senn-techsenn-tech
Zurück zum Blog
KI & Entwicklung2027-02-16

EU AI Act: Warum lokale KI die richtige Antwort ist

Der EU AI Act ist das erste umfassende KI-Gesetz der Welt. Er stuft KI-Anwendungen nach Risiko ein — und hat handfeste Konsequenzen dafür, wo und wie wir Modelle betreiben. Lokale Inferenz auf eigener Hardware wird damit vom Nice-to-have zum Compliance-Vorteil.

Die Risikopyramide

Der AI Act unterscheidet vier Stufen:

  • Unannehmbares Risiko: Verboten. Social Scoring, Echtzeit-Gesichtserkennung im öffentlichen Raum, manipulative KI.
  • Hochrisiko: Erlaubt, aber streng reguliert. KI in kritischer Infrastruktur, Personalauswahl, Kreditvergabe, medizinischer Diagnostik.
  • Begrenztes Risiko: Transparenzpflichten. Chatbots müssen sich zu erkennen geben, KI-generierte Inhalte müssen gekennzeichnet sein.
  • Minimales Risiko: Keine speziellen Auflagen. Spamfilter, Videospiel-KI.

Die meisten Business-Anwendungen landen in den oberen drei Stufen. Die Pflichten steigen mit dem Risiko — und mit ihnen die Frage: Wer hat Zugriff auf die Daten, die durch das Modell laufen?

Warum lokale Inferenz die Compliance vereinfacht

Jede SaaS-KI — ob ChatGPT, Claude-API oder Google Gemini — schickt Ihre Daten an externe Server. Das ist bei Hochrisiko-Anwendungen ein Problem:

  • Datenweitergabe: Der AI Act verlangt Dokumentation, welche Daten wohin fliessen. Ein eigener vLLM-Server auf eigener Hardware ist hier glasklar: die Daten verlassen das Haus nicht.
  • Auditierbarkeit: Wer ein lokales Modell betreibt, kann jeden Request loggen, jedes Embedding nachvollziehen, jede Antwortversion archivieren. Bei einer API sind Sie auf das Log-Interface des Anbieters angewiesen.
  • Modellfixierung: Hochrisiko-Anwendungen müssen mit einer definierten Modellversion arbeiten. Ein API-Anbieter kann das Backend-Modell jederzeit ändern — Sie merken es vielleicht nicht einmal.

Transparenzpflichten: trivial mit lokalem Modell

Dass ein Chatbot ein Bot ist, muss offengelegt werden. Dass ein KI-generiertes Bild kein Foto ist, ebenfalls. Das sind keine technischen Hürden — aber sie müssen dokumentiert und nachweisbar sein. Ein selbst betriebenes System macht diesen Nachweis einfach.

Das Zusammenspiel mit NIS2

NIS2 und AI Act greifen ineinander: NIS2 regelt die Cybersicherheit der Infrastruktur, der AI Act die Risikobewertung der KI-Anwendung. Beide belohnen Kontrolle. Beide bestrafen blindes Outsourcing. Lokale KI-Infrastruktur — eigener Server, eigenes Modell, eigene Pipeline — erfüllt beide Regelwerke aus einer Hand.

Was lokale KI nicht löst

Der AI Act verlangt Risikomanagement, Dokumentation, menschliche Aufsicht. Das muss man tun — egal ob lokal oder Cloud. Lokale Hardware macht die technische Compliance einfacher, aber die organisatorische bleibt Ihre Aufgabe.

Fazit

Der AI Act ist kein Verbot, sondern ein Rahmen. Wer KI auf eigener Hardware betreibt, hat die besseren Karten: Datenhoheit, Modellkontrolle und Auditierbarkeit sind die drei Säulen, auf denen KI-Compliance steht.