Verbotene KI-Praktiken (AI Act)

Verbotene KI-Praktiken bilden die strengste Kategorie innerhalb des risikobasierten Ansatzes des EU AI Acts. Es handelt sich um spezifische Anwendungsfälle künstlicher Intelligenz, die von der Europäischen Union als unvereinbar mit den Grundrechten und Werten der Gemeinschaft eingestuft werden. Im Gegensatz zu Hochrisiko-Systemen, die zwar streng reguliert, aber grundsätzlich erlaubt sind, ist der Einsatz dieser Praktiken in der EU kategorisch untersagt. Hierzu zählen unter anderem Techniken zur unterschwelligen Beeinflussung des Verhaltens, die Ausnutzung von Schwachstellen bestimmter Personengruppen sowie staatliches Social Scoring. Auch die biometrische Fernidentifizierung in Echtzeit im öffentlichen Raum unterliegt strengsten Verboten, wobei die Regulierung primär die Intention und die Wirkung des KI-Einsatzes adressiert, nicht die technische Architektur.

Für deutsche Unternehmen bedeutet dieses Verbot eine sofortige Prüfungspflicht ihrer internen Prozesse und der genutzten Software-Lösungen. Da der AI Act ähnlich wie die DSGVO das Marktortprinzip verfolgt, sind alle Firmen betroffen, die ihre Dienste in der EU anbieten oder deren Ergebnisse hier genutzt werden. Ein Verstoß gegen diese Verbote zieht drakonische Bußgelder nach sich, die mit bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes noch über dem maximalen Strafmaß der DSGVO liegen können. IT-Entscheider und Datenschutzbeauftragte müssen daher sicherstellen, dass weder selbst entwickelte Tools noch eingekaufte Drittsoftware Funktionen enthalten, die beispielsweise Emotionserkennung am Arbeitsplatz oder manipulative Algorithmen nutzen, um rechtliche und finanzielle Risiken auszuschließen.

Ein konkretes Szenario im deutschen Mittelstand betrifft das Personalmanagement und die interne Kommunikation. Ein Unternehmen könnte theoretisch versuchen, KI-gestützte Analysetools einzusetzen, um die Stimmung in Videokonferenzen oder Chats automatisch auszuwerten, um so die Produktivität zu messen. Solche Formen der Emotionserkennung im beruflichen Kontext sind nach dem AI Act explizit verboten, sofern sie nicht aus zwingenden medizinischen oder Sicherheitsgründen erfolgen. Ebenso wäre ein System untersagt, das Bewerberprofile anhand unterschwelliger psychologischer Beeinflussung in eine bestimmte Richtung drängt. Solche Praktiken gelten als unzulässiger Eingriff in die individuelle Autonomie und müssen zwingend aus den digitalen Workflows und der Unternehmensstrategie entfernt werden.

Die Übergangsfristen für diese Verbote sind kurz bemessen und greifen bereits sechs Monate nach dem Inkrafttreten der Verordnung, was den Handlungsdruck für 2025 massiv erhöht. Unternehmen sollten zeitnah ein KI-Inventar erstellen und eine Risikoklassifizierung für alle eingesetzten Tools vornehmen. Es reicht nicht aus, sich blind auf die Zusicherungen von Software-Anbietern zu verlassen. Vielmehr ist eine eigene Governance-Struktur erforderlich, die den Einsatz von KI-Systemen kontinuierlich überwacht. CTOs müssen ihre Beschaffungsrichtlinien jetzt anpassen, um zu verhindern, dass Schatten-KI oder ungetestete Features von Drittanbietern die Compliance gefährden, da die Haftung im Ernstfall oft beim anwendenden Unternehmen verbleibt.