KI-Regulierung

Herausforderungen der Implementierung des EU-Gesetzes über Künstliche Intelligenz (AI Act) für Unternehmen: Vorbereitung auf die Compliance

Die Europäische Union hat das Gesetz über Künstliche Intelligenz (AI Act, Verordnung (EU) 2024/1689) als ersten umfassenden Regulierungsrahmen für künstliche […]

Die Europäische Union hat das Gesetz über Künstliche Intelligenz (AI Act, Verordnung (EU) 2024/1689) als ersten umfassenden Regulierungsrahmen für künstliche Intelligenz weltweit verabschiedet. Die Verordnung wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht und trat am 1. August 2024 in Kraft. Diese Regelung führt strenge Anforderungen für alle Wirtschaftsakteure ein, die KI-Systeme auf dem EU-Markt entwickeln, einführen, vertreiben oder nutzen. Unternehmen, die sich nicht rechtzeitig vorbereiten, setzen sich erheblichen finanziellen und reputationsbezogenen Risiken aus. Dieser Text hat informativen Charakter und ersetzt keine individuelle Rechtsberatung.

Grundlagen des EU AI Act: Struktur und Risikologik

Der EU AI Act basiert auf einem risikobasierten Ansatz. Alle KI-Systeme werden in vier Kategorien eingeteilt, entsprechend dem Grad des potenziellen Risikos, das sie für Gesundheit, Sicherheit und Grundrechte der Bürger darstellen.

Inakzeptables Risiko — die strengste Kategorie umfasst Systeme, die vollständig verboten sind. Dazu gehören: KI-Systeme für das Social Scoring durch öffentliche Behörden, manipulative Techniken, die den freien Willen der Nutzer umgehen, sowie bestimmte Anwendungen biometrischer Echtzeit-Identifizierungssysteme an öffentlichen Orten.

Hohes Risiko — dies ist die zentrale Kategorie des AI Act. Systeme, die darunter fallen, müssen eine Reihe technischer und organisatorischer Anforderungen erfüllen, bevor sie in Betrieb genommen werden können. Dabei handelt es sich um KI-Systeme, die in kritischer Infrastruktur, im Bildungswesen, in der Beschäftigung, beim Zugang zu Sozialleistungen, bei der Grenzüberwachung, in der Justiz und in ähnlichen Bereichen mit erheblichen Auswirkungen auf das Leben von Einzelpersonen eingesetzt werden.

Begrenztes Risiko — Systeme wie Chatbots unterliegen Transparenzpflichten: Nutzer müssen darüber informiert werden, dass sie mit einem KI-System kommunizieren.

Minimales Risiko — die Mehrheit der KI-Anwendungen (Videospiele mit KI-Elementen, Spamfilter) fällt in diese Kategorie und unterliegt keinen besonderen regulatorischen Pflichten.

Wer sind die Verpflichteten und welche Rollen tragen sie

Der AI Act definiert mehrere Schlüsselrollen in der Wertschöpfungskette von KI-Systemen:

Anbieter (Provider) ist ein Wirtschaftsakteur, der ein KI-System entwickelt oder ein KI-System unter eigenem Namen oder Warenzeichen auf den Markt bringt. Auf Anbieter von Hochrisikosystemen entfallen die schwersten Pflichten — Einrichtung eines Risikomanagementsystems, technische Dokumentation, Registrierung in der EU-Datenbank sowie Konformität mit Genauigkeits- und Robustheitsstandards.

Nutzer (Betreiber/Deployer) ist jede juristische oder natürliche Person, die ein KI-System in einem beruflichen Kontext verwendet. Die Pflichten der Nutzer sind etwas weniger umfangreich als jene der Anbieter, jedoch nicht unerheblich — insbesondere hinsichtlich der Transparenz gegenüber Endnutzern und der Überwachung des Systembetriebs.

Einführer und Händler tragen Verantwortung dafür, dass die von ihnen in Verkehr gebrachten KI-Systeme die Anforderungen der Verordnung erfüllen.

Unternehmen, die eigene KI-Systeme gleichzeitig entwickeln und einsetzen, übernehmen die kombinierten Pflichten beider Rollen.

Konkrete Pflichten für Hochrisikosysteme

Für KI-Systeme, die als hochriskant eingestuft sind, schreibt der AI Act einen konkreten Anforderungskatalog vor:

Risikomanagementsystem — der Anbieter muss einen kontinuierlichen Prozess zur Identifizierung, Analyse und Minderung von Risiken über den gesamten Lebenszyklus des Systems hinweg einrichten, umsetzen und dokumentieren.

Daten und Datenverwaltung — Datensätze für Training, Validierung und Testing müssen relevant, repräsentativ und frei von unzulässigen Verzerrungseffekten (Bias) sein. Eine Dokumentation zur Datenprovenienz ist erforderlich.

Technische Dokumentation — sie muss vor der Inbetriebnahme des Systems erstellt und regelmäßig aktualisiert werden. Sie umfasst die Beschreibung des Verwendungszwecks, technische Merkmale, Leistungsdaten, Einschränkungen und Risikominderungsmaßnahmen.

Protokollierung (Logging) — Hochrisiko-KI-Systeme müssen in der Lage sein, Ereignisse während des Betriebs automatisch aufzuzeichnen, damit im Falle eines Vorfalls der Ablauf der Aktionen rekonstruiert werden kann.

Transparenz gegenüber Nutzern — es muss eine klare, verständliche Gebrauchsanweisung bereitgestellt werden, die den Nutzern eine informierte Anwendung des Systems ermöglicht.

Menschliche Aufsicht — das System muss so konzipiert sein, dass eine natürliche Person es wirksam überwachen, eingreifen und bei Bedarf abschalten kann.

Genauigkeit, Robustheit und Cybersicherheit — das System muss ein angemessenes Leistungsniveau erreichen und gegenüber Fehlern und Missbrauchsversuchen widerstandsfähig sein.

Fristen und phasenweise Anwendung

Der AI Act ist am 1. August 2024 in Kraft getreten, seine Bestimmungen werden jedoch schrittweise angewendet. Die Bestimmungen zu verbotenen Praktiken gelten ab dem 2. Februar 2025, und die Pflichten für Allzweck-KI-Modelle (General Purpose AI — GPAI) ab dem 2. August 2025. Die Anforderungen für Hochrisikosysteme sehen eine längere Übergangsfrist vor — den verfügbaren Informationen zufolge waren die Anwendungsfristen dieser Bestimmungen Gegenstand nachträglicher Änderungen und Verschiebungen auf EU-Ebene, sodass Unternehmen den aktuellen Verordnungstext sowie die einschlägigen Leitlinien der zuständigen Behörden konsultieren sollten, um die für sie geltenden genauen Fristen zum Zeitpunkt der Veröffentlichung dieses Textes und danach zu überprüfen.

Sanktionen und Aufsicht

Der AI Act sieht hohe Bußgelder für Zuwiderhandelnde vor. Für die schwersten Verstöße, etwa die Verwendung verbotener KI-Systeme, sind Geldbußen von bis zu 35 Millionen Euro oder bis zu 7 % des gesamten weltweiten Jahresumsatzes vorgesehen — je nachdem, welcher Betrag höher ist. Für Verstöße gegen Pflichten im Zusammenhang mit Hochrisikosystemen gelten Bußgelder von bis zu 15 Millionen Euro oder bis zu 3 % des Umsatzes. Für die Übermittlung unrichtiger oder irreführender Informationen an Aufsichtsbehörden sind Bußgelder von bis zu 7,5 Millionen Euro oder bis zu 1 % des Umsatzes vorgesehen.

Nationale Aufsichtsbehörden in jedem EU-Mitgliedstaat werden für die Durchsetzung der Vorschriften zuständig sein, und das Europäische KI-Büro (AI Office) übernimmt eine koordinierende Rolle auf EU-Ebene.

Compliance-Strategie: Wo anfangen

Unternehmen, die proaktiv an die Compliance herangehen möchten, sollten folgende Schritte unternehmen:

Erstens, Mapping der KI-Systeme — vollständige Inventarisierung aller KI-Tools und -Systeme, die das Unternehmen entwickelt oder verwendet, mit Identifizierung ihres Verwendungszwecks und Anwendungskontexts.

Zweitens, Risikobewertung — für jedes identifizierte System ist festzustellen, in welche Risikokategorie es gemäß dem AI Act fällt.

Drittens, Gap-Analyse — für Hochrisikosysteme ist zu beurteilen, inwieweit die aktuellen Praktiken den Anforderungen entsprechen, und Nichtkonformitäten sind zu identifizieren.

Viertens, Erstellung eines Aktionsplans — Prioritäten, Ressourcen und Fristen für die Umsetzung der erforderlichen Anpassungen sind festzulegen.

Fünftens, Benennung einer AI-Compliance-Funktion — unabhängig von der Unternehmensgröße ist eine Person oder ein Team erforderlich, die für die Überwachung und Umsetzung der Compliance zuständig ist.

Häufig gestellte Fragen (Q&A)

Gilt der EU AI Act auch für Unternehmen außerhalb der EU, die KI-Dienste für europäische Nutzer erbringen? Ja. Ähnlich wie die DSGVO (Datenschutz-Grundverordnung, Verordnung (EU) 2016/679) hat der AI Act eine extraterritoriale Reichweite. Er gilt für alle Anbieter von KI-Systemen, deren Ergebnisse Auswirkungen in der EU haben, unabhängig vom Sitz des Unternehmens.

Was ist GPAI und warum ist es relevant? Allzweck-KI-Modelle (General Purpose AI — GPAI) sind Modelle wie große Sprachmodelle, die in einer Vielzahl verschiedener Kontexte angewendet werden können. Der AI Act führt besondere Pflichten für Anbieter von GPAI-Modellen ein, die in andere Systeme integriert werden, einschließlich Transparenzpflichten und, für die leistungsstärksten Modelle, einer systematischen Risikobewertung.

Muss jedes Unternehmen, das KI-Tools (z. B. ChatGPT für die interne Kommunikation) verwendet, compliant sein? Die Nutzung allgemein verfügbarer KI-Tools für interne Zwecke mit minimalem Risiko zieht im Allgemeinen keine besonderen Pflichten nach sich. Wenn ein Unternehmen KI jedoch in eigene Prozesse oder Produkte integriert, die Dritte betreffen — insbesondere in als hochriskant eingestuften Bereichen — entstehen Pflichten.

Was bedeutet die CE-Kennzeichnung für KI-Systeme? Für Hochrisiko-KI-Systeme sieht der AI Act die CE-Kennzeichnung als Bestätigung vor, dass die einschlägigen Anforderungen der Verordnung erfüllt sind, nach einer vorherigen Konformitätsbewertung, die in bestimmten Fällen die Einbeziehung einer notifizierten Stelle erfordert.

Schlussfolgerung

Der EU AI Act verändert grundlegend die Art und Weise, wie Unternehmen die Entwicklung und den Einsatz künstlicher Intelligenz angehen müssen. Die Verordnung ist nicht nur eine bürokratische Anforderung — sie legt die Grundlage für das Vertrauen in KI-Systeme und die langfristige Tragfähigkeit der digitalen Wirtschaft. Unternehmen, die den Compliance-Prozess sofort einleiten, werden besser aufgestellt sein als jene, die dies auf den letzten Moment verschieben. Ein proaktiver Ansatz reduziert nicht nur regulatorische Risiken, sondern schafft auch einen Wettbewerbsvorteil.

Wenn Sie beurteilen möchten, inwieweit Ihre KI-Aktivitäten mit dem EU AI Act konform sind und welche konkreten Schritte zu unternehmen sind, vereinbaren Sie eine Beratung mit unserem auf die Regulierung künstlicher Intelligenz spezialisierten Team.

Quellen: – https://eur-lex.europa.eu/eli/reg/2024/1689/oj – https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai – https://www.europarl.europa.eu/news/en/press-room/20240308IPR19015/artificial-intelligence-act-meps-adopt-landmark-law – https://www.consilium.europa.eu/sr/policies/eu-artificial-intelligence-act/

Die Inhalte dieser Website dienen ausschließlich Informationszwecken und stellen keine Rechtsberatung dar. Für konkrete rechtliche Beratung wenden Sie sich bitte direkt an einen Rechtsanwalt. Die Kanzlei handelt im Einklang mit dem Gesetz über die Rechtsanwaltschaft und dem Kodex der Berufsethik der Rechtsanwälte.

Scroll to Top