Der EU AI Act (Verordnung 2024/1689) ist seit August 2024 in Kraft und entfaltet stufenweise Wirkung. Ab Februar 2025 gelten die Verbote für inakzeptable KI-Systeme. Ab August 2025 greifen die Transparenzpflichten für General-Purpose AI (GPAI). Ab August 2026 gelten die vollständigen Anforderungen für Hochrisiko-KI-Systeme. Für deutsche Unternehmen bedeutet das: Jetzt handeln, nicht erst 2026.
Der EU AI Act teilt KI-Systeme in vier Risikoklassen ein: (1) Inakzeptables Risiko: Social Scoring, manipulative KI — verboten seit Februar 2025. (2) Hohes Risiko: KI in kritischer Infrastruktur, HR-Entscheidungen, Kreditvergabe, medizinische Diagnostik — strenge Anforderungen ab August 2026. (3) Begrenztes Risiko: Chatbots, Deepfakes — Transparenzpflichten. (4) Minimales Risiko: Spam-Filter, Empfehlungssysteme — kaum reguliert. Die meisten Enterprise-KI-Anwendungen in regulierten Branchen fallen in Kategorie 2 oder 3.
Für Hochrisiko-KI-Systeme verlangt der EU AI Act: (1) Risikomanagement-System über den gesamten Lebenszyklus. (2) Data Governance: Dokumentation der Trainingsdaten, Bias-Prüfung, Datenqualitätskriterien. (3) Technische Dokumentation: Modellarchitektur, Trainingsparameter, Evaluierungsmetriken. (4) Logging und Audit-Trail: Jede Entscheidung nachvollziehbar. (5) Menschliche Aufsicht: Human-in-the-Loop oder Human-on-the-Loop. (6) Cybersecurity-Anforderungen: Robustheit gegen Adversarial Attacks, Prompt Injection Prevention.
General-Purpose AI Models (wie Llama, Mistral, GPT) unterliegen eigenen Regeln. Anbieter müssen technische Dokumentation bereitstellen, das EU Copyright Law einhalten und eine Zusammenfassung der Trainingsdaten veröffentlichen. Für GPAI mit systemischem Risiko (>10^25 FLOPs Training) gelten zusätzlich Red-Teaming-Pflichten und Incident-Reporting. Open Source Modelle haben teilweise Ausnahmen — aber nur, wenn sie nicht als Hochrisiko eingesetzt werden. Wer Llama oder Mistral in einer Hochrisiko-Anwendung deployed, unterliegt den vollen Anforderungen.
Wir implementieren EU AI Act Compliance mit Open Source Tools: (1) MLflow für Model Lifecycle Management und Experiment Tracking. (2) RAGAS und DeepEval für systematische Modell-Evaluation. (3) Guardrails AI und NeMo Guardrails für Output Filtering und Prompt Injection Prevention. (4) Label Studio für Daten-Annotation und Bias-Audits. (5) Keycloak für Human-in-the-Loop Zugriffskontrolle. (6) OpenSearch für Audit-Trail und Logging aller KI-Entscheidungen. Alles self-hosted, alles auditierbar, alles DSGVO-konform.
Dieser Artikel basiert auf unserer Praxiserfahrung aus 6+ Kundenprojekten. Haben Sie Fragen zur Umsetzung in Ihrem Unternehmen?
