Der sog. Arti­fi­ci­al Intel­li­gence Act (AI-Act, KI-Gesetz) wur­de am 13. März 2024 vom Euro­päi­schen Par­la­ment beschlos­sen und am 21. Mai 2024 von den Mit­glieds­staa­ten der EU ver­ab­schie­det. Die­ses Gesetz defi­niert erst­mals ein­heit­li­che Stan­dards zur Regu­lie­rung des Ein­sat­zes von KI-Systemen in der EU. Der fol­gen­de Bei­trag gibt einen kur­zen Über­blick dar­über, wie das neue Gesetz die Risi­ken von KI-Systemen mini­mie­ren will und lie­fert ers­te Hand­lungs­emp­feh­lun­gen für betrof­fe­ne Unternehmen.

KI ist in aller Mun­de und wenn nicht bereits gesche­hen, wird sich frü­her oder spä­ter jedes Unter­neh­men über­le­gen, bestimm­te Auf­ga­ben von KI-Systeme erle­di­gen zu las­sen, um wett­be­werbs­fä­hig zu blei­ben. Doch neben Effi­zi­enz­stei­ge­run­gen, Qua­li­täts­ver­bes­se­run­gen oder einer bes­se­ren Ent­schei­dungs­fin­dung gehen mit dem Ein­satz von KI auch eini­ge Gefah­ren ein­her. Die­se umfas­sen bspw. Dis­kri­mi­nie­rung bestimm­ter Bevöl­ke­rungs­grup­pen, die Ein­schrän­kung der Pri­vat­sphä­re oder die Ver­brei­tung von Des­in­for­ma­ti­on. Den Bedro­hun­gen, die von KI-Systemen aus­ge­hen, war sich auch die Euro­päi­sche Uni­on bewusst.

Die Rege­lun­gen des AI-Acts zie­len ins­be­son­de­re dar­auf ab, die­sen Risi­ken zu begeg­nen und sie zu mini­mie­ren. Dabei wer­den neben Anbie­tern, Ent­wick­lern und Betrei­bern inner­halb der EU auch Anbie­ter von KI aus Dritt­län­dern, die ihre Sys­te­me in der EU betrei­ben oder ein­füh­ren wol­len, adres­siert. Da sich sicher kein Unter­neh­men ger­ne mit Auf­sichts­be­hör­den rum­schlägt oder Buß­gel­der und einen Image­scha­den auf­grund der Nicht­ein­hal­tung von recht­li­chen Vor­schrif­ten ris­kiert, wol­len wir uns im Fol­gen­den anse­hen, was auf Unter­neh­men im euro­päi­schen Markt zukom­men wird.

Bei Miss­ach­tung der KI-Verordnung sind Sank­tio­nen vor­ge­se­hen, die je nach Schwe­re des Ver­sto­ßes und Grö­ße des Unter­neh­mens unter­schied­lich hoch aus­fal­len kön­nen. – Marei­ke Jockers

Im ers­ten Schritt scheint es daher sinn­voll, sich mit den ver­schie­de­nen Risi­ko­grup­pen der KI-Verordnung ver­traut zu machen.

Der Risi­ko­ba­sier­te Ansatz

Das KI-Gesetz folgt einem risi­ko­ba­sier­ten Ansatz. Es wer­den vier ver­schie­de­ne Risi­ko­grup­pen defi­niert, in wel­che die KI-Systeme ein­zu­ord­nen sind. Je höher das Risi­ko, des­to stren­ger sind die Auf­la­gen, die für den Ein­satz die­ser KI zu erfül­len sind.

Inak­zep­ta­bles Risiko

KI-Modelle, die in die­se Grup­pe fal­len, stel­len eine Bedro­hung für die Sicher­heit, die Lebens­grund­la­gen und die Rech­te von Men­schen dar. Dar­un­ter fal­len z.B. Anwen­dun­gen, die mensch­li­ches Ver­hal­ten mani­pu­lie­ren kön­nen oder das Social Scoring (sozia­le Bewer­tungs­sys­te­me). Die Ein­füh­rung, Ent­wick­lung oder der sons­ti­ge Ein­satz die­ser Anwen­dun­gen in der EU, wird strikt verboten.

Hohes Risi­ko

Hier­un­ter fal­len Anwen­dun­gen, die in sen­si­blen Berei­chen wie der kri­ti­schen Infra­struk­tur, der Medi­zin oder der Straf­ver­fol­gung ein­ge­setzt wer­den. Um die­se KI-Systeme nut­zen zu kön­nen, müs­sen stren­ge tech­ni­sche und orga­ni­sa­to­ri­sche Pflich­ten erfüllt wer­den. Dar­un­ter fal­len unter ande­rem die Ein­rich­tung, Anwen­dung, Doku­men­ta­ti­on und Auf­recht­erhal­tung eines Risi­ko­ma­nage­ment­sys­tems, die Bereit­stel­lung trans­pa­ren­ter Infor­ma­tio­nen für den Nut­zer und die Anwen­dung nur unter mensch­li­cher Aufsicht.

Begrenz­tes Risiko

Ein begrenz­tes Risi­ko wei­sen KI-Systeme auf, die mit Men­schen inter­agie­ren, wie bspw. Chats­bots. Das Risi­ko liegt hier in der man­geln­den Trans­pa­renz, dass es sich um eine KI han­delt. Das KI-Gesetz sieht die Ein­füh­rung von Trans­pa­renz­pflich­ten für Anbie­ter sol­cher KI-Systeme vor, um dem Nut­zer auf­zu­zei­gen, dass er mit einem KI-System interagiert.

Mini­ma­les Risiko

KI-Anwendungen mit mini­ma­lem Risi­ko fal­len nicht in den Anwen­dungs­be­reich des AI-Acts. Die Nut­zung ist ohne beson­de­re Auf­la­gen mög­lich. In die­se Risi­ko­grup­pe fal­len bspw. Spam­fil­ter oder Videospiele.

Gene­ral Pur­po­se AI

Unter Gene­ral Pur­po­se AI (GPAI) fal­len KI-Modelle mit all­ge­mei­nem Ver­wen­dungs­zweck. Die­se Sys­te­me gene­rie­ren bspw. Tex­te oder Bil­der und kön­nen für ganz unter­schied­li­che Zwe­cke ein­ge­setzt wer­den. Ein bekann­tes Bei­spiel ist GPT‑4 von OpenAI.

GPAI fällt grund­sätz­lich in die Grup­pe mit begrenz­tem Risi­ko und unter­liegt somit Trans­pa­renz­pflich­ten. Wenn die Model­le über Fähig­kei­ten mit hohem Wir­kungs­grad ver­fü­gen, wer­den die KI-Modelle einem sys­te­ma­ti­schen Risi­ko zuge­ord­net. In die­sem Fall, müs­sen die KI-Modelle wei­ter­ge­hen­de Pflich­ten erfül­len. Dazu zählt die Erstel­lung einer tech­ni­schen Doku­men­ta­ti­on und einer Stra­te­gie zur Ein­hal­tung des Urhe­ber­rechts der Uni­on und damit zusam­men­hän­gen­der Rechte.

Sank­tio­nen

Da wir nun den risi­ko­ba­sier­ten Ansatz des AI-Acts ken­nen, soll­ten wir uns im nächs­ten Schritt anschau­en, was pas­siert, wenn die gesetz­li­chen Auf­la­gen nicht ganz so ernst genom­men werden.

Bei Miss­ach­tung der KI-Verordnung sind Sank­tio­nen vor­ge­se­hen, die je nach Schwe­re des Ver­sto­ßes und Grö­ße des Unter­neh­mens unter­schied­lich hoch aus­fal­len können.

Wer­den bspw. KI-Modelle mit inak­zep­ta­blen Risi­ko ein­ge­setzt, kön­nen Geld­bu­ßen von bis zu 35. Mio. € oder von bis zu 7% des gesam­ten welt­wei­ten Jah­res­um­sat­zes fest­ge­legt wer­den. Bei Ver­stoß durch KMU oder Start-Ups sind gerin­ge­re Stra­fen anzu­set­zen, die deren Inter­es­sen und wirt­schaft­li­ches Über­le­ben berücksichtigen.

KI-Aufsichtsbehörden

Um die Sank­tio­nen durch­set­zen zu kön­nen, braucht es natür­lich auch Ein­rich­tun­gen, wel­che die Umset­zung und Ein­hal­tung des AI-Acts über­wa­chen. Zu die­sem Zweck wer­den natio­na­le KI-Aufsichtsbehörden in jedem Mit­glieds­staat ein­ge­rich­tet. Dadurch erhal­ten auch Ver­brau­cher die Mög­lich­keit, Beschwer­de ein­zu­le­gen, wenn Unter­neh­men KI in unzu­läs­si­ger Wei­se einsetzen.

Auch auf EU-Ebene wer­den Behör­den ein­ge­rich­tet, die den regel­kon­for­men Ein­satz von KI-Systemen kotrollieren.

Ab wann gilt der AI-Act?

Nach­dem wir jetzt auch wis­sen, was pas­siert, wenn sich nicht an Recht und Ord­nung gehal­ten wird, stellt sich natür­lich die Fra­ge, ab wann die Rege­lun­gen eigent­lich gelten.

Die Ver­ord­nung wird vor­aus­sicht­lich im Som­mer 2026 in den Mit­glieds­staa­ten anwend­bar sein. Eini­ge Vor­schrif­ten gel­ten auch vor­her schon: Die Rege­lun­gen zum Ver­bot von KI mit inak­zep­ta­blen Risi­ko grei­fen bereits Ende 2024/Anfang 2025 und Vor­schif­ten zur GPAI sind ab Som­mer 2025 anwendbar.

Hand­lungs­emp­feh­lun­gen für Unternehmen

Jetzt bleibt nur noch die Fra­ge offen, was für betrof­fe­ne Unter­neh­men jetzt zu tun ist.

Wenn nicht bereits gesche­hen, soll­ten Unter­neh­men die Zeit bis zum Inkraft­tre­ten der Ver­ord­nung nut­zen, um sich mit den Rege­lun­gen des AI-Acts aus­ein­an­der­zu­set­zen und ggf. anfan­gen, die regu­la­to­ri­schen Anfor­de­run­gen umzu­set­zen. Es gilt zu prü­fen, inwie­fern sie von den Neue­run­gen betrof­fen sind, wel­che Ver­pflich­tun­gen auf sie zukom­men und wie die­se erfüllt wer­den kön­nen. Dafür ist es emp­feh­lens­wert, eine Bestands­auf­nah­me der vor­han­de­nen KI durch­zu­füh­ren und eine eige­ne Risi­ko­ein­ord­nung vor­zu­neh­men. Bereits jetzt kann mit der Ent­wick­lung eines Risi­ko­ma­nage­ment­sys­tems begon­nen und sich auf die Dokumentations- und Trans­pa­renz­pflich­ten vor­be­rei­tet wer­den. Sinn­voll erscheint es in die­sem Zusam­men­hang auch, einen KI-Beauftragten inner­halb des Unter­neh­mens zu benen­nen, der die Ein­hal­tung der KI-Verordnung sicherstellt.

Fazit

Da die Ent­wick­lung und der Ein­satz von KI in Unter­neh­men gera­de erst am Anfang steht sind ein­heit­li­che Rege­lun­gen für einen siche­ren Umgang unver­zicht­bar, um mög­li­che Gefah­ren zu mini­mie­ren. Mit der Ein­füh­rung der KI-Verordnung ist ein ers­ter wich­ti­ger Schritt getan. Wie die kon­kre­te Umset­zung schluss­end­lich aus­se­hen wird und wie effek­tiv die Rege­lun­gen sind, um von KI-Systemen aus­ge­hen­de Bedro­hun­gen abzu­wen­den, wird sich zei­gen. Fest steht, dass Unter­neh­men sich bereits jetzt mit den neu­en Anfor­de­run­gen aus­ein­an­der­set­zen und ent­spre­chen­de Maß­nah­men tref­fen soll­ten, um nicht unter Zeit­druck zu gera­ten und hohe Stra­fen zu riskieren.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Mareike Jockers

Praktikantin im Datenschutz