Was ist das EU-KI-Gesetz?
Das EU-KI-Gesetz (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von künstlicher Intelligenz. Es trat am 1. August 2024 in Kraft und wird bis 2027 in Phasen umgesetzt. Ziel: Sicherstellen, dass KI in Europa sicher, transparent ist und die Grundrechte respektiert – ohne Innovation zu behindern.
Für Unternehmen, die Document AI, AI-IDP oder automatisierte Entscheidungssysteme nutzen, ist diese Regelung nicht nur ein entferntes Thema. Die meisten Verpflichtungen treten am 2. August 2026 in Kraft – weniger als vier Monate von heute aus gesehen.
Der Zeitplan: Wann gelten die Regeln?
Das EU-KI-Gesetz wird in vier Phasen durchgesetzt:
| Datum | Was passiert |
|---|---|
| Februar 2025 | Verbote für inakzeptable KI-Systeme (soziale Bewertung, manipulative KI, Echtzeit-Biometrie-Überwachung) |
| August 2025 | Regeln für Allgemeine KI (GPAI) und KI-Modelle mit systemischem Risiko |
| August 2026 | Hauptverpflichtungen für Hochrisiko-KI-Systeme, Transparenzanforderungen, Konformitätsbewertungen |
| August 2027 | Verpflichtungen für Hochrisiko-KI in regulierten Produkten (Medizinprodukte, Fahrzeuge usw.) |
August 2026 ist der kritische Fristtermin für die meisten Unternehmen. Ab diesem Zeitpunkt müssen Hochrisiko-KI-Systeme Konformitätsbewertungsverfahren durchlaufen, Risikomanagementsysteme müssen vorhanden sein und umfangreiche Dokumentationsanforderungen müssen erfüllt werden.
Die vier Risikokategorien auf einen Blick
Im Zentrum des EU-KI-Gesetzes steht ein risikobasierter Ansatz. Je höher das Risiko eines KI-Systems, desto strenger die Anforderungen:
Inakzeptables Risiko — Verboten
Systeme, die Grundrechte verletzen: soziale Bewertung, manipulative KI, Massen-Biometrie-Überwachung. Diese wurden seit Februar 2025 verboten.
Hohes Risiko — Strenge Regulierung
KI-Systeme in sensiblen Bereichen: Bonitätsprüfung, Personalbeschaffung, kritische Infrastruktur, Strafverfolgung. Erfordern Konformitätsbewertung, Risikomanagement und menschliche Aufsicht.
Begrenztes Risiko — Transparenzpflichten
Chatbots, Deepfakes, Emotionserkennung: Nutzer müssen informiert werden, dass sie mit KI interagieren.
Minimales Risiko — Keine Anforderungen
Spam-Filter, KI in Videospielen, Empfehlungssysteme. Keine regulatorischen Anforderungen.
Was bedeutet das für Document AI und AI-IDP?
Für Unternehmen, die Intelligent Document Processing (AI-IDP) nutzen, ist die zentrale Frage: In welche Risikokategorie fällt Document AI?
Die gute Nachricht: Die meisten Document AI-Anwendungen fallen in die Kategorien begrenztes oder minimales Risiko:
- OCR und Texterkennung: Minimales Risiko — keine regulatorischen Verpflichtungen
- Dokument Klassifizierung: Minimales Risiko — automatische Sortierung von Rechnungen, Verträgen usw.
- Datenextraktion aus Formularen: Minimales Risiko — strukturierte Daten aus unstrukturierten Dokumenten
- KI-gestützte Chatbots für Kundenservice: Begrenztes Risiko — Transparenzpflicht (Nutzer müssen wissen, dass sie mit KI sprechen)
Vorsicht ist geboten, wenn Document AI für automatisierte Entscheidungen verwendet wird, die Personen erheblich betreffen — wie automatisierte Bonitätsprüfungen auf Basis von Dokumenten oder KI-gestützte Vorauswahl von Bewerbern.
5 Dinge, die Unternehmen jetzt tun müssen
Egal in welche Risikokategorie, wir empfehlen jedem Unternehmen, das KI-Systeme nutzt, diese fünf Schritte zu unternehmen:
1. Erstellung eines KI-Inventars
Erhalten Sie einen vollständigen Überblick über alle KI-Systeme in Ihrem Unternehmen. Welche Software nutzt KI? Welche Entscheidungen werden automatisiert? Wo werden personenbezogene Daten verarbeitet?
2. Durchführung einer Risikobewertung
Klassifizieren Sie jedes KI-System in eine der vier Risikokategorien. Verwenden Sie die Kriterien aus Anhang III des EU-KI-Gesetzes. Bei Unsicherheit: Holen Sie sich professionelle Beratung.
3. Aufbau von Dokumentation
Hochrisiko-Systeme erfordern umfangreiche technische Dokumentation: Trainingsdaten, Leistungsindikatoren, Risikomanagementmaßnahmen, Testprotokolle. Beginnen Sie jetzt — nachträgliche Dokumentation ist deutlich kostspieliger.
4. Gewährleistung von Human-in-the-Loop
Automatisierte Entscheidungen, die Personen erheblich betreffen, erfordern menschliche Aufsicht. Implementieren Sie klare Eskalationswege und Überprüfungsmechanismen.
5. Bewertung Ihrer Lieferanten
Wenn Sie KI-Systeme von Drittanbietern nutzen, überprüfen Sie deren EU-KI-Gesetz-Konformität. Fordern Sie Konformitätserklärungen an. Bevorzugen Sie Lieferanten mit EU-Hosting und nachweisbarer Konformität.
Wie PaperOffice AI bereits konform ist
PaperOffice AI wurde von Grund auf mit europäischen Werten und den höchsten Sicherheitsstandards entwickelt. Unsere Document AI-Plattform erfüllt bereits die Anforderungen des EU-KI-Gesetzes:
- 100% EU-Hosting: Alle Daten werden ausschließlich in deutschen und europäischen Rechenzentren verarbeitet — keine Übermittlungen an Drittländer
- DSGVO-konform: Vollständige Einhaltung der Datenschutz-Grundverordnung, Privacy by Design
- SOC 2 und ISO 27001: Zertifizierte Informationssicherheit mit regelmäßigen Audits
- Human-in-the-Loop: Integrierte menschliche Überprüfung für kritische Entscheidungen — keine Black-Box-Automatisierung
- Transparente KI: Nachvollziehbare Entscheidungen, vollständige Audit-Trails, erklärbare Ergebnisse
- Technische Dokumentation: Umfassende API-Dokumentation, Leistungsindikatoren und Testprotokolle für alle 357+ KI-Tools
Mit über 24 Jahren Erfahrung im Dokumentenverarbeitung und Fokus auf Unternehmenssicherheit sind wir überzeugt: Regulierung und Innovation sind keine Widersprüche. Das EU-KI-Gesetz schafft Vertrauen — und Vertrauen ist die Grundlage für die breite KI-Nutzung in europäischen Unternehmen.
Das EU-KI-Gesetz ist keine Hürde, sondern eine Chance: Unternehmen, die jetzt in die Konformität investieren, gewinnen einen nachhaltigen Wettbewerbsvorteil gegenüber Anbietern, die die Regulierung ignorieren.
