen Raum.
  • Hohes Risiko: KI-Systeme nach Anhang III EU AI Act mit strengen Anforderungen an Risikomanagement, Datenqualität, technische Dokumentation, Transparenz, menschliche Aufsicht, Robustheit und Cybersicherheit. Hierunter fallen viele KI-Anwendungen der öffentlichen Verwaltung, beispielsweise bei Sozialleistungen, kritischer Infrastruktur, Bildung, Strafverfolgung, Migration oder Justiz.
  • Begrenztes Risiko: Transparenzpflichten, etwa die Kennzeichnung von Chatbots oder von KI-generierten Inhalten wie Deepfakes nach Artikel 50 EU AI Act.
  • Minimales Risiko: Keine besonderen Pflichten, etwa Spam-Filter oder KI in Computerspielen. Freiwillige Verhaltenskodizes sind möglich.

Sonderregeln für General-Purpose AI (GPAI)

Für universell einsetzbare KI-Modelle wie große Sprachmodelle definiert der EU AI Act eigene Pflichten. Anbieter solcher GPAI-Modelle müssen technische Dokumentation bereitstellen, Informationen für nachgelagerte Anbieter offenlegen und das EU-Urheberrecht achten, einschließlich einer Zusammenfassung der Trainingsdaten. Modelle mit systemischem Risiko, das bei einer kumulierten Trainingsrechenleistung von mehr als 10 hoch 25 Gleitkommaoperationen vermutet wird, unterliegen weitergehenden Auflagen. Dazu zählen Modellbewertungen, Risikoanalysen, Cybersicherheitsmaßnahmen und Meldepflichten gegenüber dem AI Office bei der EU-Kommission.

Zeitplan und Inkrafttreten

Der EU AI Act ist am 1. August 2024 in Kraft getreten und wird gestaffelt anwendbar. Die wichtigsten Stichtage im Überblick:

  • 2. Februar 2025: Verbotene KI-Praktiken nach Artikel 5 EU AI Act und Pflicht zur KI-Kompetenz nach Artikel 4 EU AI Act werden wirksam.
  • 2. August 2025: Pflichten für GPAI-Modelle, Governance-Strukturen auf EU- und Mitgliedstaatsebene sowie Sanktionsregelungen treten in Kraft. Mitgliedstaaten benennen ihre nationalen Aufsichtsbehörden.
  • 2. August 2026: Mehrheit der Pflichten für Hochrisiko-KI-Systeme nach Anhang III EU AI Act wird verbindlich.
  • 2. August 2027: Pflichten für KI-Systeme, die als Sicherheitskomponente in regulierte Produkte nach Anhang I EU AI Act eingebettet sind.

Für Hochrisiko-KI-Systeme, die vor diesen Stichtagen bereits in Behörden im Einsatz waren, gelten in Teilen längere Übergangsfristen, in einzelnen Fällen bis 2030.

Bedeutung für die öffentliche Verwaltung

Behörden sind im EU AI Act doppelt adressiert. Sie betreiben selbst KI-Systeme, häufig im Hochrisikobereich, und übernehmen zugleich als Marktüberwachungs- und Aufsichtsakteure eine zentrale Rolle bei der Durchsetzung der KI-Verordnung. Konkrete Konsequenzen für die öffentliche Verwaltung sind unter anderem:

  • Pflicht zur Risikoklassifizierung jedes eingesetzten KI-Systems entlang der Kategorien des EU AI Act.
  • Aufbau eines KI-Inventars und einer Governance-Struktur, einschließlich klarer Zuständigkeiten und Verantwortlichkeiten.
  • Schulungspflicht zur KI-Kompetenz nach Artikel 4 EU AI Act für alle Mitarbeitenden, die KI-Systeme entwickeln, beschaffen oder einsetzen.
  • Sicherstellung wirksamer menschlicher Aufsicht bei automatisierten oder teilautomatisierten Verwaltungsentscheidungen.
  • Eintragung bestimmter Hochrisiko-Systeme in die EU-Datenbank für Hochrisiko-KI nach Artikel 71 EU AI Act.
  • Enge Verzahnung mit DSGVO, Datensouveränität, BSI-Grundschutz und IT-Sicherheitsanforderungen.

Für Kommunen und Landesbehörden bedeutet dies, dass KI-Beschaffungen und Pilotprojekte frühzeitig auf Konformität mit dem EU AI Act geprüft werden müssen. Ein souveräner Betrieb auf europäischer Infrastruktur kann die Umsetzung der Anforderungen an Transparenz, Datenqualität und Aufsicht erleichtern.

Anwendung in der Praxis

Typische Anwendungsfälle im öffentlichen Sektor, die unter den EU AI Act fallen, sind unter anderem:

  • Automatisierte oder unterstützende Entscheidungen bei Sozialleistungen, etwa Wohngeld oder Bürgergeld.
  • KI-gestützte Vorauswahl in Personalverfahren öffentlicher Arbeitgeber.
  • KI-Systeme in Migrations-, Asyl- und Grenzkontrollverfahren.
  • KI-Anwendungen in kritischer Infrastruktur, etwa Verkehrssteuerung oder Energieversorgung.
  • Verwaltungs-Chatbots und Assistenzsysteme für Bürgeranfragen, die unter Transparenzpflichten fallen.
  • Generative KI in der internen Sachbearbeitung, etwa zur Texterstellung, Recherche oder Aktenanalyse.

Herausforderungen und Grenzen

Die Umsetzung des EU AI Act stellt die öffentliche Verwaltung vor mehrere Herausforderungen. Viele Behörden verfügen bisher nicht über vollständige Inventare ihrer KI-Systeme und müssen Strukturen für Risikoklassifizierung, Dokumentation und Aufsicht erst aufbauen. Die Abgrenzung zwischen einfachen Automatisierungen und KI-Systemen im Sinne des EU AI Act ist im Einzelfall komplex. Hinzu kommt eine Mehrfachregulierung, da KI-Anwendungen parallel den Anforderungen aus DSGVO, NIS2, sektoralem Fachrecht und IT-Sicherheitsvorgaben entsprechen müssen. Die nationale Umsetzung in Deutschland, insbesondere die Benennung und Ausstattung der zuständigen Marktüberwachungsbehörden, ist Stand 2026 noch nicht abgeschlossen.

Abgrenzung zu verwandten Begriffen

Der EU AI Act regelt das Inverkehrbringen und den Einsatz von KI-Systemen, während die DSGVO den Schutz personenbezogener Daten adressiert. Beide Regelwerke gelten nebeneinander. Im Unterschied zu Standards wie ISO/IEC 42001, die ein freiwilliges KI-Managementsystem beschreiben, ist der EU AI Act unmittelbar geltendes EU-Recht. Auch eine Abgrenzung zum Begriff "vertrauenswürdige KI" ist sinnvoll: Vertrauenswürdige KI ist ein ethisches und technisches Leitbild, der EU AI Act setzt einen Teil dieser Anforderungen rechtsverbindlich um.

Häufige Fragen

Was ist der EU AI Act?

Der EU AI Act ist die Verordnung (EU) 2024/1689 zur Regulierung Künstlicher Intelligenz in der Europäischen Union. Die KI-Verordnung ist am 1. August 2024 in Kraft getreten und legt abgestufte Pflichten für Anbieter und Betreiber von KI-Systemen fest, basierend auf dem Risiko der jeweiligen Anwendung.

Wann gilt der EU AI Act für Behörden vollständig?

Die Mehrheit der Pflichten für Hochrisiko-KI-Systeme nach Anhang III EU AI Act gilt ab dem 2. August 2026. Die Pflicht zur KI-Kompetenz nach Artikel 4 EU AI Act und das Verbot bestimmter KI-Praktiken gelten bereits seit dem 2. Februar 2025. Für eingebettete KI in regulierten Produkten greifen die Vorgaben ab dem 2. August 2027.

Welche KI-Anwendungen in der Verwaltung gelten als Hochrisiko?

Als Hochrisiko-KI nach Anhang III EU AI Act gelten unter anderem KI-Systeme in der Vergabe von Sozialleistungen, in Migrations- und Asylverfahren, in der Strafverfolgung, in der Justiz, im Bildungsbereich, in der Personalauswahl sowie in kritischer Infrastruktur. Behörden müssen für solche Systeme umfassende Anforderungen an Risikomanagement, Datenqualität, Dokumentation und menschliche Aufsicht erfüllen.

Was bedeutet Artikel 4 EU AI Act für Mitarbeitende?

Artikel 4 EU AI Act verpflichtet Anbieter und Betreiber von KI-Systemen seit dem 2. Februar 2025, ein ausreichendes Maß an KI-Kompetenz bei allen Personen sicherzustellen, die mit dem Betrieb und der Nutzung der KI-Systeme befasst sind. Behörden müssen daher Schulungs- und Sensibilisierungsprogramme für ihre Beschäftigten etablieren.

Was sind GPAI-Modelle im Sinne des EU AI Act?

GPAI-Modelle sind General-Purpose-AI-Modelle, also universell einsetzbare KI-Modelle wie große Sprachmodelle. Für sie gelten seit dem 2. August 2025 eigene Transparenz- und Dokumentationspflichten. Modelle mit systemischem Risiko unterliegen zusätzlichen Auflagen, darunter Modellbewertungen und Meldepflichten gegenüber dem AI Office.

Wie hängen EU AI Act und DSGVO zusammen?

Der EU AI Act und die DSGVO gelten parallel. Der EU AI Act regelt den Lebenszyklus von KI-Systemen, die DSGVO schützt personenbezogene Daten. Behörden müssen bei KI-Projekten beide Regelwerke gemeinsam erfüllen, etwa durch Datenschutz-Folgenabschätzungen, klare Rechtsgrundlagen und Maßnahmen zur Datenminimierung.

Fazit und Bedeutung für die Verwaltung

Der EU AI Act ist der zentrale Rechtsrahmen für den Einsatz von KI in Behörden, Kommunen und der gesamten öffentlichen Verwaltung. Die KI-Verordnung verlangt einen strukturierten Umgang mit Risiken, klare Governance, dokumentierte Prozesse und qualifizierte Beschäftigte. Wer ein belastbares KI-Inventar, definierte Verantwortlichkeiten und souveräne technische Grundlagen frühzeitig aufbaut, kann den EU AI Act nicht nur als Pflicht erfüllen, sondern auch als Beschleuniger für vertrauenswürdige Verwaltungsdigitalisierung nutzen.

Quellen

  1. Europäische Union: Verordnung (EU) 2024/1689 (EU AI Act), Amtsblatt der EU, 12. Juli 2024. https://eur-lex.europa.eu/eli/reg/2024/1689/oj (Stand: Mai 2026)
  2. Europäische Kommission: AI Act, Shaping Europe's digital future. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai (Stand: Mai 2026)
  3. Europäische Kommission: AI Office and Governance. https://digital-strategy.ec.europa.eu/en/policies/ai-office (Stand: Mai 2026)
  4. EU AI Act Implementation Timeline, artificialintelligenceact.eu. https://artificialintelligenceact.eu/implementation-timeline/ (Stand: Mai 2026)
  5. TÜV Rheinland Consulting: KI-Kompetenz nach Art. 4 EU AI Act. https://consulting.tuv.com/aktuelles/ki-im-fokus/ki-kompetenz-art-4-eu-ai-act (Stand: Mai 2026)

Über die Redaktion

Das Ayunis-Redaktionsteam verfasst und pflegt alle Lexikon-Einträge auf Basis praktischer Projekterfahrung mit Kommunen und Behörden. Inhalte werden regelmäßig geprüft und aktualisiert.
Inhaltsverzeichnis
Example H2
Verwandte Begriffe

Künstliche Intelligenz

Künstliche Intelligenz (KI) bezeichnet IT-Systeme, die kognitive Aufgaben wie Sprachverstehen, Mustererkennung und Entscheidungsvorbereitung maschinell ausführen. In der öffentlichen Verwaltung unterstützt Künstliche Intelligenz die Sachbearbeitung, die Bürgerkommunikation und die Steuerung von Prozessen, ersetzt aber nicht die rechtsverbindliche Entscheidung durch Menschen.

Datensouveränität

Datensouveränität bezeichnet die Fähigkeit, die vollständige Kontrolle über die eigenen Daten zu behalten – einschließlich deren Erhebung, Speicherung, Verarbeitung und Weitergabe. Im Kontext der öffentlichen Verwaltung und GovTech umfasst dies sowohl die Souveränität des Staates über Verwaltungsdaten als auch die Gewährleistung der Datenhoheit für Bürgerinnen und Bürger.

Digitale Souveränität

Digitale Souveränität bezeichnet die Fähigkeit von Staaten, Organisationen und Individuen, digitale Technologien selbstbestimmt, sicher und im Einklang mit eigenen Werten zu nutzen und weiterzuentwickeln. Im Kontext der öffentlichen Verwaltung bedeutet das: Die Kontrolle über Daten, Systeme, Infrastrukturen und Abhängigkeiten muss erhalten bleiben – und zwar ohne die Innovationskraft und Wettbewerbsfähigkeit einzubüßen.

Souveräne Cloud

"Souveräne Cloud" ist ein Begriff, der verwendet wird, um Cloud-Computing-Dienste zu beschreiben, die von Regierungen oder staatlichen Organisationen betrieben werden und deren Daten in der Regel innerhalb des Landes gespeichert werden. Der Begriff "souverän" bezieht sich auf die Kontrolle und Autorität, die von einer Regierung oder einem staatlichen Unternehmen über die Cloud-Plattform ausgeübt wird.