Der EU AI Act: Was Unternehmen jetzt wissen müssen, um wettbewerbsfähig zu bleiben

Die Künstliche Intelligenz (KI) verändert unsere Welt rasant und bietet Unternehmen enorme Chancen. Doch sie birgt auch Risiken. Um diese zu minimieren, hat die Europäische Union den EU AI Act verabschiedet – das weltweit erste umfassende Gesetz zur Regulierung von KI, ein risikobasierter Ansatz, der Grundrechte, Sicherheit und Transparenz schützt.

In diesem Artikel erfahren Sie:

  • Was der EU AI Act bedeutet
  • Wie die Risikoklassifizierung aussieht
  • Welche Anforderungen auf Unternehmen zukommen
  • Wie Sie sich jetzt vorbereiten können

Was ist der EU AI Act?

Der EU AI Act ist ein bahnbrechendes Gesetz, das den Einsatz von KI in der EU regelt. Ziel ist es, Innovation und Sicherheit in Einklang zu bringen, indem KI-Systeme nach ihrem Risikopotenzial eingestuft werden. Das Gesetz soll klare Regeln schaffen, Vertrauen fördern und Rechtssicherheit gewährleisten.

Die Hauptziele des Gesetzes:

  1. Schutz der Grundrechte: Datenschutz, Diskriminierungsschutz und Sicherheit der Bürger.
  2. Förderung von Innovation: Rechtssicherheit für Unternehmen, um Innovationen voranzutreiben.
  3. Stärkung des KI-Markts: Europa wettbewerbsfähig im globalen KI-Rennen machen.
  4. Vertrauen der Bürger in KI stärken

Die vier Risikokategorien im Überblick


Unannehmbares Risiko (Verboten)

KI-Systeme, die die Sicherheit und Grundrechte gefährden, sind verboten.

Beispiele:

  • Social Scoring: Bewertung von Personen basierend auf Verhalten (z. B. Zugang zu Krediten).
  • Massenüberwachung: Biometrische Fernidentifizierung in Echtzeit (außer in engen Ausnahmen).
  • Manipulation: Subliminale Beeinflussung oder Desinformation.

Hohes Risiko

Erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte. Strenge Anforderungen an Transparenz, Risikomanagement, menschliche Aufsicht und technische Dokumentation. Konformitätsbewertung vor Markteinführung notwendig. Erfordern strenge Kontrollen.

Beispiele:

  • Medizin: KI für Diagnosen oder robotergestützte Chirurgie.
  • Verkehr: Autonome Fahrzeuge und Überwachungssysteme.
  • Personalwesen: Systeme für Bewerberauswahl oder Leistungsbewertungen.
  • Bildung: Automatische Bewertung von Prüfungen.

Anforderungen:

  • Transparenz: Nutzer und Betroffene müssen klar informiert werden, dass sie mit einer KI interagieren und welche Entscheidungen sie betrifft.
  • Risikomanagement: Unternehmen müssen kontinuierlich potenzielle Risiken ihrer KI-Systeme bewerten, überwachen und minimieren.
  • Technische Dokumentation: Eine vollständige, klare Dokumentation der Funktionsweise, Datenquellen und Algorithmen muss vorliegen.
  • Konformitätsbewertung: Vor der Markteinführung müssen Systeme eine Prüfung auf Einhaltung aller gesetzlichen Anforderungen durchlaufen.

3. Begrenztes Risiko

KI-Systeme mit geringem Risiko der Manipulation oder Irreführung. Bei diesen Systemen ist eine Transparenz für Nutzer wichtig. Die Systeme interagieren oft mit Menschen oder können deren Entscheidungen beeinflussen, aber im Vergleich zu „Hochrisiko“-Systemen haben sie ein geringeres Schadenspotenzial.

Beispiele:

  • Chatbots: Hinweis erforderlich, dass Nutzer mit einer KI interagieren.
  • Deepfakes: Müssen als künstlich erzeugt gekennzeichnet werden.

Anforderungen: Transparenz

  • Entwickler und Anbieter müssen sicherstellen, dass Nutzer klar erkennen können, dass sie mit einem KI-System interagieren. Dies kann beispielsweise durch eine Kennzeichnung des Chatbots oder eine deutliche Information zu Beginn der Interaktion erfolgen.
  • Nutzer sollten in angemessener Weise über die Funktionsweise des KI-Systems informiert werden, z.B. welche Daten das System verarbeitet und wie es zu seinen Ergebnissen kommt.
  • Bei der Verwendung von Deepfakes oder ähnlichen Technologien, die realistische, aber künstliche Inhalte erzeugen, ist eine klare Kennzeichnung erforderlich.

4. Minimales Risiko

KI-Systeme, die nahezu kein Risiko darstellen, unterliegen keinen besonderen Anforderungen.

Beispiele:

  • Spamfilter
  • Empfehlungssysteme (z. B. Musik, Filme)

Auch wenn der EU AI Act keine expliziten Anforderungen für Systeme mit minimalem Risiko festlegt, bedeutet das nicht, dass diese Systeme völlig unreguliert sind. Auch für KI-Systeme mit minimalem Risiko gelten grundlegende Prinzipien und Gesetze, die Unternehmen beachten müssen:

  • Allgemeine Produktsicherheitsrichtlinien: KI-Systeme, die als Produkte auf den Markt gebracht werden, müssen den allgemeinen Produktsicherheitsrichtlinien entsprechen. Das bedeutet, dass sie sicher sein müssen und keine Gefahr für Nutzer oder andere Güter darstellen dürfen.
  • Datenschutzgrundverordnung (DSGVO): Wenn personenbezogene Daten verarbeitet werden, gelten die Bestimmungen der DSGVO. Unternehmen müssen sicherstellen, dass die Datenverarbeitung rechtmäßig, transparent und zweckgebunden erfolgt. Nutzer haben Rechte auf Auskunft, Berichtigung und Löschung ihrer Daten.
  • Diskriminierungsverbot: KI-Systeme dürfen nicht diskriminierend sein, d.h. sie dürfen Menschen nicht aufgrund von Merkmalen wie Geschlecht, ethnischer Zugehörigkeit oder Religion benachteiligen.
  • Wettbewerbsrecht: KI-Systeme dürfen nicht dazu missbraucht werden, den Wettbewerb zu verzerren oder unlautere Vorteile zu erlangen.
  • Urheberrecht: Bei der Entwicklung und Nutzung von KI-Systemen müssen Urheberrechte beachtet werden.

Auswirkungen des EU AI Act auf AI-Tools wie ChatGPT und Copilot

AI-Tools wie ChatGPT oder Copilot fallen unter den EU AI Act, wenn sie als „KI-Systemen mit horizontalem Anwendungsbereich“ (General Purpose AI) eingestuft werden, da sie vielseitig einsetzbar sind und in verschiedenen Kontexten genutzt werden können. Die Einstufung der Risikostufe hängt vom konkreten Anwendungsfall ab. Der Act sieht vor, dass Anbieter solcher Tools besondere Verantwortung übernehmen müssen, da ihre Systeme potenziell in Hochrisiko-Anwendungen integriert werden könnten. Dies betrifft unter anderem die Transparenzpflichten, die Erklärbarkeit der Modelle und die Einhaltung von Datenschutzanforderungen.

Unternehmen, die diese Tools nutzen, müssen prüfen, ob die Nutzung der Tools in ihrem spezifischen Anwendungsfall den Anforderungen des EU AI Act entspricht (z.B. Risikobewertung, technische Dokumentation, menschliche Aufsicht). Nutzerunternehmen von ChatGPT oder Copilot sollten sich vorbereiten, indem sie klare Prozesse für den Einsatz solcher Tools etablieren und ihre Compliance-Strategie entsprechend anpassen.

Überwachung und Strafen

Die Einhaltung wird auf EU- und nationaler Ebene überwacht:

Europäische Ebene:

  • Europäische Kommission: Die Europäische Kommission wird eine zentrale Rolle bei der Koordinierung der nationalen Aufsichtsbehörden spielen und sicherstellen, dass der EU AI Act einheitlich in allen Mitgliedstaaten angewendet wird.
  • Europäischer Ausschuss für künstliche Intelligenz: Es wird ein neuer Europäischer Ausschuss für künstliche Intelligenz eingerichtet, der als Plattform für die Zusammenarbeit der nationalen Aufsichtsbehörden dienen und die Kommission beraten wird.

Nationale Ebene:

  • Nationale Aufsichtsbehörden: Jeder EU-Mitgliedstaat wird eine oder mehrere nationale Aufsichtsbehörden benennen, die für die Überwachung der Anwendung und Umsetzung des EU AI Act zuständig sind. Diese Behörden werden befugt sein, Untersuchungen durchzuführen, Bußgelder zu verhängen und gegebenenfalls die Marktzulassung von KI-Systemen zu entziehen.
  • Marktüberwachung: Die nationalen Aufsichtsbehörden werden auch für die Marktüberwachung zuständig sein, d.h. sie werden prüfen, ob die auf dem Markt befindlichen KI-Systeme den Anforderungen des EU AI Act entsprechen.


Strafen bei Verstößen:

  • Verstöße gegen Verbote: Bis zu 35 Mio. € oder 7 % des globalen Umsatzes.
  • Hochrisiko-Verstöße: Bis zu 15 Mio. € oder 3 %.
  • Falschangaben: Bis zu 7,5 Mio. € oder 1 %.

Wie sollten Unternehmen reagieren?

Jetzt handeln, bevor es zu spät ist. Unternehmen sollten die Übergangsfristen nutzen, um rechtzeitig compliant zu werden.

Checkliste: Vorbereitung auf den EU AI Act

Phase 1: Bestandsaufnahme und Risikobewertung (Jetzt)

  • KI-Inventur: Erfassen Sie alle im Unternehmen eingesetzten und entwickelten KI-Systeme. Dokumentieren Sie deren Zweck, Funktion und Anwendungsbereich.
  • Risikokategorisierung: Ordnen Sie jedes KI-System den vier Risikokategorien des EU AI Act zu (inakzeptables Risiko, hohes Risiko, begrenztes Risiko, minimales Risiko). Nutzen Sie dazu die im Gesetz definierten Kriterien und Beispiele (siehe detaillierte Erläuterung im vorherigen Artikel).
  • Identifizierung potenzieller Risiken: Führen Sie für jedes KI-System eine detaillierte Risikobewertung durch. Berücksichtigen Sie dabei mögliche Auswirkungen auf Grundrechte, Sicherheit, Gesundheit und andere relevante Aspekte.
  • Prüfung auf verbotene KI-Systeme: Stellen Sie sicher, dass keine der eingesetzten oder geplanten KI-Systeme unter die Kategorie des „inakzeptablen Risikos“ fällt und somit verboten ist.

Phase 2: Maßnahmenplanung und Umsetzung (Innerhalb der Übergangsfrist)

  • Compliance-Strategie entwickeln: Entwickeln Sie eine unternehmensweite Strategie zur Einhaltung des EU AI Act. Definieren Sie Verantwortlichkeiten, Prozesse und Ressourcen.
  • Qualitätsmanagementsystem (QMS) implementieren (für Hochrisiko-KI): Implementieren Sie ein QMS, das die Anforderungen des EU AI Act an Hochrisiko-KI-Systeme erfüllt. Dies umfasst u.a. Risikomanagement, Datenqualität, technische Dokumentation, Konformitätsbewertung und menschliche Aufsicht (Human Oversight).
  • Datenschutz sicherstellen: Stellen Sie sicher, dass die Verarbeitung personenbezogener Daten im Zusammenhang mit KI-Systemen den Anforderungen der DSGVO entspricht.
  • Transparenz gewährleisten (für Systeme mit begrenztem Risiko): Implementieren Sie Maßnahmen zur Transparenz, z.B. Kennzeichnungspflichten für Chatbots und Deepfakes.
  • Verantwortlichkeiten festlegen: Benennen Sie einen oder mehrere Verantwortliche für die Einhaltung des EU AI Act im Unternehmen (z.B. einen AI Compliance Officer).
  • Mitarbeiterschulungen durchführen: Schulen Sie Ihre Mitarbeiter im Umgang mit KI und den Anforderungen des EU AI Act.
  • Technische und organisatorische Maßnahmen: Implementieren Sie notwendige technische und organisatorische Maßnahmen zur Einhaltung der Anforderungen des EU AI Act (z.B. Technische Dokumentation, Transparenz, und Risikomanagement, Zugriffskontrollen, Audit-Trails).
  • Lieferketten prüfen: Wenn Ihre KI-Systeme in Lieferketten oder Produkte eingebunden sind, prüfen Sie, welche Verpflichtungen sich daraus ergeben. Klären Sie Verantwortlichkeiten mit Ihren Lieferanten und Partnern. (Ob eine Einbindung in Lieferketten automatisch zu einer Hochrisiko-Einstufung führt, hängt vom konkreten Anwendungsfall und der potenziellen Auswirkung auf die Sicherheit und Grundrechte ab. Eine genaue Prüfung ist daher unerlässlich.)
  • Prüfung auf „General Purpose“-Modelle: Falls Sie „General Purpose“-Modelle entwickeln, beachten Sie die besonderen Anforderungen, die der EU AI Act an diese Modelle stellt.

Phase 3: Kontinuierliche Überwachung und Anpassung (Nach Inkrafttreten)

  • Monitoring und Audits: Führen Sie regelmäßige Kontrollen und Audits durch, um die Einhaltung des EU AI Act sicherzustellen.
  • Anpassung an neue Entwicklungen: Behalten Sie die Weiterentwicklung des EU AI Act und der dazugehörigen Standards im Blick und passen Sie Ihre Compliance-Strategie bei Bedarf an.

Zeitplan des EU AI Act

  • 13. März 2024: Der EU AI Act wurde vom Europäischen Parlament angenommen.
  • 12. Juli 2024: Das AI-Gesetz wird im Amtsblatt der Europäischen Union veröffentlicht. Dies dient der förmlichen Notifizierung des neuen Gesetzes.
  • 01. August 2024: Datum des Inkrafttretens des AI-Gesetzes. Zum jetzigen Zeitpunkt gelten keine der Anforderungen des Gesetzes – sie werden im Laufe der Zeit allmählich zur Anwendung kommen.
  • Übergangsfrist: Nach Veröffentlichung im EU-Amtsblatt haben Unternehmen voraussichtlich zwei Jahre Zeit, um die neuen Anforderungen umzusetzen.
  • 02. Februar 2024: Das Verbot bestimmter KI-Systeme und die Anforderungen an die KI-Kompetenz beginnen zu gelten(Kapitel 1 und Kapitel 2).

Hilfreiche Links und Ressourcen

Offizielle Seite der Europäischen Kommission zum EU AI Act

Informationen zu Konformitätsbewertung und CE-Kennzeichnung

Übersicht über KI-Regulierung in der EU (Artikel der OECD)

Fazit

Der EU AI Act wird den Umgang mit KI grundlegend verändern. Unternehmen, die frühzeitig handeln, profitieren von klaren Prozessen, reduzierten Risiken und dem Vertrauen ihrer Kunden.

Nutzen Sie die Übergangszeit, um Ihre Systeme zu prüfen und compliant zu werden. Die Zukunft gehört denen, die vorbereitet sind.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen