AI Act Glossar -- Begriffe der KI-Verordnung

Die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz. Sie ist die weltweit erste umfassende KI-Regulierung und trat im August 2024 in Kraft. Die Verordnung verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte, desto strenger die Anforderungen.

Weiterlesen: AI Act Pflichten für KMU 2026

Natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt. Anbieter tragen die Hauptverantwortung für Hochrisiko-KI-Systeme, einschließlich Konformitätsbewertung, CE-Kennzeichnung und Qualitätsmanagementsystem.

Siehe auch: Betreiber (Deployer)

Natürliche oder juristische Person, die ein KI-System unter eigener Verantwortung einsetzt -- es sei denn, das System wird im Rahmen einer persönlichen, nicht beruflichen Tätigkeit genutzt. Die meisten KMU, die KI-Tools wie ChatGPT, Copilot oder KI-basierte Branchensoftware einsetzen, sind Betreiber. Betreiberpflichten umfassen u. a. KI-Kompetenz (Art. 4), Transparenz (Art. 50) und bei Hochrisiko-Systemen die Grundrechtfolgenabschätzung (Art. 27).

Weiterlesen: AI Act Checkliste für KI-Betreiber | Siehe auch: Anbieter (Provider)

Die automatisierte Erkennung physischer, physiologischer oder verhaltensbezogener Merkmale einer natürlichen Person zum Zweck der Feststellung ihrer Identität. Dazu gehören insbesondere Gesichtserkennung, Fingerabdruckanalyse und Iriserkennung. Biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen ist nach Art. 5 grundsätzlich verboten, mit eng begrenzten Ausnahmen für die Strafverfolgung.

Siehe auch: Verbotene Praktiken, Hochrisiko-KI-System

Die CE-Kennzeichnung zeigt an, dass ein Hochrisiko-KI-System die Anforderungen der KI-Verordnung erfüllt. Sie wird vom Anbieter nach erfolgreicher Konformitätsbewertung angebracht. Für Betreiber (KMU, die KI-Tools nutzen) bedeutet das: Achten Sie beim Einkauf von KI-Software darauf, dass der Anbieter die CE-Kennzeichnung vorweisen kann.

Siehe auch: Konformitätsbewertung, Konformitätserklärung

Das Verfahren, mit dem nachgewiesen wird, dass ein Hochrisiko-KI-System die Anforderungen der KI-Verordnung erfüllt. Je nach Anwendungsbereich erfolgt die Bewertung als interne Kontrolle durch den Anbieter oder durch eine notifizierte Stelle (externe Prüfung). Die Konformitätsbewertung muss vor dem Inverkehrbringen oder der Inbetriebnahme abgeschlossen sein.

Siehe auch: CE-Kennzeichnung, Hochrisiko-KI-System

Die geplante Omnibus-Verordnung der EU sollte unter anderem die Anwendungsfristen der KI-Verordnung für Hochrisiko-KI-Systeme von August 2026 auf Dezember 2027 verschieben. Stand April 2026: Der Digital Omnibus ist im EU-Gesetzgebungsverfahren vorerst gescheitert. Letzte Abstimmung: 13. Mai 2026. Ohne den Omnibus gilt die ursprüngliche Frist August 2026 für Hochrisiko-Pflichten nach Art. 6 i.V.m. Anhang III. Die Pflichten nach Art. 4 (KI-Kompetenz) und Art. 5 (Verbote) sind davon unabhängig.

Weiterlesen: AI Act Pflichten für KMU 2026

Die Grundrechtefolgenabschätzung, die Betreiber von Hochrisiko-KI-Systemen vor der Inbetriebnahme durchführen müssen. Sie bewertet die Auswirkungen des KI-Systems auf die Grundrechte der betroffenen Personen. Pflicht für öffentliche Stellen und private Betreiber in bestimmten Bereichen (z. B. Versicherungen, Kredit-Scoring, Personalauswahl). Die Ergebnisse müssen der Marktüberwachungsbehörde gemeldet werden.

Siehe auch: Hochrisiko-KI-System, Marktüberwachungsbehörde

KI-Modelle mit allgemeinem Verwendungszweck -- also Modelle, die für eine breite Palette von Aufgaben eingesetzt werden können und in verschiedene nachgelagerte Systeme integriert werden. Beispiele: GPT-4, Claude, Gemini, Llama. GPAI-Anbieter unterliegen besonderen Pflichten (Transparenz, technische Dokumentation, Copyright-Einhaltung). Modelle mit systemischem Risiko (>10^25 FLOP Training) haben zusätzliche Pflichten. Für KMU, die GPAI-Modelle nur nutzen, gelten diese Pflichten nicht -- sie betreffen die Anbieter der Modelle.

Siehe auch: KI-System (Definition)

KI-Systeme, die in besonders sensiblen Bereichen eingesetzt werden und erhebliche Risiken für Gesundheit, Sicherheit oder Grundrechte darstellen können. Die Bereiche sind in Anhang III abschließend aufgelistet: biometrische Identifizierung, kritische Infrastruktur, Bildung, Beschäftigung/Personalmanagement, Zugang zu wesentlichen Dienstleistungen (Kredit-Scoring, Versicherungen), Strafverfolgung, Migration und demokratische Prozesse. Für Hochrisiko-Systeme gelten strenge Anforderungen an Risikomanagementsystem (Art. 9), Datenqualität (Art. 10), Dokumentation (Art. 11-12), Transparenz (Art. 13) und menschliche Aufsicht (Art. 14). Pflichten gelten ab August 2026 (Digital Omnibus zur Verschiebung auf Dez. 2027 vorerst gescheitert; letzte Abstimmung: 13. Mai 2026).

Weiterlesen: KI-Verordnung im Handwerk | Siehe auch: Risikoklassifizierung, Digital Omnibus

Bemühenspflicht nach Art. 4 KI-VO: Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass Personen, die KI nutzen oder beaufsichtigen, über ausreichende Kenntnisse verfügen. Das Kompetenzniveau muss der jeweiligen Rolle, dem Kontext und der Risikoklasse angemessen sein. Gilt seit Februar 2025 (Art. 113 Abs. 1 – Kapitel I) unabhängig von der Risikoklasse. Kein formales Zertifikat vorgeschrieben, aber dokumentierte Schulungen sind dringend empfohlen.

Weiterlesen: KI-Kompetenz nach Art. 4: Schulungspflicht

Ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie arbeiten kann, das nach seiner Einführung Anpassungsfähigkeit zeigen kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen ableitet, die physische oder virtuelle Umgebungen beeinflussen können. Einfache regelbasierte Automatisierung (z. B. wenn-dann-Logik) fällt nicht unter die Definition.

Siehe auch: General Purpose AI (GPAI)

Die EU-Konformitätserklärung, die der Anbieter eines Hochrisiko-KI-Systems ausstellt, nachdem die Konformitätsbewertung erfolgreich abgeschlossen wurde. Sie bestätigt, dass das System die Anforderungen der KI-Verordnung erfüllt. Die Erklärung muss die in Anhang V aufgeführten Informationen enthalten und wird zusammen mit der technischen Dokumentation mindestens 10 Jahre aufbewahrt.

Siehe auch: CE-Kennzeichnung, Konformitätsbewertung

Die nationale Behörde, die für die Überwachung und Durchsetzung der KI-Verordnung in einem Mitgliedstaat zuständig ist. Jeder EU-Mitgliedstaat muss mindestens eine Marktüberwachungsbehörde benennen. In Deutschland wird diese Funktion voraussichtlich von der Bundesnetzagentur wahrgenommen. Die Behörde hat umfassende Befugnisse: Zugang zu Dokumentation, Prüfung von KI-Systemen, Anordnung von Korrekturmaßnahmen und Verhängung von Bußgeldern.

Siehe auch: AI Act (KI-Verordnung)

KI-Systeme, die kein oder nur ein minimales Risiko für Grundrechte darstellen. Diese Systeme unterliegen keinen spezifischen Anforderungen der KI-Verordnung -- die Nutzung ist frei. Beispiele: KI-gestützte Textverarbeitung, Spam-Filter, KI-Routenplanung, KI-Bilderkennung für Produktfotos. Die Europäische Kommission fördert freiwillige Verhaltenskodizes für solche Systeme. Wichtig: Auch bei minimalem Risiko gilt seit Februar 2025 die KI-Kompetenz-Pflicht nach Art. 4 (Art. 113 Abs. 1).

Siehe auch: Risikoklassifizierung, KI-Kompetenz

Anbieter von Hochrisiko-KI-Systemen müssen ein dokumentiertes Qualitätsmanagementsystem einrichten. Dieses muss u. a. eine Strategie zur Einhaltung der Vorschriften, Verfahren zur Datenprüfung, Risikomanagement, Überwachung nach dem Inverkehrbringen und ein System zur Meldung schwerwiegender Vorfälle umfassen. Für die meisten KMU, die KI nur als Betreiber nutzen, ist kein eigenes QMS nach Art. 17 erforderlich.

Siehe auch: Hochrisiko-KI-System, Anbieter (Provider)

Ein kontrollierter Rahmen, den nationale Behörden einrichten, um KI-Systeme unter realen Bedingungen zu testen, bevor sie auf den Markt gebracht werden. KI-Anbieter (insbesondere KMU und Startups) können hier innovative KI-Systeme erproben, ohne sofort alle regulatorischen Anforderungen erfüllen zu müssen. Die Behörde begleitet den Test und gibt Orientierungshilfe. Jeder Mitgliedstaat soll mindestens eine Sandbox einrichten.

Siehe auch: Anbieter (Provider)

Der risikobasierte Ansatz der KI-Verordnung teilt KI-Systeme in vier Stufen ein: Verbotene Praktiken (Art. 5) -- generell unzulässig. Hochrisiko (Art. 6, Anhang III) -- strenge Anforderungen an Anbieter und Betreiber. Begrenztes Risiko (Art. 50) -- Transparenzpflichten (z. B. Chatbot-Kennzeichnung). Minimales Risiko -- keine spezifischen Pflichten. Die korrekte Einordnung Ihrer KI-Systeme ist der erste und wichtigste Schritt der AI-Act-Compliance.

Weiterlesen: KI-Verordnung im Handwerk: Risikoklassen | Siehe auch: Hochrisiko-KI-System, Verbotene Praktiken

Bestimmte KI-Systeme unterliegen Transparenzpflichten, auch wenn sie kein Hochrisiko darstellen. Dazu gehören: (1) KI-Systeme, die direkt mit Menschen interagieren (z. B. Chatbots) -- Nutzer müssen informiert werden, dass sie mit KI kommunizieren. (2) KI-Systeme, die synthetische Inhalte erzeugen (Texte, Bilder, Audio, Video) -- diese müssen als KI-generiert gekennzeichnet werden. (3) Emotionserkennungssysteme und biometrische Kategorisierung -- betroffene Personen müssen informiert werden.

Weiterlesen: Transparenzpflicht im Handwerk

KI-Anwendungen, die nach Art. 5 der KI-Verordnung generell untersagt sind. Dazu gehören: (1) KI-Systeme zur unterschwelligen Beeinflussung oder Manipulation. (2) KI-Systeme, die Schwächen bestimmter Personengruppen ausnutzen. (3) Social Scoring -- Bewertung natürlicher Personen anhand ihres Sozialverhaltens. (4) Biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen (mit eng begrenzten Ausnahmen). (5) Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen. (6) Ungezielte Gesichtserkennungsdatenbanken (Scraping). (7) Vorhersagende Polizeiarbeit basierend auf Profiling. Die Verbote gelten seit Februar 2025.

Siehe auch: Risikoklassifizierung, Biometrische Identifizierung