Der AI Act kommt: Was bedeutet das für Unternehmen?

Das bringt die europäische Regulierung für Künstliche Intelligenz

Nach der Verabschiedung des AI Act durch das Europäische Parlament wird derzeit viel über die EU-Verordnung geredet. In unserem Blog stellen wir die wichtigsten Punkte der geplanten Regulierung vor und geben einen Überblick, was für KI-Anbieter*innen und Anwendungsunternehmen wichtig wird.*

Künstliche Intelligenz wirkt sich auf immer mehr Bereiche des Lebens aus und hat enorme wirtschaftliche und gesellschaftliche Potenziale. KI kann Muster in Daten erkennen und darauf aufbauend Planungen anstellen, Vorhersagen treffen und Wahrscheinlichkeiten berechnen. Dadurch sind Anwendungen, die auf diesen KI-Modellen basieren, beispielsweise in der Lage, Lebensmittelverschwendung zu verhindern, den Straßenverkehr über Lichtsignale zu regeln, Umweltdaten vorherzusagen und Diagnosen in der Medizin zu stellen. Insbesondere die Entwicklungen im Bereich der Generativen KI, also der maschinellen Erzeugung von Texten, Bildern und sogar Videos, sorgt dafür, dass das Thema Künstliche Intelligenz immer mehr in die Mitte der Gesellschaft rückt.

KI kann auch in sehr sensiblen Bereichen eingesetzt werden, wie bspw. der Gesichtserkennung, was politische Implikationen mit sich bringt. Daher stellt sich die Frage, wie die Gesellschaft mit der wachsenden Relevanz von Künstlicher Intelligenz umgehen will. Die Europäische Union beschäftigt sich seit einigen Jahren mit dem Thema und entschied sich nach umfassenden Beratungen dazu, den Einsatz von KI-Anwendungen in der EU zu regulieren. Damit verfolgt die EU einen Kurs, der konkrete Rechtsvorschriften für KI-Anbieter*innen und Anwender*innen vorsieht.

Bereits vor dem Beginn des KI-Hypes, der durch ChatGPT und andere Generative KI-Modelle im Jahr 2022 ausgelöst wurde, brachte die EU-Kommission im April 2021 einen ersten Vorschlag ein, wie eine solche Regulierung von KI in Zukunft aussehen könnte. In den vergangenen Monaten und Jahren wurde dieser Vorschlag weiter ausgearbeitet, wobei im Laufe des Verhandlungsprozesses stetig neue Entwicklungen im Bereich der KI aufkamen, die es zu berücksichtigen galt. Nun wurde das Gesetz verabschiedet. Wir wollen in diesem Artikel erläutern, was es mit diesem europäischen KI-Gesetz auf sich hat und was KI-Anwender*innen und Anbieter*innen erwartet. Hierbei beziehen wir uns auf den Gesetzesentwurf, über den das EU-Parlament Mitte März abgestimmt hat.

Die Anforderungen der KI-Verordnung betreffen sowohl eine Vielzahl von KI-Systemen als auch die Organisationen, welche diese entwickeln und einsetzen. Für Unternehmen kommt es nun darauf an, die regulatorischen Anforderungen effizient und möglichst pragmatisch umzusetzen.

Was regelt der AI Act und wen betrifft er?

Der AI Act ist das international erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz. Um später festzustellen, welche Anwendungsbereiche mit Künstlicher Intelligenz unter das Gesetz fallen, definiert die EU den Begriff zunächst wie folgt (Stand März 2024):

Ein KI-System ist: »[…] ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben, wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können; […].«

Darüber hinaus definiert der AI Act Regeln, die sowohl für Anbieter*innen, als auch für Anwender*innen von KI-Systemen gelten. Anwender*innen können etwa Personen und Einrichtungen sein, die ein KI-System im Rahmen einer nichtpersönlichen Tätigkeit verwenden. Hervorzuheben ist, dass es je nach Einsatzgebiet eines KI-Systems zu einer Rollenübertragbarkeit kommen kann, etwa wenn ein KI-System durch Anwender*innen entsprechend verändert wird. Grundsätzlich sind die Regulierungsanforderungen, die der AI Act an Anbieter*innen stellt, umfassender, dennoch müssen Anwender*innen von KI-Systemen ebenfalls einen Teil der Regulierungsanforderungen erfüllen. Hierunter fällt insbesondere die Sicherstellung der vom Anbieter intendierten Nutzung und der Schutz vor Missbrauch, etwa durch qualifiziertes Personal.

Wenn sich Unternehmen mit dem Einsatz von KI-Systemen auseinandersetzen, sollten diese sich vor Augen führen, dass der AI Act KI-Anwendungen vier Risikokategorien zuordnet.

Kategorie eins: KI-Anwendungen ohne oder mit minimalem Risiko. Anwendungsbereiche mit einem geringfügigen Risiko müssen lediglich ein geringeres Maß an Anforderungen erfüllen.

Kategorie zwei: KI-Anwendungen mit überschaubarem Risiko. Darunter fallen KI-Systeme, die kein erhebliches Risiko für die Gesundheit, die Sicherheit oder die Grundrechte natürlicher Personen darstellen, auch nicht dadurch, dass sie das Ergebnis der Entscheidungsfindung wesentlich beeinflussen. Das sind etwa Spamfilter oder Chatbots. An diese KI-Anwendungen werden lediglich Transparenz- und Informationsanforderungen gestellt, wie eine Hinweispflicht für KI-generierte Inhalte.

Kategorie drei: KI-Anwendungen mit hohem Risiko. Hierzu gehören etwa KI-Systeme, die in mindestens einem der acht folgenden Bereiche genutzt werden:

• Biometrik
• Kritische Infrastruktur
• Allgemeine und berufliche Bildung
• Beschäftigung, Arbeitnehmermanagement und Zugang zur Selbstständigkeit
• Zugang zu und Inanspruchnahme von wesentlichen privaten Dienstleistungen und wesentlichen öffentlichen Diensten und Leistungen
• Strafverfolgung
• Migrations-, Asyl- und Grenzkontrollmanagement
• Rechtspflege und demokratische Prozesse

Darüber hinaus gilt ein KI-System als mit hohem Risiko behaftet, wenn es zur Verwendung als Sicherheitsbauteil eines Produkts bestimmt ist und es weitere Harmonisierungsrechtsvorschriften der Europäischen Union tangiert, beispielsweise branchenspezifische Sicherheitsvorschriften. KI-Systeme, die in diese Bereiche fallen, unterliegen fortan verschiedenen Anforderungen. Diese Anforderungen orientieren sich dabei vor allem am Einsatzzweck des KI-Systems. Anforderungen ergeben sich in Bereichen wie dem Risikomanagement der Systeme, der Datenverwaltung, der technischen Dokumentation, der Transparenz und der menschlichen Aufsicht. Diese Anforderungen sind unerlässlich, um Sicherheitsrisiken abzumildern.

Kategorie vier: Verbotene Praktiken. Hierzu gehören Anwendungen, die ein inakzeptables Risiko darstellen, wie z. B. staatlich betriebenes Social Scoring, wie es in China eingesetzt wird. Der Einsatz in diesen Bereichen wird nicht erlaubt sein.

Unabhängig von den Risikokategorien ergeben sich Anforderungen für KI-Systeme mit sogenanntem allgemeinem Verwendungszweck (GPAI), z. B. bei Fundamental-Modellen wie ChatGPT. Diese Anforderungen umfassen die Erstellung von technischen Dokumentationen, die Kennzeichnung KI-generierter Inhalte sowie detaillierte Angaben zur Verwendung urheberrechtlich geschützter Trainingsdaten.

Des Weiteren werden Anbieter*innen solcher GPAI-Modelle durch den AI Act dazu verpflichtet, Informationen für nachgelagerte Akteure, die entsprechende GPAI-Modelle in ihre KI-Lösungen integrieren, bereitzustellen, um diese zur Erfüllung der Regulierungsaufgaben ihrer Risikoklasse zu befähigen.

Die verschiedenen Anforderungen zeigen, der AI Act ist ein weitreichendes Gesetz, das viele Branchen direkt oder indirekt betrifft und auf die gesamte KI-Wertschöpfungskette einwirkt. Dabei beeinflusst der AI Act sowohl die Entwicklung als auch die Anwendung von KI-Modellen in der Praxis.

Eine weitere rechtliche Besonderheit des AI Act ist, dass dieser als EU-Verordnung in der gesamten Europäischen Union bindend wird. Denn eine Verordnung ist ein verbindlicher Rechtsakt, den alle Mitgliedsstaaten in vollem Umfang umsetzen müssen. Das unterscheidet EU-Verordnungen etwa von EU-Richtlinien. Daher wird der AI Act unmittelbar in nationales Recht übertragen und wird so Einfluss auf die nationale Wirtschaft nehmen. Außerdem fällt KI-generierter Output von Drittländern, der in der Union verwendet wird, ebenfalls in den Einflussbereich der Verordnung. Somit nimmt der AI Act auch einen direkten Einfluss über die Grenzen hinweg.

Was soll der AI Act bewirken?

Schutz von Betroffenen

Ein zentrales Anliegen der Europäischen Union ist es, die EU-Bürger*innen vor möglichen negativen Auswirkungen von KI-Anwendungen zu schützen und einen vertrauenswürdigen Einsatz von KI-Modellen zu gewährleisten. Hierzu ist es elementar, KI-spezifische Risiken frühzeitig zu identifizieren und auszuschließen, um so Vertrauenswürdigkeit von KI-Anwendungen sicherzustellen. Die entsprechende Bewertung einer KI-Anwendung zieht dabei bestenfalls folgende sechs Dimensionen in Betracht: Fairness, Autonomie und Kontrolle, Transparenz, Verlässlichkeit, Sicherheit sowie Datenschutz.

Planungssicherheit

Neben diesem noch teilweise abstrakten Gedanken bietet der EU AI Act auch Orientierung, nämlich für Unternehmen, die KI einsetzen oder ihren Einsatz planen. Sie bekommen durch die Verordnung Planungssicherheit und Leitplanken, die aufzeigen, wie KI-Anwendungen einzusetzen sind. Gesetzlich vorgeschriebene Anforderungen und die Unterfütterung dieser durch geeignete Standards schaffen die Grundlage für eine Operationalisierung im Unternehmen. Darüber hinaus sollen der risikobasierte Ansatz und weitere Regelungen KI-Anbietern Freiräume in der Entwicklung neuer KI-Systeme gewähren. So ist es unter anderem vorgesehen, dass KI-Reallabore eingerichtet werden können. Dabei handelt es sich um Testräume, die es ermöglichen, Innovationen für eine begrenzte Zeit unter möglichst realen Bedingungen zu erproben und zur Reife zu führen. Außerdem sollen Open-Source-Modelle im Bereich GPAI Ausnahmen erhalten. Durch harmonisierende Regeln, die jeweils für KI-Anwender*innen und Anbieter*innen entworfen wurden, soll für Rechtssicherheit und Klarheit im Umgang mit Künstlicher Intelligenz geworben werden.

Vorbildcharakter

Die Europäische Union erhofft sich von dem Gesetz internationalen Vorbildcharakter. Ihr Vorangehen bei diesem Thema könnte KI-Anbieter*innen wie auch Gesetzgebern Orientierung bieten. Insbesondere die Umsetzung der Standards bei international agierenden Unternehmen kann dabei grenzübergreifende Strahlkraft haben und Gesetzgebungen weltweit für den vertrauenswürdigen Einsatz von KI beeinflussen.

Herausforderungen

Um seine Ziele zu erreichen, muss der AI Act pragmatisch umgesetzt werden: Zunächst bedeutet eine neue Regulierung ein Mehr an Auflagen, die es zu erfüllen gilt. Kritische Stimmen sehen darin eine Hürde für Unternehmen bei dieser zentralen Schlüsseltechnologie, wobei insbesondere Verbände ein unzureichendes Verständnis der KMU für die an sie gestellten Anforderungen bemängeln. Darüber hinaus sind viele Anforderungen zunächst recht vage. Die betroffenen Unternehmen benötigen daher Orientierungshilfen, die ihnen die Unsicherheit bei der Erfüllung der Rechtsvorschriften nehmen. Wichtig wird daher einerseits die rechtzeitige Ausarbeitung von Standards, die Unternehmen als Maßstab zur operativen Umsetzung der Anforderungen dienen. Andererseits sollten geeignete Unterstützungsleistungen bei Fragestellungen, wie der zuverlässigen Identifikation der Risikoklassen von Use Cases im Unternehmen, entwickelt werden. Viele dieser Angebote werden bereits von Verbänden, Beratungen und Instituten verfügbar gemacht. Auch KI.NRW wird die Unternehmensbedarfe analysieren und auf etwaige Lücken mit Angeboten reagieren.

Um das Innovationspotenzial des AI Act zu nutzen, spielen neben den KI-Reallaboren zudem geeignete Förderprogramme eine wichtige Rolle. Und letztlich sollte die Umsetzung der Regulierung auch immer ein Level Playing Field schaffen, sodass alle Akteure Planungssicherheit in einem möglichst einheitlichen Rahmen erhalten.

Welche Auswirkungen hat der AI Act für Unternehmen, die KI nutzen und was können Unternehmer*innen jetzt schon tun?

Auch wenn viele Punkte, was die konkrete Umsetzung des AI Act angeht, noch offen sind, können Unternehmen schon heute Vorkehrungen treffen, die sie auf die Einführung des AI Act vorbereiten. Zunächst sollten Unternehmen weiterhin die Standardisierungsaktivitäten auf europäischer Ebene beobachten. Für die eigene Konformitätsbewertung des Unternehmens lohnt es sich, eine systematische Erfassung der Anwendungsfälle und technische Dokumentationen vorzunehmen.

Unternehmer*innen sollten klären, wo KI-Anwendungen im Unternehmen im Einsatz sind und in welche der vier Kategorien eine Anwendung wahrscheinlich fallen wird. Insbesondere für bereits bestehende KI-Anwendungen kann eine entsprechende Klassifikation Auswirkungen haben, die in der Vergangenheit vielleicht noch nicht bedacht wurden. Je nachdem, welcher Risikostufe eine KI-Anwendung zugeordnet wird, werden unterschiedliche Konformitätsanforderungen notwendig.

Für Unternehmen kommt es nun darauf an, die Übergangsfrist dafür zu nutzen, die regulatorischen Anforderungen effizient und möglichst pragmatisch umzusetzen. Beratungsangebote, wie das Innovation Briefing »EU AI Act: Umsetzung der KI-Verordnung«, können dabei helfen, indem sie aufzeigen, wie sich regulatorische Anforderungen in Unternehmensprozesse übersetzen und in technische Entwicklungsumgebungen implementieren lassen.

Für Unternehmen, die Künstliche Intelligenz noch nicht im Unternehmenskontext einsetzen, kann der Beschluss des AI Act sogar eine Chance darstellen, da sie sich nun von vornherein am neu geschaffenen Rechtsrahmen der EU orientieren können. Laut einer Studie des Bitkom e. V. setzen derzeit nur rund 13 Prozent der Unternehmen in Deutschland Künstliche Intelligenz ein, obwohl mehr als 80 Prozent KI eine große Bedeutung für die deutsche Wirtschaft zusprechen.

Daher sollte auch hier von Fall zu Fall geschaut werden, für welche Anwendungsfälle KI im Unternehmen in Frage kommt. Einen Überblick darüber können Sie beispielsweise mit unserem individuellen Beratungs- und Informationsangebot für den KI-Einstieg gewinnen.

What’s next?

Am 21. Mai 2024 haben auch die EU-Mitgliedstaaten den AI Act förmlich verabschiedet. Das KI-Gesetz wird dann 20 Tage nach der Veröffentlichung im Amtsblatt der EU in Kraft treten. Die Praktiken mit inakzeptablem Risiko werden nach sechs Monaten verboten, während die Verpflichtungen in Bezug auf GPAI nach einem Jahr beginnen. Die meisten Vorschriften, die sich speziell auf Hoch-Risiko-Anwendungen beziehen, treten nach zwei Jahren in Kraft.

Die Übergangsphase zwischen Beschluss und Umsetzung der Regulierung ist ein Prozess, bei dem sich offene Fragen in Teilen erst schrittweise klären werden. Um Unklarheiten entgegenzuwirken und bei der Umsetzung des AI Act zu unterstützen, hat die EU-Kommission mit dem European AI Office bereits eine zentrale Aufsichtsbehörde angekündigt. Die neu eingerichtete Aufsichtsbehörde für Künstliche Intelligenz ist direkt an die Europäischen Kommission angedockt und soll die Entwicklung und Nutzung vertrauenswürdiger KI sicherstellen, um so KI-Anwender*innen vor Risiken zu schützen. Als Zentrum für KI-Fachwissen soll das AI Office die Leitungsgremien in den Mitgliedstaaten bei ihren Aufgaben im Zuge der Umsetzung des AI Act unterstützen. Das Büro befindet sich zurzeit im Aufbau.

Das European AI Office wird die Regeln für KI-Modelle für allgemeine Zwecke durchsetzen. Dies wird durch Befugnisse untermauert, die der Kommission durch das KI-Gesetz übertragen wurden, einschließlich der Möglichkeit, Bewertungen von KI-Modellen für allgemeine Zwecke durchzuführen, Informationen und Maßnahmen von Modellanbieter*innen zu verlangen und Sanktionen zu verhängen.

In den kommenden Monaten wird sich mit der Etablierung des European AI Office und der Benennung nationaler Aufsichtsbehörden weitere Klarheit ergeben. Zudem werden Standards entwickelt, die eine entscheidende Rolle bei der Erfüllung von Regulierungsanforderungen spielen.

KI.NRW wird die kommenden Entwicklungen weiterverfolgen und geeignete Angebote zur Unterstützung von Unternehmen entwickeln.

*Dieser Text stellt keine Rechtsberatung dar.