KI-Regulierung

Leitfaden zur Unternehmenskonformität mit KI-Vorschriften: Praktischer Leitfaden zur Implementierung des AI Acts

Das EU-Gesetz über künstliche Intelligenz (EU AI Act, Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten; seine […]

Das EU-Gesetz über künstliche Intelligenz (EU AI Act, Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten; seine Bestimmungen werden schrittweise angewendet — die meisten Regeln für Hochrisikosysteme gelten ab dem 2. August 2026, mit verlängerten Übergangsfristen für bestimmte Systemkategorien. Dies stellt Unternehmen vor konkrete, messbare Anforderungen, die erfüllt werden müssen — und die Zeit zur Vorbereitung vergeht schnell. Die Konformität mit dem AI Act ist keine einmalige Aktivität, sondern ein kontinuierliches Managementprogramm, das in der Organisationsstruktur des Unternehmens verankert sein muss. Dieser Leitfaden bietet einen praktischen Fahrplan für Unternehmen, die diese Herausforderung systematisch angehen möchten. Dieser Text hat informativen Charakter und ersetzt keine individuelle Rechtsberatung.

Schritt 1: Inventarisierung der KI-Systeme — Wissen, was man hat

Jedes Compliance-Programm beginnt mit einer vollständigen Inventarisierung der KI-Systeme, die das Unternehmen entwickelt, beschafft oder nutzt. Überraschend viele Organisationen verfügen nicht über diesen Überblick — KI-Systeme werden auf Ebene der Geschäftseinheiten beschafft und implementiert, ohne zentrale Erfassung.

Was die Inventarisierung umfassen sollte:

Für jedes KI-System oder KI-gestütztes Tool sind zu dokumentieren: Name und Version, Lieferant oder internes Entwicklungsteam, Geschäftszweck und Anwendungskontext, Kategorien von Nutzern, die dem System ausgesetzt sind (Mitarbeiter, Klienten, Geschäftspartner, breite Öffentlichkeit), Arten der verarbeiteten Daten, geografische Herkunft und Standort des Systems sowie das Datum der Einführung.

Wo KI-Systeme zu suchen sind: Neben offensichtlichen KI-Anwendungen (Chatbots, Empfehlungssysteme) dürfen Unternehmen nicht vergessen: KI-Komponenten in HR-Tools (Kandidatenauswahl, Leistungsbewertung), KI in CRM-Systemen (Kundenbewertung, Predictive Analytics), KI in Finanzsystemen (Betrugserkennung, Kreditbewertung), KI in Sicherheitssystemen (Videoüberwachung, Zugangskontrolle) und KI in Analyseplattformen.

Schritt 2: Risikoklassifizierung für jedes System

Mit der Inventarisierung in der Hand muss jedes System gemäß der Risikomatrix des AI Acts klassifiziert werden: inakzeptables Risiko, Hochrisiko, begrenztes Risiko oder minimales Risiko.

Schlüsselfragen für die Klassifizierung:

Trifft das System Entscheidungen, die sich wesentlich auf das Leben, die Rechte oder Chancen natürlicher Personen auswirken? Dies ist das zentrale Kriterium zur Identifizierung von Hochrisikosystemen.

Fällt es in eine der ausdrücklich genannten Hochrisikokategorien aus Anhang III des AI Acts: kritische Infrastruktur, Bildung, Beschäftigung, Sozialdienste, Finanzdienstleistungen, Sicherheit, Justiz?

Wer ist das Entscheidungssubjekt des Systems — handelt es sich um schutzbedürftige Personengruppen (Kinder, Patienten, Asylsuchende)?

Kommuniziert das System mit einer natürlichen Person, ohne transparent über den KI-Charakter der Interaktion zu informieren?

Bei Systemen, bei denen Zweifel bestehen, wird eine konservativere Klassifizierung und Konsultation mit Rechts- und Technikexperten empfohlen.

Schritt 3: Lückenanalyse für Hochrisikosysteme

Für jedes als Hochrisiko klassifizierte System besteht der nächste Schritt in einer Lückenanalyse (Gap Analysis), die den aktuellen Zustand mit den Anforderungen des AI Acts vergleicht:

Risikomanagementsystem — gibt es einen dokumentierten, laufenden Prozess zur Identifizierung und Minderung von Risiken für dieses System?

Datenstandards — sind die Trainings- und Testdatensätze dokumentiert? Wurden Verfahren zur Verringerung von Verzerrungen (Bias) angewendet?

Technische Dokumentation — liegt eine vollständige Dokumentation im vom AI Act geforderten Format vor (Zweck, technische Merkmale, Leistungs-Benchmarks, bekannte Einschränkungen)?

Protokollierung (Logging) — kann das System relevante Transaktionen und Entscheidungen automatisch für die spätere Analyse aufzeichnen?

Gebrauchsanweisung — liegt eine klare, verständliche Anleitung für den Betreiber/Nutzer vor?

Menschliche Aufsicht — sind Mechanismen implementiert, die eine effektive Überwachung und Intervention ermöglichen?

Jede identifizierte Lücke wird zu einem Punkt des Aktionsplans mit Fristen und Verantwortlichkeiten.

Schritt 4: Interne Governance-Struktur

Die Konformität mit dem AI Act erfordert eine klare interne Aufteilung der Verantwortlichkeiten. Für Unternehmen bestimmter Größe und KI-Intensität umfassen die empfohlenen Governance-Modelle:

AI Compliance Officer (AICO) — in Analogie zur Funktion des Datenschutzbeauftragten (Data Protection Officer, DPO) aus der DSGVO (Datenschutz-Grundverordnung, Verordnung (EU) 2016/679) ist dies die Person oder das Team, das für die Überwachung der KI-regulatorischen Anforderungen, die Koordination der Anpassungsmaßnahmen und die Kommunikation mit den Aufsichtsbehörden zuständig ist. In kleineren Unternehmen kann diese Rolle vom bestehenden Compliance- oder Rechtsteam übernommen werden.

AI Ethics/Risk Committee — ein funktionsübergreifendes Gremium, das die Einführung neuer Hochrisiko-KI-Systeme genehmigt, die Leistungs- und Ethikmetriken bestehender Systeme überwacht und Entscheidungen über Korrekturmaßnahmen trifft.

KI-Inventarregister — eine zentralisierte Datenbank aller KI-Systeme, kontinuierlich aktualisiert und für das Compliance- und Rechtsteam zugänglich.

Interne Richtlinie zum verantwortungsvollen KI-Einsatz — ein Dokument, das definiert, welche KI-Systeme genutzt werden dürfen und welche nicht, unter welchen Bedingungen und mit welchen Schutzmaßnahmen. Dieses Dokument muss allen Mitarbeitern zugänglich sein.

Schritt 5: Dokumentation und technische Anforderungen

Für Hochrisiko-KI-Systeme verlangt der AI Act eine spezifische technische Dokumentation, die vor dem Inverkehrbringen des Systems erstellt werden muss:

Inhalt der technischen Dokumentation: Allgemeine Beschreibung des Systems und seines Zwecks; detaillierte Erläuterung der Logik und Algorithmen; Beschreibung der für Training, Validierung und Tests verwendeten Datensätze; Beschreibung der Risikomaßnahmen; Leistungs-, Genauigkeits- und Robustheitsbenchmarks; bekannte Einschränkungen und Bedingungen, unter denen das System versagen kann; Beschreibung der Mechanismen zur menschlichen Aufsicht; Beschreibung der Verfahren zur Systemüberwachung im Produktionsbetrieb.

Diese Dokumentation muss während des gesamten Lebenszyklus des Systems aufbewahrt und aktualisiert werden. Die zuständigen Behörden können Einblick in die Dokumentation verlangen, und ihr Fehlen oder ihre Unvollständigkeit kann sanktioniert werden.

Schritt 6: Ethische Leitlinien und verantwortungsvolle KI-Praxis

Die Konformität mit dem AI Act ist eine notwendige, aber keine hinreichende Bedingung für verantwortungsvolle KI-Praxis. Unternehmen, die nicht nur rechtlich konform, sondern auch vertrauenswürdig gegenüber Nutzern, Klienten und der Öffentlichkeit sein wollen, sollten ethische Leitlinien für den KI-Einsatz beschließen, die über die Mindestanforderungen des Gesetzes hinausgehen.

Zu den Grundprinzipien ethischer Leitlinien, die von EU-Institutionen empfohlen werden — einschließlich der Leitlinien für vertrauenswürdige Künstliche Intelligenz (Ethics Guidelines for Trustworthy AI) der Hochrangigen Expertengruppe für Künstliche Intelligenz der Europäischen Kommission (AI HLEG) aus dem Jahr 2019 — zählen:

Transparenz und Erklärbarkeit — Nutzer sollten informiert werden, wenn sie mit KI-Systemen interagieren, und sollten die Grundlage für automatische Entscheidungen, die sie betreffen, nachvollziehen können.

Fairness und Nichtdiskriminierung — KI-Systeme dürfen diskriminierende Muster auf der Grundlage geschützter Merkmale weder reproduzieren noch verstärken.

Datenschutz und Privatsphäre — die Verarbeitung von Daten in KI-Systemen muss auf das notwendige Minimum beschränkt und mit der DSGVO konform sein.

Sicherheit und Robustheit — KI-Systeme müssen so konzipiert sein, dass sie unter realen Bedingungen sicher funktionieren, einschließlich Randfälle (Edge Cases) und Manipulationsversuche.

Wohlbefinden der Nutzer — KI darf nicht zur Manipulation oder Ausbeutung von Nutzern eingesetzt werden.

Schritt 7: Kontinuierliches Monitoring und Aktualisierung

KI-Compliance ist kein einmaliges Projekt — es ist ein laufendes Programm. Unternehmen müssen Verfahren einrichten für:

Regelmäßige Überprüfung des KI-Inventars und Aktualisierung der Klassifizierungen im Licht neuer Systeme oder Zweckänderungen bestehender Systeme.

Monitoring der Leistung und potenzieller Verzerrungen (Bias) von Hochrisikosystemen im Produktionsbetrieb.

Verfolgung der Entwicklung des Regulierungsrahmens — der AI Act wird von delegierten Rechtsakten, technischen Normen und Auslegungsleitlinien begleitet, die sich kontinuierlich weiterentwickeln.

Meldung schwerwiegender Vorfälle an die zuständige Behörde gemäß den vorgesehenen Verfahren.

Häufig gestellte Fragen (Q&A)

Muss jedes Unternehmen, das KI einsetzt, mit dem AI Act konform sein? Nicht automatisch. Unternehmen, die ausschließlich KI-Systeme mit minimalem Risiko nutzen (Spam-Filter, Empfehlungssysteme im E-Commerce), unterliegen keinen besonderen Verpflichtungen nach dem AI Act. Verpflichtungen entstehen für Hochrisikosysteme und — hinsichtlich Transparenz — für Systeme mit begrenztem Risiko. Entscheidend ist die Durchführung einer Klassifizierung, bevor Schlussfolgerungen über die Relevanz der Vorschriften gezogen werden.

Wie können KMU (kleine und mittlere Unternehmen) die Anforderungen des AI Acts ohne großen Ressourceneinsatz erfüllen? Der AI Act sieht bestimmte Erleichterungen für KMU hinsichtlich der Komplexität der Dokumentation und der Verwaltungsanforderungen vor, jedoch keine Befreiung von wesentlichen Verpflichtungen. Ein praktischer Ansatz für KMU: sich auf den Einsatz fertiger, zertifizierter KI-Systeme renommierter Anbieter konzentrieren statt eigene zu entwickeln; Standardvorlagen für Dokumentation und Compliance-Tools nutzen, die sich auf dem Markt entwickeln; gemeinsame Compliance-Ressourcen innerhalb von Wirtschaftsverbänden in Betracht ziehen.

Erfordert die Nutzung von ChatGPT oder ähnlichen Tools zur internen Produktivitätssteigerung besondere Maßnahmen? Die Nutzung allgemein verfügbarer KI-Tools für die interne Produktivität fällt typischerweise in die Kategorie des minimalen Risikos und erfordert keine besondere AI Act-Konformität. Empfohlen wird jedoch eine interne Richtlinie, die regelt: welche Arten vertraulicher Daten Mitarbeiter als Eingabe für öffentliche KI-Dienste verwenden dürfen und wie mit den Ergebnissen KI-generierter Inhalte umgegangen wird, die in Geschäftsprozesse einfließen.

Was ist die AI Act Sandbox und wie kann sie Unternehmen nützen? Der AI Act sieht die Einrichtung regulatorischer Sandboxen vor — kontrollierte Umgebungen, in denen innovative KI-Systeme mit direkter Zusammenarbeit der Aufsichtsbehörden und vorübergehender Flexibilität bei bestimmten Anforderungen getestet werden können. Die EU-Mitgliedstaaten sind verpflichtet, solche Sandboxen einzurichten, wobei der genaue Termin nach verfügbaren Informationen Gegenstand laufender Änderungen des Regulierungsrahmens ist. Dies ist besonders wertvoll für Startups und innovative Projekte in der Entwicklungsphase, die Systeme vor dem vollständigen Markteintritt testen möchten.

Fazit

Die Implementierung des AI Acts ist nicht nur eine regulatorische Verpflichtung — es ist auch eine Chance für Unternehmen, ihre KI-Aktivitäten zu systematisieren, operative Risiken zu reduzieren und Vertrauen bei Klienten und Partnern aufzubauen. Organisationen, die KI-Regulierung als strategisches Risikomanagement und nicht als bürokratische Hürde betrachten, werden sich in einer vorteilhafteren Marktposition befinden. Die Konformität mit dem AI Act wird — ähnlich wie bei der DSGVO — künftig nicht nur eine gesetzliche Verpflichtung sein, sondern auch ein Wettbewerbsvorteil und eine Voraussetzung für die geschäftliche Zusammenarbeit mit bestimmten Unternehmenspartnern und dem öffentlichen Sektor.

Für eine strukturierte Analyse der KI-Systeme in Ihrem Unternehmen, die Erstellung eines KI-Compliance-Programms und Dokumentationsanforderungen vereinbaren Sie eine Beratung mit unserem auf KI-Regulierung spezialisierten Team.

Quellen: – https://eur-lex.europa.eu/eli/reg/2024/1689/oj (Uredba (EU) 2024/1689 — AI Act) – https://www.ey.com/en_uk/trust/artificial-intelligence-regulation-compliance – https://www.pwc.com/gx/en/issues/data-privacy/ai-governance.html – https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai

Die Inhalte dieser Website dienen ausschließlich Informationszwecken und stellen keine Rechtsberatung dar. Für konkrete rechtliche Beratung wenden Sie sich bitte direkt an einen Rechtsanwalt. Die Kanzlei handelt im Einklang mit dem Gesetz über die Rechtsanwaltschaft und dem Kodex der Berufsethik der Rechtsanwälte.

Scroll to Top