EU-KI-Gesetz
Compliance-Prüfer
Beantworten Sie 7 kurze Fragen, um herauszufinden, ob Ihr KI-Anwendungsfall wahrscheinlich in den Anwendungsbereich fällt und was Ihr Team als Nächstes tun sollte.
FAQ´s Frage
Dieses Tool bewertet Ihren KI-Anwendungsfall anhand der wichtigsten Kriterien des EU-KI-Gesetzes – darunter Ihre Rolle (Entwickler, Integrator oder Anwender), der Einsatzort Ihrer KI, ihre Funktion und die betroffenen Personen. Basierend auf Ihren Antworten erhalten Sie eine Einschätzung, ob Ihr Anwendungsfall wahrscheinlich in den Anwendungsbereich fällt und welche nächsten Schritte ratsam sind.
Nein. Das Ergebnis ist eine vorläufige Einschätzung auf Grundlage öffentlich zugänglicher Informationen zum EU-Gesetz über künstliche Intelligenz. Es soll Ihnen als Orientierungshilfe für Ihre Überlegungen zur Einhaltung der Vorschriften dienen und ersetzt keine Rechtsberatung. Wir empfehlen Ihnen, für eine formelle Beurteilung einen qualifizierten Rechts- oder Compliance-Experten zu konsultieren.
Ja, die Verpflichtungen werden schrittweise eingeführt, aber der Zeitplan läuft bereits. Verbotene KI-Praktiken sind seit Februar 2025 untersagt. Verpflichtungen für KI-Systeme mit hohem Risiko gelten ab August 2026. Die Modellregeln für allgemeine KI (GPAI) sind bereits in Kraft. Wenn Sie jetzt mit Ihrer Bereitschaftsanalyse beginnen, haben Sie Zeit, konforme Systeme von Grund auf zu entwickeln, anstatt sie nachträglich anzupassen.
Das Gesetz klassifiziert KI-Systeme in vier Stufen: Unakzeptables Risiko (ganz verboten, z. B. Social Scoring durch Regierungen), Hohes Risiko (erfordert Konformitätsbewertungen und Dokumentation, z. B. KI bei der Einstellung von Personal, im Gesundheitswesen oder bei der Strafverfolgung), Begrenztes Risiko (Transparenzpflichten, z. B. Chatbots) und Minimales Risiko (keine spezifischen Verpflichtungen, z. B. Spamfilter).
Ja, möglicherweise. Das EU-KI-Gesetz hat extraterritoriale Geltung, ähnlich wie die DSGVO. Wenn Ihr KI-System auf dem EU-Markt angeboten, von Personen in der EU genutzt wird oder Ergebnisse liefert, die Auswirkungen auf Personen in der EU haben, kann es unabhängig vom Sitz Ihres Unternehmens unter das Gesetz fallen.
Wenn Sie ChatGPT oder Claude in Ihr Produkt integrieren, gelten Sie höchstwahrscheinlich als Anbieter im Sinne der EU-KI-Richtlinie und nicht nur als Anwender. Die Richtlinie behandelt das von Ihnen an Kunden ausgelieferte KI-System, wie beispielsweise Ihren Chatbot oder Ihre KI-gestützte Funktion, als ein vom zugrunde liegenden Basismodell getrenntes System. OpenAI, Anthropic und Google sind Anbieter von allgemeiner KI (GPAI) gemäß Kapitel V, während Sie der Anbieter des auf deren Modell basierenden KI-Systems sind. Beide Rollen gelten unabhängig voneinander. Die Integration eines Drittanbietermodells unter Ihrem eigenen Produktnamen bedeutet daher, dass Sie die Anbieterpflichten für das von Ihnen entwickelte System übernehmen.
Ja, das EU-KI-Gesetz gilt in den meisten Fällen auch für in den USA ansässige Unternehmen, selbst wenn diese keine Niederlassungen in der EU haben. Artikel 2 des Gesetzes gilt für Anbieter und Anwender unabhängig vom Sitz des Unternehmens; maßgeblich für die Zuständigkeit ist die Nutzung der Ergebnisse des KI-Systems innerhalb der EU.
Führen Sie drei Prüfungen nacheinander durch. Erstens: Ihre KI gilt gemäß Anhang I als Hochrisiko-KI, wenn sie eine sicherheitsrelevante Komponente eines regulierten Produkts wie beispielsweise eines Medizinprodukts, eines Automobilbauteils oder einer Industriemaschine ist. Zweitens: Ihre KI gilt gemäß Anhang III als Hochrisiko-KI, wenn ihr Verwendungszweck in einen der acht sensiblen Bereiche fällt (Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienstleistungen, Strafverfolgung, Migration oder Justiz), es sei denn, sie erfüllt die Voraussetzungen für die Ausnahmeregelung in Artikel 6 Absatz 3 für eng begrenzte verfahrenstechnische oder vorbereitende Aufgaben. Trifft keiner der Anhänge zu, gilt Ihre KI gemäß den Transparenzregeln von Artikel 50 als Risiko mit geringem Risiko, wenn sie Inhalte generiert, mit Personen interagiert oder Deepfakes erzeugt. Ansonsten stellt sie ein minimales Risiko ohne spezifische Verpflichtungen dar.
Sprinto unterstützt Sie bei der Einhaltung des EU-KI-Gesetzes, indem es Ihre bestehenden SOC 2-, ISO 27001-, ISO 42001-, DSGVO- und NIST AI RMF-Kontrollen automatisch den für Ihr Unternehmen relevanten Artikeln des EU-KI-Gesetzes zuordnet. Drei Funktionen sind dabei besonders wichtig: Die Erkennung von Schatten-KI deckt alle KI-Tools in Ihrer Umgebung auf (auch solche, die Mitarbeiter informell eingeführt haben), die Framework-übergreifende Zuordnung nutzt bereits für andere Frameworks erstellte Nachweise wieder, und die kontinuierliche Überwachung verhindert Abweichungen nach dem Start, indem sie veraltete Nachweise und neue KI-Funktionen von Anbietern kennzeichnet, die einer Bewertung bedürfen.


