AI Act: Was die KI-Verordnung für Unternehmen bedeutet

Was ist die KI-Verordnung?

Die Verordnung über künstliche Intelligenz, kurz KI-Verordnung (KI-VO) oder AI Act, ist ein Rechtsakt der EU, der den Einsatz von Künstlicher Intelligenz in Europa regulieren soll. Es ist weltweit das erste Gesetz dieser Art. Zu den wichtigsten Zielen der Verordnung zählen

• der Schutz der Grundrechte und der Sicherheit von EU-Bürgern
• die Überwachung und Regulierung des KI-Einsatzes in Unternehmen
• das Schaffen eines sicheren Rahmens für Innovationen „made in Europe“
• das Stärken des Vertrauens von Verbrauchern und Unternehmen in KI

Welche KI-Systeme betrifft die Verordnung?

Laut der KI-VO ist ein KI-System „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“.

Wie streng ein solches System reguliert werden muss, hängt davon ab, welches Risiko mit seinem Einsatz verbunden ist. Die Verordnung nimmt eine Klassifizierung der Technologie vor und unterteilt sie in KI mit

• inakzeptablem Risiko: Systeme, die zum Beispiel für das Social Scoring oder die biometrische Echtzeit-Fernidentifizierung eingesetzt/verwendet/genutzt werden können, sind in Zukunft verboten
• hohem Risiko: Hochrisiko-KI-Systeme, die zum Beispiel in kritischen Bereichen wie dem Bildungswesen oder der Strafverfolgung eingesetzt werden, unterliegen strengen Vorschriften
• begrenztem oder minimalem Risiko: KI-Systeme wie Chatbots dürfen verwendet werden, wenn ihre Betreiber für Transparenz sorgen und die Nutzer zum Beispiel darüber informieren, dass sie mit einer KI interagieren

AI Act der EU: Hintergrund und Entwicklung

Die Europäische Union beschäftigt sich bereits seit 2018 mit der Frage, wie die Gesellschaft die Chancen von KI nutzen kann und gründete die KI-Allianz. 2021 legten die KI-Experten der EU-Kommission den ersten Entwurf eines AI Acts zur Regulierung von KI vor. Nach mehreren Überarbeitungen und Beratungen verabschiedete das Europäische Parlament den Act schließlich am 21. Mai 2024. Am 12. Juli 2024 wurder er im Amtsblatt der EU verkündet.

Die KI-Verordnung ist in ihrer aktuellen Form eine rechtliche Regelung der EU und gilt seit dem Inkrafttreten im August 2024 unmittelbar und einheitlich in allen Mitgliedstaaten. Das bedeutet: Alle EU-Staaten müssen die Vorgaben der Verordnung direkt anwenden. Eine Umsetzung in ein nationales Gesetz über künstliche Intelligenz ist dafür nicht erforderlich. 

Für viele Bestimmungen der KI-VO gilt eine 24-monatige Übergangsfrist. Das Verbot für KI-Systeme mit inakzeptablem Risiko gilt allerdings schon nach sechs Monaten.

Welche Anforderungen stellt der AI Act an Unternehmen?

Die KI-VO richtet sich vor allem an Anbieter und Betreiber von KI-Systemen, also Unternehmen oder Behörden, die solche Systeme entwickeln, anbieten oder betreiben und deren Systeme in der EU eingesetzt werden. Außerdem sind von der Verordnung gewerbliche Nutzer von KI-Systemen betroffen.
 
Unternehmen, die KI-Systeme entwickeln, einsetzen oder vertreiben, müssen sich an eine Reihe von Anforderungen halten. Dazu gehören:

• Risikobewertung und -management: Unternehmen müssen eine umfassende Risikobewertung ihrer KI-Systeme durchführen und sicherstellen, dass diese sicher und vertrauenswürdig sind.
• Transparenzanforderungen: Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren, insbesondere bei Systemen, die Emotionen erkennen oder biometrische Daten verwenden.
• Dokumentation und Aufzeichnungen: Unternehmen müssen detaillierte Aufzeichnungen über die Entwicklung, das Training und den Einsatz von KI-Systemen führen.

Spezielle Regelungen für Hochrisiko-KI-Systeme

Hochrisiko-KI-Systeme unterliegen besonders strengen Anforderungen. Unternehmen müssen sicherstellen, dass diese Systeme robust und sicher sind und die Grundrechte der Nutzer nicht verletzen. Dazu gehört auch, dass diese Systeme einer strengen Konformitätsbewertung unterzogen werden müssen, bevor sie auf den Markt gebracht werden.

Konformität nach dem AI Act

Mit der Konformitätsbewertung müssen Anbieter oder Betreiber von Hochrisiko-KI-Systemen sicherstellen, dass diese Systeme den Anforderungen der Verordnung entsprechen. Dies erfordert oft eine externe Überprüfung durch benannte Stellen, die die Systeme auf ihre Konformität prüfen.

Wie hängen die KI-Verordnung und der Datenschutz zusammen?

Die KI-Verordnung zielt genau wie die Datenschutzgrundverordnung (DSGVO) darauf ab, die Rechte der Menschen in der EU zu schützen und sicherzustellen, dass ihre Daten sicher und verantwortungsvoll verarbeitet werden.

Beim Einsatz von KI-Systemen müssen Unternehmen deshalb nicht nur die KI-Verordnung, sondern auch die Grundsätze der DSGVO beachten. Das bedeutet zum Beispiel, dass personenbezogene Daten nur in Übereinstimmung mit der DSGVO verarbeitet werden dürfen und dass die Rechte der Betroffenen gewahrt bleiben. 

Durchsetzung der Verordnung und drohende Strafen bei Nichtbeachtung

Für die Überwachung und Durchsetzung der Verordnung muss jeder EU-Mitgliedstaat, darunter auch Deutschland, eine nationale Aufsichtsbehörde einrichten oder benennen. Die Benennung der „KI-Aufsicht“ steht hierzulande noch aus. 

Sie wird im Wesentlichen dafür zuständig sein, Hochrisiko-KI-Systeme zu kontrollieren und den Markt zu überwachen. Diese Aufgaben könnte zum Beispiel die Bundesnetzagentur übernehmen oder bei der Überwachung auf die Unterstützung von Datenschutzbehörden zurückgreifen.

Welche Strafen drohen Unternehmen, die gegen die KI-VO verstoßen?

Unternehmen, die gegen die Bestimmungen der Verordnung verstoßen, müssen mit erheblichen Strafen rechnen: Es drohen Bußgelder in Höhe von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag der höhere ist.

Herausforderungen und Kritik an der KI-Verordnung

Das Ziel der KI-Verordnung ist es, einen Rahmen zu schaffen, damit europäische Unternehmen KI sicher einsetzen können. Allerdings regt sich in der EU Kritik an der praktischen Umsetzbarkeit der Verordnung. Noch sind viele Fragen offen, etwa in Bezug auf die Risikoklassifizierung. Außerdem fürchten viele Unternehmen hohen bürokratischen und finanziellen Aufwand, um den Anforderungen der Verordnung gerecht zu werden. 

Ein weiterer Kritikpunkt betrifft die potenzielle Einschränkung von Innovationen. Einige Experten befürchten, dass die strengen Vorschriften Unternehmen davon abhalten könnten, neue KI-Technologien zu entwickeln und zu implementieren.

Ausblick: So geht es mit KI-VO und KI-Gesetz weiter

Mit dem AI Act hat die Europäische Union einen wichtigen Schritt getan, um den Einsatz von KI sicherer und verantwortungsvoller zu gestalten. Damit die Verordnung für Unternehmen nicht zur Stolperfalle wird und sie nicht den Anschluss verpassen, sollten sie sich frühzeitig mit den Anforderungen der Verordnung vertraut machen.

Um ihren Verpflichtungen sicher nachzukommen, sollten Unternehmen auf Unterstützung von Experten setzen. Gerade in Fragen der sicheren Datenverarbeitung und in Sachen Compliance kann ein externer Datenschutzbeauftragter umfangreiche Unterstützung leisten.

Erste Fragen rund um den neuen AI Act beantwortet unser kostenloses Factsheet zur KI-Verordnung.