Salta al contenuto
News

Änderungen am AI Act vom EU-Rat angenommen: Neue Fristen und Verbote

Änderungen am AI Act vom EU-Rat angenommen: Neue Fristen und Verbote

Auf einen Blick

Der Rat der Europäischen Union hat die Änderungen am EU AI Act angenommen und dabei wesentliche Neuerungen eingeführt. Dazu gehören neue Anwendungsdaten für Hochrisiko-KI-Systeme und ein neues Verbot der Generierung nicht einvernehmlicher sexueller Inhalte. Ferner werden die Zuständigkeiten des AI Office und die Interaktion mit sektorspezifischen Vorschriften präzisiert, um den Aufwand für die Einhaltung der Vorschriften zu minimieren. Der Gesetzestext muss noch im Amtsblatt der Europäischen Union veröffentlicht werden, um in Kraft zu treten.

Hintergrund

Am 29. Juni 2026 hat der Rat der Europäischen Union Änderungen am EU AI Act angenommen. Zu den wichtigsten Änderungen gehören neue Fristen für die Anwendung der Vorschriften: der 2. Dezember 2027 für Hochrisiko-KI-Systeme, die in Anhang III aufgeführt sind, und der 2. August 2028 für die in Anhang I genannten. Der 2. August 2027 ist die neue Frist für die Einrichtung von regulatorischen KI-Sandkästen durch die zuständigen nationalen Behörden, während am 2. Dezember 2026 die Gnadenfrist für Anbieter endet, Transparenzlösungen für KI-generierte Inhalte zu implementieren.
Eine neue verbotene KI-Praktik wurde eingeführt: die Generierung von nicht einvernehmlichen sexuellen und intimen Inhalten oder Material über sexuellen Kindesmissbrauch (CSAM). KI-Systeme, die nackte Bilder von realen Personen generieren oder Kleidung in bestehenden Fotos ändern, um intime Bereiche zu enthüllen, werden ab Dezember 2026 verboten sein.
Der neue Text präzisiert die Zuständigkeiten des AI Office für die Überwachung von KI-Systemen, die auf generischen KI-Modellen basieren, wenn Modell und System vom selben Anbieter entwickelt werden. Ausnahmen, bei denen die nationalen Behörden weiterhin zuständig bleiben, sind aufgeführt, darunter Bereiche wie Strafverfolgung, Grenzmanagement, Justizbehörden und Finanzinstitute.
Für Hochrisiko-KI-Systeme, die unter Anhang I fallen (und bereits durch sektorspezifische Gesetze, wie z. B. Medizinprodukte, Spielzeug, Aufzüge, reguliert sind), beschränkt der neue Text die Anwendung des AI Act in Situationen, in denen die sektorspezifischen Gesetze bereits spezifische KI-Anforderungen vorschreiben, die denen des AI Act ähneln. Produkte, die unter die Maschinenverordnung fallen (und zuvor gemäß Anhang I als Hochrisiko eingestuft wurden), wurden von der direkten Anwendbarkeit des AI Act ausgenommen, wobei die EU-Kommission ermächtigt ist, sekundäre Rechtsvorschriften zu erlassen, um zusätzliche Gesundheits- und Sicherheitsanforderungen hinzuzufügen.
Darüber hinaus verpflichtet der neue Text die EU-Kommission, Leitlinien zur Unterstützung der Wirtschaftsteilnehmer von Hochrisiko-KI-Systemen gemäß Anhang I bei der Einhaltung der Anforderungen des AI Act bereitzustellen, um den Compliance-Aufwand zu minimieren. Es wird darauf hingewiesen, dass der Rechtsakt, der diese Änderungen offiziell macht, noch im Amtsblatt der Europäischen Union veröffentlicht werden muss und drei Tage nach der Veröffentlichung in Kraft tritt.

Warum es wichtig ist

Die genehmigten Änderungen am AI Act haben direkte Auswirkungen auf alle Organisationen, die KI-Systeme entwickeln, implementieren oder nutzen, insbesondere auf solche, die als Hochrisiko eingestuft werden. Die neuen Fristen erfordern eine sofortige Überprüfung der Compliance-Zeitpläne und internen Strategien zur Einhaltung der Vorschriften, um Verzögerungen oder Sanktionen zu vermeiden. Die Einführung eines expliziten Verbots spezifischer KI-Praktiken (Generierung nicht einvernehmlicher sexueller Inhalte oder CSAM) zwingt Organisationen, die Fähigkeiten ihrer Systeme sorgfältig zu bewerten und robuste ethische und technische Kontrollen zu implementieren, um illegale Nutzungen zu verhindern, was die Gestaltung und das Management des KI-Lebenszyklus beeinflusst.
Die Klarheit über die Zuständigkeiten des AI Office und der nationalen Behörden ist entscheidend, um zu verstehen, wer der regulatorische Ansprechpartner sein wird und um Audit-Aktivitäten und die Interaktion mit den Aufsichtsbehörden korrekt zu lenken. Die Interaktion zwischen dem AI Act und den sektorspezifischen Vorschriften, zusammen mit der Ausnahme für Maschinen, unterstreicht die Notwendigkeit einer Multi-Regulierungsanalyse, um den tatsächlichen Compliance-Aufwand zu bestimmen und Duplikationen oder regulatorische Widersprüche zu vermeiden. Die zukünftigen Leitlinien der EU-Kommission werden ein entscheidendes Instrument für Organisationen sein, das praktische Unterstützung zur Minimierung der Belastungen und eine bessere Navigation in der komplexen KI-Regulierungslandschaft bietet, die sich mit Datenschutzpraktiken (DSGVO) und Cybersicherheit (NIS2) für eine umfassende Unternehmensführung integriert.

Was zu tun ist

  • Die offizielle Veröffentlichung des Rechtsakts im Amtsblatt der Europäischen Union und sein Inkrafttreten überwachen.
  • Compliance-Pläne und interne Zeitpläne auf der Grundlage der neuen Fristen für Hochrisiko-KI-Systeme (Anhang I und III) überprüfen und aktualisieren.
  • Genutzte oder entwickelte KI-Systeme bewerten, um diejenigen zu identifizieren, die Inhalte generieren, und sicherstellen, dass sie nicht unter die neuen verbotenen Praktiken fallen (nicht einvernehmliche sexuelle Inhalte, CSAM, Bildbearbeitung).
  • Die Zuständigkeiten des AI Office und der nationalen Behörden für die Überwachung der eigenen KI-Systeme, insbesondere für generische KI-Modelle, überprüfen.
  • Die Interaktion zwischen dem AI Act und den für die eigenen Hochrisiko-Systeme geltenden sektorspezifischen Vorschriften (z. B. Medizinprodukte, Spielzeug, Maschinen) analysieren, um den tatsächlichen Compliance-Aufwand zu verstehen.
  • Die zukünftigen Leitlinien der EU-Kommission abwarten und konsultieren, um den Compliance-Aufwand für Hochrisiko-KI-Systeme, die bereits unter sektorspezifische Gesetze fallen, zu minimieren.

Was zu vermeiden ist

  • Die vom EU-Rat angenommenen Änderungen zu ignorieren, auch wenn sie noch nicht offiziell veröffentlicht wurden, da sie den zukünftigen Rechtsrahmen abstecken.
  • Die Bewertung der Konformität der eigenen Hochrisiko-KI-Systeme angesichts der überarbeiteten Fristen, die eine angemessene Planung erfordern, zu verzögern.
  • KI-Systeme zu entwickeln oder zu nutzen, die nicht einvernehmliche sexuelle Inhalte oder Material über sexuellen Kindesmissbrauch (CSAM) generieren könnten, angesichts des bevorstehenden expliziten Verbots.

Praktische Auswirkungen

Organisationen, die KI-Systeme entwickeln, vertreiben oder nutzen, müssen sich auf einen sich entwickelnden Rechtsrahmen vorbereiten. Die Änderungen schaffen Klarheit über Fristen, spezifische Verbote und die Verteilung von Zuständigkeiten, erfordern aber auch eine sorgfältige Analyse der Interaktion mit anderen sektorspezifischen Vorschriften. Es ist entscheidend, diese neuen Bestimmungen in die Unternehmensführungs- und Compliance-Strategien zu integrieren und die regulatorischen Entwicklungen sowie zukünftige Leitlinien zu überwachen, um einen ethischen und legalen Einsatz von KI zu gewährleisten und Risiken sowie Belastungen zu minimieren.

Empfohlene Maßnahmen

  • KI-Systeme, die in Gebrauch oder Entwicklung sind, angesichts der neuen Anwendungsdaten für Hochrisiko neu klassifizieren.
  • Strenge Kontrollen und Überwachungsmechanismen implementieren, um die Generierung verbotener Inhalte durch KI-Systeme zu verhindern.
  • Interne und externe Ansprechpartner (AI Office, zuständige nationale Behörden) für das Management der Überwachung von KI-Systemen festlegen.
  • Das Personal, das an der Entwicklung, Implementierung und Verwaltung von KI-Systemen beteiligt ist, über die neuen Bestimmungen des AI Act und die Interaktionen mit relevanten sektorspezifischen Vorschriften schulen.
  • Interne Richtlinien, Betriebsabläufe und KI-Risikomanagement-Frameworks aktualisieren, um die regulatorischen Änderungen widerzuspiegeln.

Zu vermeidende Fehler

  • Die Auswirkungen der Gesetzesänderungen auf die eigenen Operationen und das eigene KI-Lösungsportfolio zu unterschätzen.
  • Anzunehmen, dass ein KI-System, das bereits sektorspezifischen Vorschriften (z. B. Medizinprodukte, Maschinen) entspricht, keiner weiteren Bewertungen oder Anpassungen für den AI Act bedarf.
  • Das aktive Monitoring der offiziellen Veröffentlichung des Gesetzestextes und des Inkrafttretens der neuen Bestimmungen zu unterlassen, wodurch das Risiko der Nichtkonformität eingegangen wird.

Fragen zur Selbsteinschätzung

  • Welche unserer KI-Systeme fallen in die Hochrisiko-Kategorien von Anhang I oder III, und wie passen sie sich an die neuen Compliance-Fristen an?
  • Haben unsere KI-Systeme die Fähigkeit, Inhalte zu generieren, und wurden in diesem Fall technische und organisatorische Maßnahmen implementiert, um die Generierung verbotener Inhalte (z. B. nicht einvernehmliches sexuelles Material oder CSAM) zu verhindern?
  • Verstehen wir vollständig, welche Behörde (AI Office oder zuständige nationale Behörde) für die Überwachung unserer spezifischen KI-Systeme verantwortlich sein wird, und haben wir die notwendigen Kommunikationskanäle eingerichtet?
  • Wie interagiert der AI Act mit den sektorspezifischen Vorschriften, die bereits für unsere Produkte oder Dienstleistungen gelten (z. B. Medizinprodukte, Maschinenverordnung), und welche Auswirkungen hat dies auf unseren gesamten Compliance-Aufwand?
  • Haben wir einen Plan, um die zukünftigen Leitlinien der EU-Kommission in unsere Compliance-Strategie zu integrieren, um unsere Anstrengungen zu optimieren und die Belastungen zu minimieren?

Verweise

Nationales Recht: EU AI Act · Machinery regulation

Zum Originalartikel auf Luiza Jarovsky (AI & Privacy) ↗

Lesen Sie auch