Aktuelles zum EU AI Act

Mit dem EU AI Act schafft die Europäische Union erstmals einen umfassenden Rechtsrahmen für Künstliche Intelligenz (KI). Diese Verordnung regelt die sichere und transparente Nutzung von KI in der EU und verlangt von Unternehmen, ihre KI-Systeme entsprechend den Anforderungen anzupassen. In diesem Beitrag erfährst du, was der EU AI Act für dein Unternehmen bedeutet und wie du dich optimal auf die Umsetzung vorbereiten kannst.

Überblick der wichtigsten Punkte

• Risikoklassifizierung: KI-Systeme werden in vier Risikokategorien (unannehmbar, hoch, begrenzt und minimal) eingeteilt, die unterschiedliche Anforderungen nach sich ziehen.

• Dokumentations- und Transparenzpflichten: Ab August 2025 sind Unternehmen verpflichtet, ihre KI-Nutzung umfassend zu dokumentieren und offenzulegen.

• Strenge Strafen: Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden.

• Rollen und Verantwortlichkeiten: Der AI Act unterscheidet zwischen Anbietern, Betreibern und Anwendern, die jeweils spezifische Pflichten haben.

Was ist der EU AI Act?

Der EU AI Act, der am 1. August 2024 in Kraft trat, stellt die erste umfassende KI-Regulierung weltweit dar. Ziel ist es, den Einsatz von KI in der EU zu regulieren, Innovationen zu fördern und gleichzeitig die Grundrechte und Sicherheitsstandards zu gewährleisten. Der Rechtsrahmen legt den Fokus auf eine menschenzentrierte und ethische KI-Nutzung im Einklang mit europäischen Werten wie Datenschutz, Transparenz und Verantwortung.

Die vier Risikokategorien für KI-Systeme

1. Unannehmbares Risiko: Systeme, die gegen Grundrechte verstoßen, sind verboten. Darunter fallen z.B. Social Scoring oder manipulative KI-Techniken.

2. Hohes Risiko: Systeme, die potenziell die Sicherheit oder Grundrechte gefährden können, wie z.B. biometrische Identifikation, medizinische Diagnosesysteme und KI in kritischen Infrastrukturen, unterliegen strengen Anforderungen.

3. Begrenztes Risiko: Transparenzpflichten müssen erfüllt werden, wie z.B. bei Chatbots, die Nutzer darüber informieren, dass sie mit einer KI interagieren.

4. Minimales oder kein Risiko: Systeme ohne spezifische Vorschriften, da ihr Einsatz kaum Risiken birgt.

Diese Klassifizierung ermöglicht es Unternehmen, ihre KI-Systeme gemäß dem jeweiligen Risikoniveau anzupassen und angemessene Schutzmaßnahmen zu ergreifen.

Wer ist betroffen?

Anbieter (Provider) entwickeln oder vermarkten KI-Systeme unter eigenem Namen und tragen die Hauptverantwortung für die Konformität ihrer Systeme.Betreiber (Deployer) nutzen KI-Systeme im eigenen Geschäftsumfeld und müssen sicherstellen, dass sie transparent und sicher eingesetzt werden.
Anwender (User) nutzen KI-Systeme ohne direkte Verantwortung für deren Weiterentwicklung oder Vermarktung und unterliegen daher geringeren Anforderungen.
Beispiel: Ein Unternehmen, das ChatGPT im Kundenservice verwendet, gilt als „Betreiber“ und muss sicherstellen, dass die Nutzung den Vorgaben entspricht.

Zeitplan und Fristen zur Umsetzung des EU AI Act

• 2. Februar 2025: Kapitel I und II treten in Kraft. Diese Kapitel definieren den Geltungsbereich der Verordnung und verbieten Praktiken, die mit EU-Grundrechten unvereinbar sind. Unternehmen sollten sicherstellen, dass keine verbotenen KI-Systeme im Einsatz sind.

• 2. August 2025: Kapitel V wird wirksam, welches Transparenzanforderungen für begrenzte Risiko-KI-Systeme wie Chatbots enthält. Betreiber müssen bis zu diesem Datum Transparenz- und Nutzungsvorgaben erfüllen, um konform zu bleiben.

• 2. August 2026: Alle weiteren Anforderungen des EU AI Act treten in Kraft, einschließlich der umfassenden Regelungen für Hochrisiko-Systeme. Unternehmen, die solche KI-Anwendungen nutzen oder entwickeln, müssen bis dahin Konformität gewährleisten.

• 2. August 2027: Die Anforderungen für besonders komplexe Hochrisiko-Systeme treten in Kraft. Unternehmen sollten langfristige Compliance-Strategien entwickeln, insbesondere wenn sie in kritischen Bereichen KI einsetzen.

Umsetzung im Unternehmen: Schritt-für-Schritt-Leitfaden

1. Bestandsaufnahme der KI-Systeme
   Führe eine detaillierte Analyse aller KI-Systeme durch, die im Unternehmen genutzt werden, und ordne sie den vier Risikokategorien zu. Diese Bestandsaufnahme hilft dabei, den Umfang der notwendigen Anpassungen abzuschätzen.

2. Risikobewertung und Klassifizierung
   Analysiere die potenziellen Risiken jedes KI-Systems und entwickle spezifische Maßnahmen, um die Anforderungen der jeweiligen Risikokategorie zu erfüllen. Für Hochrisiko-Systeme sind beispielsweise umfassende Konformitätsbewertungen erforderlich.

3. Transparenz sicherstellen
   Mach den Einsatz von KI für Nutzer erkennbar. Dies kann durch Hinweise auf der Webseite oder in der Kundenkommunikation geschehen. Ein Beispiel wäre: „Dieses Gespräch wird durch eine KI unterstützt.“

4. Dokumentation und Compliance-Management
   Erstelle eine umfassende Dokumentation aller eingesetzten KI-Systeme, ihrer Funktionsweise und der getroffenen Sicherheitsmaßnahmen. Diese Dokumentation ist ein essenzieller Bestandteil der Konformität und erleichtert spätere Audits.

5. Mitarbeiterschulungen und interne Richtlinien
   Schulen Sie Ihre Mitarbeiter im verantwortungsvollen Umgang mit KI-Systemen. Entwickeln Sie interne Richtlinien, um den Einsatz von KI in Einklang mit den Anforderungen des EU AI Act zu bringen. Hierbei geht es auch darum, sicherzustellen, dass Mitarbeiter keine sensiblen Daten unbeabsichtigt in KI-Systeme einfließen lassen.

6. Regelmäßige Überwachung und Anpassung
   Implementiere ein Monitoring-System zur regelmäßigen Überprüfung und Anpassung der KI-Nutzung. Stelle sicher, dass alle neuen Entwicklungen und Technologien den gesetzlichen Anforderungen entsprechen.

Kennzeichnung von KI-generierten Inhalten

Der EU AI Act verlangt, dass KI-generierte Inhalte wie Bilder oder Texte klar als solche gekennzeichnet werden, insbesondere wenn sie die Öffentlichkeit erreichen. Für Unternehmen bedeutet dies:

• Kennzeichnung von Deepfakes: Inhalte, die durch KI manipuliert wurden, wie Deepfakes, müssen mit einem klaren Hinweis versehen sein.

• Transparenz bei KI-generierten Texten: Wenn Texte von KI generiert oder maßgeblich bearbeitet wurden, ist dies offen zu kommunizieren, um Vertrauen und Transparenz zu gewährleisten.

Diese Kennzeichnungspflichten fördern die Transparenz und stärken das Vertrauen der Nutzer in KI-basierte Inhalte.

Der EU AI Act und ISO 42001: Unterstützung durch internationale Standards

Die ISO 42001, ein globaler Standard für KI-Managementsysteme, bietet Unternehmen eine strukturierte Anleitung, um ethische, transparente und kontrollierte KI-Prozesse aufzubauen. Der Standard unterstützt Unternehmen dabei, die Anforderungen des EU AI Act systematisch umzusetzen und schafft gleichzeitig ein solides Fundament für Innovation und Compliance.

Vorteile der ISO 42001:

• Strukturierter Ansatz für KI-Management: Die Norm hilft Unternehmen, klare Verantwortlichkeiten und Prozesse für den Einsatz von KI zu definieren.

• Förderung ethischer Standards: Durch die Einhaltung der ISO 42001 können Unternehmen ethische Grundsätze und moralische Verpflichtungen nachweisen.

• Vertrauensaufbau bei Stakeholdern: Der Einsatz von ISO-konformen KI-Prozessen zeigt Partnern und Kunden, dass das Unternehmen KI verantwortungsvoll nutzt.

Fazit

Der EU AI Act markiert einen wichtigen Meilenstein für die Regulierung von KI-Systemen in Europa. Unternehmen stehen vor der Herausforderung, ihre KI-Nutzung transparent und verantwortungsvoll zu gestalten, und müssen die neuen Anforderungen fristgerecht umsetzen. Doch neben den Herausforderungen bietet der EU AI Act auch die Chance, sich als vertrauenswürdiger und innovativer Partner zu positionieren. Mit einer sorgfältigen Planung und frühzeitigen Anpassung an die neuen Regelungen können Unternehmen nicht nur Bußgelder vermeiden, sondern auch das Vertrauen ihrer Kunden stärken und langfristig Wettbewerbsvorteile sichern.