AI Act: EU beschließt KI-Regulation

Fast drei Jahre hat es gedauert, bis am 13. März 2024 aus dem Entwurf ein Gesetz geworden war: Mit dem AI Act stellt die EU Regeln für den Einsatz von Künstlicher Intelligenz auf und leistet damit Pionierarbeit. 

Wir erklären, was der AI Act genau ist und was das neue Gesetz zur KI-Regulation für Unternehmen bedeutet.

Vom Nutzen und Missbrauch der KI

Rückblickend könnte man sagen, dass das Jahr 2023 im Zeichen der Chancen stand, die Künstliche Intelligenz für die Gesellschaft im Allgemeinen und die Wirtschaft im Besonderen zu bieten hat. Dadurch, dass sich ChatGPT in der breiten Masse durchgesetzt hat und in der Folge unzählige KI-Tools auf den Markt strömten, haben sich viele Unternehmen daran gemacht, den praktischen Nutzen dieser neuen Technologien zu erproben. Dabei hat sich herausgestellt, dass KI-Tools tatsächlich ein enormes Potenzial haben, um die Effizienz zu steigern, Kosten zu senken und die Kundenzufriedenheit zu erhöhen.

Aber wie so häufig liegen auch bei dieser großen technischen Innovation Nutzen und Missbrauch sehr eng nebeneinander. Denn: KI lässt sich nicht nur mit guten, sondern auch mit negativen Absichten einsetzen. KI-Angriffe sind hier nur eines von vielen Beispielen. Die Warnungen vor den potenziellen Risiken von KI-Systemen lassen sich daher auch nicht so einfach beiseite schieben.

Aus diesem Grund hat die Europäische Kommission einen Vorschlag für eine Verordnung zur Regulierung von Künstlicher Intelligenz erarbeitet: den AI Act. Nach zähen Verhandlungen ist es am 8. Dezember 2023 zu einer Einigung gekommen, am 13. März 2024 hat das EU-Parlament den AI Act als weltweit erstes KI-Gesetz beschlossen.

Was ist der EU AI Act?

Der AI Act (auch: Artificial Intelligence Act; AIA) ist eine Verordnung der Europäischen Kommission für eine Regulierung von Künstlicher Intelligenz (KI) im Rahmen der EU-Digitalstrategie. Vorgelegt wurde er im April 2021, nach mehr als zwei Jahre ist es am 8. Dezember 2023 zu einer Einigung zwischen dem Europaparlament und Unterhändlern der EU-Mitgliedsstaaten gekommen. Damit waren die sogenannten Trilog-Verhandlungen zwischen Rat, Parlament und Kommission der EU beendet worden. Am 13. März 2024 hat das EU-Parlament das Gesetz schließlich beschlossen und Ende April folgte das Votum der EU-Staaten, das aber nur noch als reine Formsache galt.

Das wesentliche Ziel des EU-AI-Acts ist es, den Einsatz von Künstlicher Intelligenz in Europa zu regeln und sicherzustellen, dass sie sicher, menschenrechtskonform und demokratisch ist. Auf der Basis eines risikobasierten Ansatzes soll ein sicherer und vertrauensbildender Rechtsrahmen entstehen. Laut dem früheren EU-Binnenmarkt-Kommissar Thierry Breton schafft das erste KI-Gesetz weltweit eine Balance zwischen Sicherheit, Innovation und dem Respekt gegenüber den Grundrechten und Werten in der Europäischen Union.

Einstufung von KI-Anwendungen in Risikogruppen

Nach dem AI Act sollen KI-Anwendungen in vier Risikoklassen eingeteilt werden. Je nach der potenziellen Gefährdung müssen die Anbieter der jeweiligen Anwendung verschiedene Vorgaben erfüllen. Die Einteilung sieht dabei wie folgt aus:

• Low Risk / risikoarme Systeme: 
  In diese Kategorie fällt der Großteil der KI-Anwendungen. Es gelten hier keine Anforderungen oder nur minimale Transparenzanforderungen. Nutzer sollen beispielsweise darauf hingewiesen werden, wenn sie mit einer KI interagieren.
• Limited Risk / Begrenzt riskante Systeme:
  Hierunter fallen beispielsweise KI-Basismodelle wie das Sprach-Basismodell GPT-4, auf dem ChatGPT basiert. Die Anbieter von Anwendungen in dieser Kategorie müssen bestimmte Transparenz- und Kennzeichnungspflichten erfüllen. Auch die technische Dokumentation und Einhaltung der EU-Urheberrechtsbestimmungen sind erforderlich. Konkret müssen Anbieter generativer KI offenlegen, dass Inhalte KI-generiert wurden; sie müssen ihr Modell so gestalten, dass es keinen illegalen Inhalt generiert; und sie müssen Auskunft geben, welche (urheberrechtlich geschützten) Daten zum Training ihrer Modelle verwendet wurden.
• High Risk / Hochrisiko-Systeme:
  Betroffen sind KI-Systeme, die die Sicherheit oder Grundrechte negativ beeinflussen könnten. Die Anbieter müssen deutlich strengere Sicherheitsanforderungen erfüllen, unter anderem in Bezug auf Nachvollziehbarkeit, Risikomanagement oder Cybersecurity. Darunter fallen KI-Systeme, die in Produkten verwendet werden, die unter die EU-Produktsicherheitsgesetzgebung fallen (etwa Spielzeug, Luftfahrt, Kraftfahrzeuge, Medizinprodukte und Aufzüge). Auch KI-Systeme, die in den folgenden Bereichen zum Einsatz kommen, zählen als hoch riskant:
  • Klassifizierung und Identifizierung von Personen auf der Grundlage biometrischer Merkmale
  • Verwaltung und Betrieb kritischer Infrastruktur
  • Bildung und berufliche Aus- und Weiterbildung
  • Beschäftigung, Mitarbeiterverwaltung und Zugang zur Selbstständigkeit
  • Zugang zu und Nutzung von wesentlichen privaten und öffentlichen Dienstleistungen und Leistungen
  • Rechtspflege
  • Management von Migration, Asyl und Grenzkontrolle
  • Unterstützung bei der Rechtsauslegung und Rechtsanwendung
• Unacceptable Risk / Systeme mit unannehmbarem Risiko:
  Anwendungen dieser Kategorie werden als Bedrohung angesehen und und sind daher nach dem AI Act vollkommen verboten. Beispiele sind sogenannte Social-Scoring-Systeme, die Menschen auf der Grundlage ihres Verhaltens, ihres sozioökonomischen Status oder ihrer persönlichen Merkmale einordnen, oder auch Echtzeit- und Fernidentifikationssysteme auf Basis biometrischer Daten wie der Gesichtserkennung. Es gibt allerdings Ausnahmen: Beispielsweise können biometrische Identifizierungssysteme, bei denen die Identifizierung nach einer erheblichen Verzögerung erfolgt, zur Verfolgung von schweren Straftaten zugelassen sein, jedoch nur nach gerichtlicher Genehmigung.

Durch die strengen Vorschriften für KI-Systeme mit hohem und unzulässigem Risiko soll der AI Act die Sicherheit und die Grundrechte der Menschen schützen. Dass die KI-Basismodelle ebenfalls unter diese Regulierung fallen, war ein besonderer Streitpunkt in den Verhandlungen.

Wen betrifft der AI Act?

Wer von dem AI Act konkret betroffen ist, wird in Artikel 2 des neuen KI-Gesetzes erläutert. Daraus geht hervor, dass das europäische KI-Gesetz für folgende Personen und Organisationen gelten wird:

• Anbieter: Alle juristischen Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System entwickeln oder entwickeln lassen und in der EU anbieten oder in Verkehr bringen beziehungsweise betreiben.
• Nutzer: Alle natürlichen Personen, die in der EU ein KI-System nutzen.

Die KI-Verordnung gilt übrigens auch dann, wenn sich Anbieter oder Nutzer in einem Drittland befinden, die KI aber innerhalb der EU eingesetzt wird. Hier kommt das sogenannte Marktortprinzip zum Einsatz, das bereits aus der europäischen Datenschutzgrundverordnung (DSGVO) bekannt ist.

Resonanz auf AI Act im Kurzüberblick

Die Verhandlungen waren von einer ganz speziellen Problematik geprägt – nämlich der Herausforderung, genau den richtigen Grad zwischen einer Überregulierung und einer Unterregulierung zu treffen. Dabei stehen sich, kurz gefasst, zwei Positionen gegenüber: Die eine Seite drängt auf eine sichere und vertrauenswürdige KI, die den Werten der EU entspricht und transparent ist; die andere Seite befürchtet, dass eine zu stark KI-Regulation den technischen Fortschritt und die Innovationskraft behindert.

Dementsprechend fällt die Resonanz auf den AI Act in Deutschland sehr unterschiedlich aus. Der TÜV-Verband beispielsweise lobt die Pionierarbeit der EU und begrüßt, dass der AI Act mit seinem risikobasierten Ansatz die Sicherheit erhöht und Innovationen schützt. Die Tatsache, dass auch KI-Basismodelle von der Regelung betroffen sind, schaffe Vertrauen für die Nutzer und erhöhe die Rechtssicherheit für professionelle Anwender, die auf Basis von „General Purpose AI“ eigene KI-Anwendungen entwickeln.

Demgegenüber steht zum Beispiel der Branchenverband bitkom: In einer Mitteilung heißt es, dass der nach den Trilog-Verhandlungen geschlossene Kompromiss bei der Regulierung generativer KI über das Ziel hinausschieße und tief in die Technologie eingreife. Der Verband zeigt sich skeptisch, wie die Umsetzung in der Praxis letztlich aussehen wird.

Kritiker: Verliert Europa im Wettbewerb?

Inzwischen werden die europäischen Ansätze zur KI-Regulierung, so lobenswert sie aus ethischer Perspektive auch sein mögen, zunehmend kritisch gesehen. Befürchtet wird, dass Europa aufgrund der strengen Regulierung durch den EU AI Act im globalen KI-Wettbewerb abgehängt werden könnte. Während die USA Anfang 2025 mit massiven Investitionen wie der „Stargate“-Initiative gezielt auf den Ausbau ihrer KI-Infrastruktur setzen, scheint Europa vor allem durch Bürokratie und Risikovermeidung ausgebremst zu werden.

Der französische Präsident Macron und der Branchenverband bitkom warnen beispielsweise davor, dass strikte Auflagen wie die Einordnung einfacher KI-Anwendungen in risikoreiche Kategorien europäische Unternehmen im internationalen Vergleich benachteiligen. Insbesondere mittelständische Unternehmen stoßen bei der Nutzung von generativer KI auf hohe regulatorische Hürden, die abschreckend wirken und Innovationen hemmen.

Ein pragmatischerer Umgang mit der Regulierung wird daher von vielen Experten als essenziell angesehen, um Europas Potenzial im KI-Bereich zu sichern und gleichzeitig Innovation mit europäischen Werten zu vereinen.

Wann tritt der AI Act in Kraft?

Der EU AI Act ist bereits in Kraft getreten – und zwar am 1. August 2024. In der Regel dauert es dann zwei Jahre, bis eine neue Verordnung geltendes Gesetz ist. Als Stichtag gilt dementsprechend der 2. August 2026. Aber: Erste Maßnahmen im Zuge des Gesetzes kommen, wie erwartet, schon deutlich früher zur Umsetzung. Ein Beispiel: die Verpflichtung zu KI-Kompetenz.

Ab dem 2. Februar 2025 müssen Unternehmen sicherzustellen, dass Mitarbeiter über ausreichende KI-Kompetenz verfügen. Das betrifft nicht nur technische Fähigkeiten, sondern auch ein Verständnis für ethische, soziale und rechtliche Aspekte der KI-Nutzung. Laut Artikel 4 des AI Act liegt die Verantwortung bei den Arbeitgebern, passende Schulungskonzepte zu entwickeln, die den Anforderungen der jeweiligen Branche und KI-Anwendung gerecht werden.

Auch wenn bei Verstößen gegen die Vorgabe keine direkten Sanktionen drohen, könnten Unternehmen bei Schäden durch unzureichende Schulungsmaßnahmen haftbar gemacht werden. Daher ist es ratsam, Schulungen frühzeitig zu planen, interne Richtlinien zu entwickeln und eventuell einen KI-Beauftragten zu ernennen, um die sichere und effektive Nutzung von KI im Unternehmen zu gewährleisten.

AI Act: erste Umsetzungstipps für Unternehmen

Was der AI Act für Unternehmen konkret in der Umsetzung bedeutet, lässt sich noch nicht im Detail sagen. Wir haben aber fünf Tipps erstellt, mit denen Unternehmen als Nutzer und/oder Anbieter von KI-Systemen den Anforderungen des AI Acts bereits jetzt begegnen können:

• Durchführung von Risikobewertungen:
  Unternehmen sollten eine Risikobewertung durchführen, um festzustellen, ob ihre KI-Systeme und Anwendungen ein hohes Risiko darstellen. Die Risikobewertung sollte auch die Art der Daten, die das System verwendet, und die Art der Entscheidungen, die es trifft, berücksichtigen.
• Einhaltung von Transparenz-, Dokumentations- und Informationspflichten:
  Unternehmen sollten sicherstellen, dass sie die Transparenz-, Dokumentations- und Informationspflichten des AI Act erfüllen. Dazu gehört auch die Erstellung von Dokumentationen, die die Funktionsweise des KI-Systems beschreiben, sowie die Bereitstellung von Informationen über die Art der Daten, die das System verwendet, und die Art der Entscheidungen, die es trifft.
• Einrichtung von internen Kontrollsystemen:
  Unternehmen sollten interne Kontrollsysteme einrichten, um sicherzustellen, dass ihre KI-Systeme und Anwendungen den Anforderungen des AI Act entsprechen. Dazu gehört auch die Einrichtung von Verfahren zur Überwachung der KI-Systeme und Anwendungen, um sicherzustellen, dass sie ordnungsgemäß funktionieren.
• Einrichtung von Governance-Systemen:
  Unternehmen sollten Governance-Systeme einrichten, um sicherzustellen, dass sie eine angemessene Kontrolle über ihre KI-Systeme ausüben. Dazu gehört auch die Einrichtung von Verfahren zur Überwachung der KI-Systeme und Anwendungen, um sicherzustellen, dass sie ordnungsgemäß funktionieren.
• Schulung von Mitarbeitern:
  Unternehmen sollten ihre Mitarbeiter schulen und sicherzustellen, dass sie die Anforderungen des AI Acts verstehen und in der Lage sind, sie umzusetzen. Dazu gehört auch die Schulung von Mitarbeitern, die für die Entwicklung und Implementierung von KI-Systemen und Anwendungen verantwortlich sind. Im Zuge der geforderten KI-Kompetenz sind derartige Schulungen sogar Pflichtprogramm!

Grundsätzlich gilt, dass Unternehmen trotz der neuen Gesetzgebung nicht die Motivation verlieren sollten, sich mit den Innovationen, die KI bieten kann, auseinanderzusetzen. Es wird sich zeigen, wie sich eine Balance zwischen Risikomanagement und Förderung von Innovation finden lässt.

IT-Experten haben Entwicklungen im Blick

Bürokratische Fessel oder weltweites Vorbild? Die Zeit wird zeigen, in welche der beiden Kategorien der AI Act tatsächlich fallen wird. Bis dahin werden aber sicherlich noch viele Fragen zur konkreten Umsetzung zu klären sein. Wir können Ihnen versichern: Die Experten aus dem IT-SERVICE.NETWORK behalten die Entwicklungen rund um Künstliche Intelligenz im Allgemeinen und den AI Act im Besonderen im Blick. Ihr Wissen teilen sie natürlich auch gern mit ihren Unternehmenskunden.

Ihr Unternehmen benötigt Unterstützung bei den ersten Schritten in die Welt der Künstlichen Intelligenz? Sie möchten damit beginnen, KI-Tools einzusetzen, fragen sich aber, wie es um den Datenschutz bestellt ist? Sie möchten Ihren Mitarbeitern zu geforderten KI-Kompetenz verhelfen?

Dann verweisen wir Sie an die IT-Systemhäuser in unserem Netzwerk: Gern stehen sie Ihnen unterstützend zur Seite. Nutzen Sie am besten direkt unsere Dienstleistersuche, um ein passendes IT-Systemhaus in Ihrer Nähe zu finden!

---

Weiterführende Informationen:
EU Parlament, EU Parlament, EU-Parlament, EU-Parlament, EU-Parlament, EU-Parlament, BigData-Insider, WirtschaftsWoche, bitkom, TÜV-Verband, heise, IT-BUSINESS, tagesschau, Handelsblatt, WirtschaftsWoche, LinkedIn, LinkedIn, Tagesschau, it-daily, haufe, netzpolitik, DerStandard, COMPUTERWOCHE, retail.NEWS, FAZ
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.