Mit dem Inkrafttreten des AI Acts in 2024 hat die Europäische Union ein ambitioniertes Regelwerk geschaffen, um künstliche Intelligenz (KI) zu regulieren. Ziel ist es, Technologien sicher, transparent und ethisch verantwortlich zu gestalten. Doch was bedeutet diese Verordnung konkret für Unternehmen, öffentliche Verwaltungen und die Technologieentwickler? Und welche Herausforderungen bringt sie mit sich?

Erfahren Sie in unserem Blogbeitrag, wie Unternehmen den neuen Anforderungen des AI Acts gerecht werden und welche Chancen und Herausforderungen damit verbunden sind.

Die Zielsetzung des EU AI Acts

Der AI Act soll den Umgang mit KI auf allen Ebenen strukturieren. Dabei unterscheidet die Verordnung zwischen verschiedenen Risikokategorien – von geringem Risiko bis hin zu unzulässigen Anwendungen wie Überwachungstechnologien ohne Rechtsgrundlage. Die neue Gesetzgebung setzt Standards für Transparenz, Sicherheit und Datenschutz.

Drei zentrale Akteure:

  1. Anwender: Öffentliche Einrichtungen und Unternehmen, die KI-Systeme nutzen, müssen sicherstellen, dass sie den Anforderungen des AI Acts entsprechen. Dies betrifft vor allem die korrekte Implementierung der Anwendung sowie den Umgang mit sensiblen Daten.
  2. Anbieter: Unternehmen, die KI-Systeme entwickeln oder bereitstellen, stehen vor der Aufgabe, ihre Systeme transparent und auditierbar zu machen. Dies umfasst beispielsweise die Dokumentation der Algorithmen und Datenquellen.

Regulierungsbehörden: In jedem EU-Mitgliedsstaat wird eine nationale Stelle für die Durchsetzung und Überwachung des AI Acts zuständig sein. In Deutschland wird dies voraussichtlich die Bundesnetzagentur sein.

Klassifikation der Anwendung

Eine zentrale Innovation des AI Acts ist die Klassifizierung von KI-Anwendungen nach ihrem Risiko. Diese Einteilung ist entscheidend, um zu definieren, welche Anwendungen besonders reguliert werden müssen und welche weniger kritisch sind. Dadurch wird ein ausgewogenes Verhältnis zwischen Sicherheit und Innovation angestrebt.

Der AI Act teilt KI-Anwendungen in vier Risikostufen ein:

  1. Inakzeptables Risiko: KI-Systeme, die grundlegende Rechte verletzen oder unverhältnismäßige Risiken bergen, wie beispielsweise Technologien zur Massenüberwachung oder soziale Bewertungen (Social Scoring). Diese Anwendungen sind innerhalb der EU vollständig verboten.
  2. Hohes Risiko (Hochrisiko-KI-Systeme): Systeme, die in sicherheitskritischen Bereichen wie Gesundheitswesen, Strafverfolgung, Justiz oder Infrastruktur eingesetzt werden. Hier sind strenge Anforderungen an Transparenz, Sicherheit und Überprüfung notwendig.
  3. Begrenztes Risiko: Dazu zählen KI-gestützte Assistenzsysteme, die beispielsweise für Kundeninteraktion oder Werbemaßnahmen eingesetzt werden. Diese Systeme unterliegen moderaten Transparenzpflichten, etwa durch eine Kennzeichnung als KI-generierte Inhalte.
  4. Niedriges Risiko: Anwendungen wie KI-gestützte Rechtschreibprüfung oder Content-Empfehlungssysteme, die keine nennenswerten Risiken bergen. Diese unterliegen kaum regulatorischen Anforderungen.

Einhergehende Pflichten je nach Risikostufe

Die Klassifizierung bringt spezifische Pflichten für Unternehmen und Entwickler mit sich, je nach Risikostufe der KI-Anwendung:

  • Hohes Risiko: Anbieter müssen umfassende Dokumentationen über die Entwicklung, Tests und Trainingsdaten der KI führen. Sicherheitsmaßnahmen müssen implementiert und kontinuierlich überwacht werden. Dazu gehört auch die regelmäßige Überprüfung durch externe Stellen, um Konformität sicherzustellen sowie die Einführung eines Qualitätsmanagementsystems. Es besteht eine Pflicht zur Registrierung sowie CE-Kennzeichnung der Anwendung.

Betreiber müssen u.a. eine menschliche Aufsicht der Anwendung sowie eine Grundrechte- und Folgeabschätzung sicherstellen.

  • Begrenztes Risiko: Entwickler müssen sicherstellen, dass Nutzer über die Verwendung von KI informiert werden. Zum Beispiel müssen KI-gestützte Inhalte klar als solche gekennzeichnet werden.
  • Niedriges Risiko: Hier gibt es nur minimale Anforderungen. Die Anbieter sollten dennoch die grundlegenden Prinzipien von Transparenz und Datensicherheit berücksichtigen, um Vertrauen zu fördern.

Transparenzpflichten als Kernanforderung

Eine zentrale Vorgabe des AI Acts ist die Transparenzpflicht, die je nach Risikostufe variiert:

  • Informationsbereitstellung: Anbieter von Hochrisiko-KI-Systemen sind verpflichtet, detaillierte Informationen über die Funktionsweise ihrer Systeme, die zugrundeliegenden Algorithmen und die genutzten Datenquellen bereitzustellen. Diese Informationen sollen nicht nur für die Regulierungsbehörden, sondern auch für Endnutzer zugänglich sein, sofern dies technisch möglich ist.
  • Kennzeichnungspflicht: KI-Systeme, die mit Menschen interagieren – beispielsweise Chatbots – müssen klar erkennbar machen, dass es sich um KI handelt. Ziel ist es, eine bewusste Nutzung sicherzustellen.
  • Rückverfolgbarkeit: Für alle Systeme, insbesondere Hochrisiko-Anwendungen, müssen Anbieter Maßnahmen implementieren, die eine lückenlose Rückverfolgbarkeit der Entscheidungen und Prozesse gewährleisten. Dies dient der Überprüfung der Einhaltung gesetzlicher Vorgaben und der Minimierung von Missbrauchsrisiken.

Durch diese Transparenzvorgaben soll das Vertrauen der Öffentlichkeit in KI-Systeme gestärkt und ein verantwortungsvoller Einsatz gefördert werden. Anbieter, die die Transparenzpflichten nicht erfüllen, riskieren empfindliche Strafen und Reputationsverluste.

Aktuelle Herausforderungen

Trotz der klaren Ziele des AI Acts gibt es zahlreiche Herausforderungen, die auf eine Lösung warten.

  1. Regulatorische Unsicherheit: Viele Unternehmen befinden sich in einer Grauzone. Besonders in der Entwicklungsphase von KI-Technologien sind die genauen Anforderungen oft unklar. In den USA wird häufig nach dem Prinzip „erst handeln, dann regulieren“ vorgegangen, was zwar Innovation fördert, aber auch Klagen und Risiken birgt. In Europa dominiert hingegen der Ansatz „erst prüfen, dann einführen“, was Fortschritte bremst, aber höhere Standards ermöglicht.
  2. Konkurrenz innerhalb der EU: Die konkrete Umsetzung der Verordnung liegt in der Hand der Mitgliedsstaaten. Dies könnte zu unterschiedlichen Standards und Wettbewerbsnachteilen führen, was insbesondere kleinere Unternehmen belastet.
  3. Datenflüsse und Datenschutz: Viele international tätige Konzerne transferieren Daten in rechtlich günstigere Regionen. Hier steht Europa vor der Herausforderung, den Abfluss sensibler Daten zu verhindern und gleichzeitig eine globale Wettbewerbsfähigkeit zu gewährleisten. Die DSGVO ist hier ein zentraler Dreh- und Angelpunkt.

Mögliche Lösungsansätze

Eine erfolgreiche Umsetzung des AI Acts erfordert:

Klare Richtlinien: Nationale Behörden müssen konkrete Anforderungen und Kriterien zur Risikoabschätzung definieren, die sowohl für Unternehmen als auch Entwickler verbindlich sind.

Förderung lokaler Innovationen: Europa braucht gezielte Förderprogramme für KI-Entwicklung, um der Dominanz von Big-Tech-Unternehmen aus den USA und China entgegenzuwirken.

Transparenz und Zusammenarbeit: Offene Standards und kollaborative Ansätze könnten die Akzeptanz und Nutzung von KI-Lösungen fördern.

Zeitplan: Einführung des AI Acts

  1. April 2021: Veröffentlichung des Entwurfs des AI Acts durch die Europäische Kommission
  2. Juni 2023: Politische Einigung zwischen dem EU-Parlament und den Mitgliedstaaten
  3. August 2024: Der AI Act tritt offiziell in Kraft. Unternehmen und Behörden müssen sich nun auf die Anforderungen vorbereiten
  4. Februar 2025: Verbotene von KI-Anwendungen mit inakzeptablen Risiken
  5. Mai 2025: Veröffentlichung freiwilliger Verhaltenskodex
  6. August 2025: Pflichten für GPAI-Anbieter (General purpose-AI)
  7. August 2026: Generelle Geltung des AI Acts (insb. Transparentspflicht)
  8. August 2027: AI Act wird vollumfänglich angewendet

Die Bedeutung für die öffentliche Verwaltung und Unternehmen

Die öffentliche Verwaltung könnte durch den AI Act eine Vorreiterrolle einnehmen. KI-Systeme könnten beispielsweise in der Bearbeitung von Bürgeranfragen, der Verwaltung von Dokumenten oder der Optimierung interner Prozesse eingesetzt werden. Unternehmen profitieren, indem sie automatisierte Analysen nutzen, um datengetriebene Entscheidungen zu treffen.

Fazit

Der AI Act ist ein entscheidender Schritt für Europa, um die Rechte der Bürger innerhalb der EU zu stärken und im globalen KI-Wettlauf konkurrenzfähig zu bleiben. Mit klaren Regeln und einem Fokus auf ethische und nachhaltige Entwicklung könnte die EU eine Vorbildrolle einnehmen. Die eigentliche Herausforderung wird jedoch sein, den Gesetzestext in die Praxis zu übertragen, ohne Innovation zu behindern. Im August 2024 ist das EU-Gesetz in Kraft getreten, doch einiges müssen die Mitgliedstaaten noch selbst regeln. Zum Beispiel müssen sie eine nationale Behörde benennen oder einrichten, die die Umsetzung der Verordnung kontrolliert.

Prodato verbindet.

Autor

Nikolas Huhnstock
Machine Learning Engineer

nikolas.huhnstock@prodato.de

Über PRODATO

Gemeinsam mit unseren Kunden erarbeiten wir nachhaltige, anpassungsfähige und effizienzsteigernde Lösungen auf Basis vielfach erprobter Methoden und unter Einsatz modernster Technologien. Dabei setzen wir auf passgenaue, an die spezifischen Kundenbedürfnisse angepasste Lösungen, unabhängig von Tool und Hersteller.