EU AI Act: Erste Regelungen ab Februar 2025

Ab dem 2. Februar 2025 wird der EU AI Act wirksam und Unternehmen aller Größen und Branchen müssen sich an seine Vorgaben halten. Der Gesetzestext definiert Anforderungen für den KI-Einsatz und legt dabei einen risikobasierten Ansatz zu Grunde. Unternehmen stehen nun vor der Herausforderung, alle eingesetzten KI-Systeme zu bewerten und gegebenenfalls anzupassen. Dieser Artikel gibt dir einen Überblick darüber, was der EU AI Act beinhaltet, für wen er gilt und wie du dein Unternehmen rechtzeitig vorbereiten kannst.

Als unterstützende Quellen dienten uns Contentmanager, HÄRTING Rechtsanwälte und Business Insider.

Außerdem habe wir unseren Trainer für Online-Marketin-Recht, Dr. Martin Schrimbacher exklusiv für dich nach seiner Einschätzung und seinen Tipps zur Umsetzung den EU AI Acts gefragt.

Was ist der EU AI Act?

Der EU AI Act (oder auch KI-Verordnung) ist das erste Gesetz weltweit, das umfassende Regeln für den Einsatz von Künstlicher Intelligenz in Unternehmen schafft. Ziel ist es, Innovationen zu fördern und gleichzeitig Risiken zu minimieren, die von KI-Systemen ausgehen können. Dabei verfolgt die Verordnung einen risikobasierten Ansatz, der Technologien nach ihrer potenziellen Gefahr für Einzelpersonen und die Gesellschaft klassifiziert und je nach Risikoklasse sehr unterschiedliche Vorgaben macht.

Die Regelungen betreffen nicht nur Unternehmen innerhalb der EU, sondern alle internationale Anbieter:innen, deren KI-Produkte oder -Dienstleistungen in der EU genutzt werden. Dies soll sicherstellen, dass europäische Standards auch global eingehalten werden.

Ein zentraler Bestandteil des EU AI Acts ist die Unterscheidung zwischen KI mit allgemeinem und spezifischem Verwendungszweck. Systeme mit spezifischem Verwendungszweck werden in vier Risikoklassen eingeteilt, die unterschiedliche Anforderungen und Maßnahmen mit sich bringen. Ziel ist es, unakzeptable Risiken zu verhindern und gleichzeitig sicherzustellen, dass KI verantwortungsvoll genutzt wird.

Risikokategorien des EU AI Act

Der EU AI Act teilt KI-Systeme in vier Risikoklassen ein, abhängig davon, wie stark sie potenziell Einzelpersonen oder die Gesellschaft beeinflussen können. Jede Risikoklasse bringt spezifische Regelungen mit sich:

1. Inakzeptables Risiko (verbotene KI-Systeme)

KI-Systeme, die gegen europäische Werte und Grundrechte verstoßen, sind in der EU vollständig verboten. Dazu gehören beispielsweise Technologien, die Menschen aufgrund ihres Sozialverhaltens bewerten, oder KI, die zur verdeckten Manipulation eingesetzt wird. Ziel ist es, Missbrauch von KI und systematische Diskriminierungen zu verhindern.

Beispiele:

• Sozialkredit-Systeme, wie sie in einigen Ländern existieren.
• manipulative Technologien, die unethische Verhaltensweisen verstärken.

2. Hohes Risiko

Zu dieser Klasse gehören KI-Systeme, die eine direkte Auswirkung auf die Sicherheit oder die Rechte von Menschen haben. Beispiele sind KI-gestützte medizinische Geräte, biometrische Identifikationssysteme oder automatisierte Entscheidungsfindungen im Arbeitsverhältnis. Solche Systeme unterliegen strengen Auflagen, etwa einem umfassenden Risikomanagement und der Nachvollziehbarkeit ihrer Entscheidungen.

Anforderungen:

• Qualitätskontrollen der Trainingsdaten.
• Transparenz über Funktionsweise und Einsatzmöglichkeiten.
• Automatische Aufzeichnung der Abläufe für Prüfungszwecke.

3. Begrenztes Risiko

Diese Kategorie betrifft Anwendungen wie Chatbots oder KI-gestützte Tools, die in einem begrenzten Kontext eingesetzt werden. Hauptanforderung ist die Transparenz gegenüber den Nutzer:innen. Unternehmen müssen beispielsweise deutlich machen, wenn Nutzer:innen mit einer KI interagieren und nicht mit einer echten Person.

Beispiele:

• KI-basierte Kundenservice-Systeme.
• Personalisierte Marketingtools.

4. Minimales oder kein Risiko

Systeme, die keiner der anderen Kategorien zugeordnet werden können, gelten als KI-Systeme mit minimalem Risiko. Beispiele sind KI-gestützte Rechtschreibprüfungen oder einfache Empfehlungsalgorithmen. Für diese Anwendungen gibt es keine spezifischen Vorgaben, wobei ein verantwortungsvoller Umgang dennoch geboten ist. Außerdem gilt für alle Unternehmen, die künstliche Intelligenz einsetzen, Art. 4 der KI-Verordnung, wonach ein Mindestmaß an KI-Kompetenz gegeben sein muss.

Wer ist vom EU AI Act betroffen?

Der EU AI Act betrifft eine Vielzahl von Unternehmen und Organisationen, sowohl innerhalb als auch außerhalb der Europäischen Union, die mit Künstlicher Intelligenz arbeiten oder ihre Produkte und Dienstleistungen in der EU anbieten. Die KI-Verordnung unterscheidet hierbei zwischen verschiedenen Akteur:innen, die unterschiedliche Pflichten erfüllen müssen:

1. Betroffene Akteur:innen

• Anbieter:innen: Unternehmen, die KI-Tools entwickeln oder vertreiben, tragen die größte Verantwortung. Sie müssen sicherstellen, dass ihre Systeme den Anforderungen des EU AI Acts entsprechen.
• Betreiber:innen: Firmen, die KI-Systeme für interne oder externe Zwecke einsetzen, sind verpflichtet, diese auf Konformität zu prüfen. Betreiber:in wird jedes Unternehmen, das ein KI-System nutzt. Jede:r Nutzer:in ist also Betreiber:in eines KI-Systems.
• Importeur:innen und Händler:innen: Unternehmen, die KI-Systeme aus Drittländern importieren oder in der EU vertreiben, müssen die Einhaltung der Vorschriften sicherstellen.
• Anwender:innen: Auch Unternehmen, die KI lediglich nutzen, etwa zur Automatisierung oder Optimierung von Prozessen, müssen bestimmte Transparenz- und Sicherheitsanforderungen erfüllen und ausreichende KI-Kompetenz aufweisen.

2. Ausnahmen

Nicht alle KI-Systeme fallen unter den EU AI Act. Ausgenommen sind beispielsweise:

• Forschungsprojekte, die nicht für den kommerziellen Einsatz bestimmt sind.
• KI-Systeme für militärische Zwecke, da sie in den Anwendungsbereich spezieller Verteidigungsregelungen fallen.
• Private KI-Anwendungen, wie beispielsweise selbst entwickelte Algorithmen für den persönlichen Gebrauch.
• Bestehende KI-Systeme, die vor Inkrafttreten des Gesetzes auf den Markt gebracht wurden, es sei denn, sie werden nachträglich wesentlich verändert.

3. Extraterritoriale Wirkung

Auch Unternehmen außerhalb der EU müssen den EU AI Act beachten, wenn ihre KI-Systeme in der EU verwendet werden. Das Ziel ist es, weltweit hohe Standards für den Einsatz von Künstlicher Intelligenz zu schaffen und einen fairen Wettbewerb zu gewährleisten.

Pflichten für Unternehmen

Unternehmen, die Künstliche Intelligenz im Rahmen des EU AI Acts einsetzen oder entwickeln, müssen zahlreiche Anforderungen erfüllen. Diese Pflichten variieren je nach Risikoklasse der KI-Anwendung und der Rolle des Unternehmens als Anbieter:in, Betreiber:in oder Anwender:in.

1. Transparenzanforderungen

Eine zentrale Forderung des EU AI Acts ist Transparenz. Unternehmen müssen sicherstellen, dass Nutzer:innen erkennen können, wann sie mit einem KI-System interagieren. Dies ist auch bei Systemen der niedrigen Risikoklasse, wie Chatbots, wichtig. Transparenz bedeutet:

• Erkennbarkeit, dass es sich um KI handelt.
• Angaben zu den genutzten Trainingsdaten, sofern relevant.
• Informationen zu den Grundprinzipien der Funktionsweise des Systems.

2. Risikomanagement

Unternehmen, die KI-Systeme mit hohem Risiko anbieten, müssen ein umfassendes Risikomanagement betreiben. Das umfasst u.a.:

• Risikobewertung: Identifikation möglicher Gefahren, die von der KI ausgehen könnten.
• Qualitätssicherung: Sicherstellen, dass die genutzten Daten hochwertig, aktuell und frei von Verzerrungen sind.
• Monitoring: Laufende Überprüfung der KI auf Risiken und Fehlverhalten.

3. Dokumentationspflicht

Alle KI-Systeme der höheren Risikoklassen müssen genau dokumentiert werden. Dazu gehören:

• Protokolle über Test- und Trainingsergebnisse.
• Nachvollziehbare Berichte über die Entscheidungsprozesse der KI.
• Informationen über Änderungen oder Updates, die an den Systemen vorgenommen wurden.

4. Spezielle Regeln für Basismodelle

Für Basismodelle, wie die leistungsstarken KI-Systeme (z. B. generative KI), gelten besonders strenge Vorschriften:

• Level-1-Systeme (Basismodelle): Transparenz- und Dokumentationspflichten.
• Level-2-Systeme (leistungsstarke Basismodelle): Zusätzliche Vorgaben, wie Risikomanagement und externe Prüfungen.

5. Verantwortlichkeiten im Unternehmen

Je nach Rolle des Unternehmens sind spezifische Verantwortlichkeiten zu übernehmen:

• Anbieter:innen müssen sicherstellen, dass die KI den Vorschriften entspricht, bevor sie auf den Markt kommt.
• Betreiber:innen tragen die Verantwortung für die sichere Integration und Nutzung im eigenen Unternehmen.
• Anwender:innen müssen prüfen, ob sie die KI im vorgesehenen Rahmen nutzen und die Transparenzanforderungen einhalten.

6. Strafen bei Verstößen

Die Nichteinhaltung des EU AI Acts kann teuer werden. Unternehmen, die gegen die Verordnung verstoßen, drohen Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Dies verdeutlicht, wie ernst die EU die Einhaltung der Vorschriften nimmt.

Praktische Tipps

Die Umsetzung der Anforderungen des EU AI Acts mag zunächst aufwändig erscheinen, doch mit einer strategischen Herangehensweise können Unternehmen die Regelungen effizient umsetzen und sogar Wettbewerbsvorteile erzielen. Unser Referent Dr. Martin Schirmbacher von HÄRTING Rechtsanwälte fasst die wichtigsten Maßnahmen zusammen, die Unternehmen jetzt ergreifen sollten:

1. Risikoklassifizierung überprüfen

Zunächst muss man im Rahmen einer Bestandsaufnahme prüfen, welche KI-Systeme überhaupt im Unternehmen eingesetzt werden. Unternehmen sollten dann alle eingesetzten KI-Systeme analysieren und deren Risikokategorie gemäß den Vorgaben des EU AI Acts bestimmen. Dies ist der erste Schritt, um die erforderlichen Maßnahmen zur Compliance zu planen und umzusetzen.

2. Dokumentation und Testverfahren etablieren

Unabhängig von der Risikoklasse empfiehlt es sich, KI-Systeme gründlich zu dokumentieren und regelmäßig zu testen. Besonders bei hochriskanten Anwendungen ist dies Pflicht, aber auch für Systeme mit geringem Risiko bietet diese Maßnahme Vorteile:

• Bessere Qualitätskontrolle: Unternehmen können die Performance ihrer KI steigern, indem sie die Trainingsdaten und Ergebnisse regelmäßig evaluieren.
• Nachvollziehbarkeit: Dokumentation erleichtert nicht nur die Einhaltung der gesetzlichen Vorgaben, sondern dient auch als Grundlage für interne Optimierungen.

Der KI-Experte Adamidis, Gründer des Unternehmens Quantpi, rät dazu, freiwillig einen sogenannten Greybox-Ansatz zu verfolgen. Dieser ermöglicht es, die Ergebnisse von KI-Systemen besser zu analysieren, auch wenn die zugrundeliegende Logik (Blackbox) nicht vollständig transparent ist. Durch gezielte Tests der Eingabedaten und die Überprüfung der Ergebnisse wird die Blackbox zu einer Greybox, die verlässlichere Analysen erlaubt.

3. Mitarbeitende schulen

Die Einhaltung der Vorgaben erfordert nicht nur technisches Know-how, sondern auch ein breites Verständnis innerhalb der Belegschaft. Regelmäßige Schulungen zu KI-Risiken, Datenschutz und ethischen Aspekten können helfen, eine solide Basis für den verantwortungsvollen Umgang mit KI-Systemen zu schaffen.

Für praxisnahe Einblicke in die rechtlichen Anforderungen des AI Acts, des Datenschutzrechts, des Urheberrechts sowie in die Haftungsfragen, die beim Einsatz von KI entstehen, empfehlen wir unser EU AI Act Seminar.

4. Transparenzpflichten einhalten

Besonders bei Systemen mit begrenztem Risiko, wie Chatbots oder automatisierten Kundenservices, ist es wichtig, Nutzer:innen klar zu kommunizieren, dass sie mit einer KI interagieren. Transparente Hinweise schaffen Vertrauen und verhindern Missverständnisse.

5. Regelmäßige Überprüfungen einplanen

Einmalige Prüfungen reichen nicht aus, um langfristig konform zu bleiben. Unternehmen sollten regelmäßige interne und externe Audits einplanen, um sicherzustellen, dass ihre Systeme stets den Anforderungen entsprechen.

“Jedes Unternehmen, das künstliche Intelligenz nutzt, muss sich mit der KI-Verordnung beschäftigen. Dazu zählt vor allem, unternehmensintern herauszufinden, wo KI überhaupt eingesetzt wird. Die Compliance-Anforderungen scheinen zunächst hoch zu sein, doch wenn man das strukturiert angeht, ist der Aufwand in vielen Fällen geringer als erwartet.” – Dr. Martin Schirmbacher