EU
AI
Act
Was Sie als Unternehmer wissen sollten
Am 13. März 2024 hat das EU-Parlament den weltweit ersten gesetzlichen Rahmen zur Regulierung von Künstlicher Intelligenz (KI) verabschiedet - den AI Act. Mit dieser neuartigen Verordnung will die EU die Risiken von KI adressieren und gleichzeitig Innovationen fördern. Durch einheitliche Regeln soll das Vertrauen in KI gestärkt und Rechtssicherheit für Unternehmen im europäischen Raum geschaffen werden.
Herausforderungen und Chancen für Unternehmen
Der AI Act stellt Unternehmen vor große Herausforderungen bei der Umsetzung der komplexen Vorgaben. Zeitgleich bietet er aber auch Chancen: Durch eine ganzheitliche KI-Governance können Risiken minimiert, Vertrauen in die eigenen Systeme aufgebaut und Qualitätsstandards gesetzt werden.
Eine interdisziplinäre Expertise ist der Schlüssel, um alle Aspekte wie Risikobewertung, Technologieverständnis und Rechtskonformität zu vereinen. KImpact unterstützt als kompetenter Partner mit umfassenden Compliance- und Governance-Lösungen für den AI Act - von der Analyse bis zur Audit-Vorbereitung.
Der risikobasierte Regulierungsansatz
Kernstück des AI Acts ist ein risikobasierter Ansatz. Je höher das Gefährdungspotenzial einer KI-Anwendung, desto strenger sind die Auflagen. Konkret unterscheidet die Verordnung drei Risikoklassen:
Unannehmbare Risiken - Totalverbote
Der AI Act verbietet KI-Systeme mit einer als "unannehmbar" eingestuften Risikokategorie grundsätzlich. Dazu zählen insbesondere:
Diskriminierende KI-Systeme, die auf Basis sensibler Merkmale wie ethnischer Herkunft oder Geschlecht operieren
Social Scoring von Bürgern durch Behörden zur Bewertung individueller Vertrauenswürdigkeit
Biometrische Massenüberwachung und Echtzeit-Fernidentifizierung von Personen in öffentlichen Räumen zu Strafverfolgungszwecken
Systeme zur unterschwelligen Manipulation oder Ausnutzung von Schwächen schutzbedürftiger Personengruppen
Hohe Risiken - Strenge Auflagen für Hochrisiko-KI
KI-Systeme mit hohem Risikopotenzial für Grundrechte oder die Sicherheit von Personen werden als "Hochrisiko-KI" eingestuft. Für sie gelten weitreichende Anforderungen wie:
Verpflichtende Risikofolgenabschätzungen und ausführliche technische Dokumentation
Implementierung robuster Risiko-, Qualitäts- und Cybersicherheitsmanagementsysteme
Regeln zur menschlichen Aufsicht und Kontrolle sowie Überwachung der Systemleistung
Strenge Vorgaben zur Datenqualität und Datenherkunftskontrolle
Verpflichtende Konformitätsbewertungen und CE-Kennzeichnung
Die Anbieter solcher Hochrisiko-Systeme müssen den gesamten KI-Lebenszyklus überwachen und sind in der Rechenschaftspflicht.
Geringe/Minimale Risiken
Für KI-Systeme mit geringem oder minimalem Risiko sind die Anforderungen vergleichsweise moderat. Es gelten allerdings Transparenzpflichten wie Verwendungskennzeichnungen für generierte Inhalte. Zudem können Verhaltenskodizes etabliert werden.
Besondere Regeln für "General Purpose AI" (GPAI)
Der AI Act enthält spezielle Regeln für generative KI-Modelle mit allgemeinem Verwendungszweck wie ChatGPT, die als "General Purpose AI" (GPAI) bezeichnet werden. Neben Transparenzpflichten für alle GPAI-Systeme müssen besonders leistungsfähige Modelle mit "systemischem Risiko" zusätzliche Sicherheitsanforderungen erfüllen. Dazu gehören Risikomanagementsysteme, Dokumentation, Überwachungsmaßnahmen und Gewährleistung der Cybersicherheit.
Zeitplan und Übergangsfristen
Die Umsetzung des AI Acts erfolgt gestaffelt über einen Zeitraum von bis zu 3 Jahren nach Inkrafttreten:
Sofortiges Verbot bestimmter KI-Systeme nach 6 Monaten
Regeln für GPAI-Modelle nach 1 Jahr
Kernbestimmungen für Hochrisiko-KI nach 2 Jahren
Sonderregelungen für bestimmte Sektoren nach 3 Jahren
Durchsetzung und Strafmaßnahmen
Für die Durchsetzung der AI-Regeln wird ein neues Behördensystem auf EU- und nationaler Ebene aufgebaut. Zentrales Element ist das "Amt für Künstliche Intelligenz". Verstöße gegen den AI Act können mit drastischen Sanktionen von bis zu 35 Mio. Euro oder 7% des globalen Jahresumsatzes geahndet werden - vergleichbar mit der DSGVO.