Der EU AI Act (EU 2024/1689) ist die weltweit erste umfassende gesetzliche Regulierung für Künstliche Intelligenz. Er wurde im August 2024 veröffentlicht und tritt gestaffelt in Kraft. Für produzierende Unternehmen ist der EU AI Act kein abstraktes Tech-Thema – er betrifft konkret den Einsatz von KI-Systemen in Qualitätsprüfung, Prozesssteuerung, Predictive Maintenance und Produktionsplanung. Wer KI in der Fertigung einsetzt oder plant einzusetzen, muss die Risikoklassifizierung seiner Systeme kennen und die entsprechenden Pflichten erfüllen.
Der EU AI Act klassifiziert KI-Systeme nach ihrem Risikopotenzial in vier Kategorien.
Inakzeptables Risiko – verboten: KI-Systeme die grundlegende Rechte verletzen. Dazu gehören Systeme zur biometrischen Echtzeit-Überwachung im öffentlichen Raum, Social Scoring und manipulative KI. In der industriellen Produktion spielen diese Verbote kaum eine direkte Rolle.
Hohes Risiko – streng reguliert: Das ist die für die Fertigung relevanteste Kategorie. Hochrisiko-KI-Systeme unterliegen umfangreichen Pflichten bevor sie auf den Markt gebracht oder in Betrieb genommen werden dürfen. Für die Produktion fallen darunter insbesondere KI-Systeme die als Sicherheitskomponente in Maschinen eingesetzt werden die unter die EU-Maschinenverordnung fallen, KI in Produkten die CE-Kennzeichnungspflichten unterliegen sowie KI-Systeme in kritischen Infrastrukturen.
Begrenztes Risiko – Transparenzpflichten: Systeme wie Chatbots oder KI-generierte Inhalte müssen als KI erkennbar gemacht werden. Für die Industrieproduktion weniger relevant.
Minimales Risiko – keine spezifischen Pflichten: Der Großteil der KI-Systeme fällt in diese Kategorie – etwa KI-gestützte Produktionsoptimierung, Anomalieerkennung in Maschinendaten oder KI-gestützte Wartungsplanung wenn sie keine direkten Sicherheitsfunktionen übernehmen.
Die Hochrisiko-Einordnung in der Fertigung hängt primär davon ab ob das KI-System eine Sicherheitsfunktion in einem regulierten Produkt übernimmt oder in kritischer Infrastruktur eingesetzt wird.
Konkrete Beispiele für potenzielle Hochrisiko-KI in der Produktion: KI-Systeme die automatisierte Qualitätsentscheidungen für sicherheitskritische Bauteile treffen – etwa in der Automotive- oder Medizingeräteherstellung. KI in Maschinen die unter die EU-Maschinenverordnung 2023 fallen wenn die KI eine Sicherheitsfunktion übernimmt. KI-gestützte Steuerungssysteme in kritischen Infrastrukturen wie Energie- oder Wasserversorgung.
KI-Systeme die Produktionsparameter optimieren, Wartungsbedarfe prognostizieren oder OEE-Analysen automatisieren gelten in der Regel nicht als Hochrisiko – solange sie keine direkten Sicherheitsfunktionen übernehmen und menschliche Entscheidungsträger die letzte Kontrollinstanz bleiben.
Der EU AI Act unterscheidet zwischen Anbietern – also Unternehmen die KI-Systeme entwickeln und in Verkehr bringen – und Betreibern – also Unternehmen die KI-Systeme im eigenen Betrieb einsetzen.
Pflichten für Anbieter von Hochrisiko-KI:
Risikomanagement-System das Risiken des KI-Systems über den gesamten Lebenszyklus identifiziert und bewertet. Datensätze für Training, Validierung und Test müssen relevant, repräsentativ und fehlerfrei sein. Technische Dokumentation die das System, seine Funktionsweise und seine Grenzen beschreibt. Transparenz- und Informationspflichten gegenüber Betreibern. Menschliche Aufsicht muss durch Design sichergestellt werden. Cybersicherheit und Robustheit des Systems müssen gewährleistet sein. Konformitätsbewertung vor Markteinführung – bei bestimmten Hochrisiko-Kategorien durch eine Notifizierte Stelle. CE-Kennzeichnung und EU-Konformitätserklärung. Registrierung in der EU-Datenbank für Hochrisiko-KI-Systeme.
Pflichten für Betreiber von Hochrisiko-KI:
Technische und organisatorische Maßnahmen um KI zweckgemäß einzusetzen. Sicherstellung menschlicher Aufsicht durch qualifizierte Personen. Monitoring des KI-Systems im Betrieb. Meldepflicht bei schwerwiegenden Vorfällen oder Fehlfunktionen. Datenschutz-Folgenabschätzung wenn personenbezogene Daten verarbeitet werden.
Der EU AI Act tritt gestaffelt in Kraft.
Februar 2025: Verbote für inakzeptable Risiken gelten.
August 2025: Pflichten für Anbieter von General-Purpose AI Models (GPAI) und Governance-Strukturen treten in Kraft.
August 2026: Hochrisiko-Pflichten für KI-Systeme in regulierten Produkten treten vollständig in Kraft. Das ist der relevanteste Termin für die Fertigungsindustrie.
August 2027: Hochrisiko-Pflichten für KI-Systeme die nicht in regulierten Produkten eingebettet sind.
Der erste Schritt ist eine KI-Inventur: Welche KI-Systeme werden im Unternehmen eingesetzt oder sind in Planung? Dazu gehören nicht nur explizite KI-Projekte, sondern auch KI-Funktionen in bestehender Software – etwa Predictive-Maintenance-Module in MES-Systemen, automatisierte Qualitätsprüfung mit Machine Vision oder KI-gestützte Produktionsplanung.
Der zweite Schritt ist die Risikoklassifizierung jedes identifizierten Systems: Ist es Hochrisiko? Übernimmt es Sicherheitsfunktionen? Ist es in ein reguliertes Produkt eingebettet?
Der dritte Schritt ist die Gap-Analyse: Welche Dokumentations-, Monitoring- und Governance-Anforderungen bestehen für die klassifizierten Systeme, und was fehlt aktuell?
Für den Großteil der KI-Anwendungen in der Fertigungsoptimierung – OEE-Analyse, Anomalieerkennung, Wartungsplanung – sind die direkten AI-Act-Pflichten überschaubar solange keine Sicherheitsfunktionen übernommen werden. Die relevantere Frage ist ob die KI-Komponenten in eingesetzten Softwaresystemen vom Anbieter AI-Act-konform entwickelt und dokumentiert wurden.
MES-Plattformen die KI-Funktionen für Predictive Quality, automatisierte Anomalieerkennung oder KI-gestützte Produktionssteuerung integrieren, müssen diese im Hinblick auf den AI Act einordnen. Entscheidend ist ob die KI-Funktion Empfehlungen gibt die ein Mensch bestätigt – oder ob sie automatisierte Entscheidungen trifft die direkt in Prozesse eingreifen.
Das Prinzip der menschlichen Aufsicht ist zentral: Wenn ein Mensch die letzte Entscheidungsinstanz bleibt und KI nur als Entscheidungsunterstützung fungiert, ist das Risikoprofil deutlich niedriger als bei vollautomatisierten Entscheidungssystemen. Das ist auch der Designansatz den AI-Act-konforme MES-Anbieter verfolgen sollten.
Muss ein Fertigungsunternehmen das Standard-KI-Software von einem Anbieter kauft selbst AI-Act-konform sein? Als Betreiber muss das Unternehmen sicherstellen dass es Hochrisiko-KI zweckgemäß einsetzt und menschliche Aufsicht gewährleistet. Die technische Konformität des Systems liegt beim Anbieter. Betreiber sollten von Anbietern Konformitätsdokumentation und technische Unterlagen einfordern – ähnlich wie bei CE-Kennzeichnung.
Gilt der AI Act auch für KI die intern entwickelt wird? Ja. Wer KI-Systeme intern entwickelt und im eigenen Betrieb einsetzt, gilt als Anbieter der gleichzeitig Betreiber ist – und muss sowohl Anbieter- als auch Betreiberpflichten erfüllen wenn das System als Hochrisiko eingestuft ist.
Was ist der Unterschied zwischen AI Act und der EU-Maschinenverordnung 2023 für KI in Maschinen? Die EU-Maschinenverordnung 2023 reguliert die Sicherheit von Maschinen insgesamt – inklusive KI-Komponenten die Sicherheitsfunktionen übernehmen. Der AI Act reguliert KI-Systeme als solche. Beide Regelwerke greifen ineinander: Eine KI die eine Sicherheitsfunktion in einer Maschine übernimmt muss sowohl die Maschinenverordnung als auch den AI Act erfüllen. Die Konformitätsbewertung wird soweit möglich harmonisiert.
Was sind General-Purpose AI Models (GPAI) und sind sie für die Produktion relevant? GPAI sind Basismodelle wie große Sprachmodelle die für viele verschiedene Zwecke eingesetzt werden können. Anbieter von GPAI unterliegen ab August 2025 eigenen Pflichten. Für Fertigungsunternehmen die GPAI-basierte Tools für Dokumentation, Wissensmanagement oder Prozessoptimierung einsetzen entsteht kein direkter Regulierungsaufwand – wohl aber die Frage ob der GPAI-Anbieter seine Pflichten erfüllt.