Zusammenfassung
Die Regulierung von Künstlicher Intelligenz (KI) steht in Europa vor einem historischen Umbruch: Mit dem AI Act schafft die Europäische Union erstmals einen einheitlichen Rechtsrahmen für den Umgang mit KI-Systemen. In der Folge zum AI-Act unseres Podcasts „Bits und Bytes“ diskutieren Gastgeberin Alexa und der erfahrene IT-Rechtsanwalt Gerrit Hözl die wichtigsten Aspekte dieser Verordnung. In diesem Blogpost fassen wir die zentralen Erkenntnisse und praxisnahen Empfehlungen aus dem Gespräch zusammen – und gehen dabei noch tiefer auf die einzelnen Themen ein.
Lesezeit: 8–10 Minuten
Inhaltsverzeichnis
Was ist der AI Act?
Der AI Act ist eine EU-Verordnung, die ab August 2024 schrittweise in Kraft tritt und bis 2027 vollständig umgesetzt sein soll. Ziel ist es, einheitliche Regeln für die Entwicklung, den Einsatz und die Nutzung von KI-Systemen in der gesamten EU zu schaffen. Die Verordnung gilt unmittelbar – nationale Gesetzgebungen sind nicht mehr erforderlich.
Kernziele:
- Schutz der Grundrechte und Sicherheit der Nutzer
- Förderung von Innovation und Vertrauen in KI
- Minimierung von Risiken durch klare Vorgaben
Wichtig: Die Definition von „KI-System“ im AI Act ist weit gefasst und umfasst nicht nur klassische Machine-Learning-Modelle, sondern auch viele automatisierte Entscheidungs- und Analysesysteme.
Wer ist betroffen?
Der AI Act betrifft Hersteller, Betreiber und Anwender von KI-Systemen. Das bedeutet:
- Hersteller: Unternehmen, die KI-Systeme entwickeln und auf den Markt bringen.
- Betreiber: Unternehmen, die KI-Systeme in ihren Prozessen oder Produkten einsetzen.
- Anwender: Personen oder Organisationen, die KI-Systeme nutzen, z.B. zur Entscheidungsunterstützung.
Praxis-Tipp:
Unternehmen sollten ihre Produkte und Dienstleistungen genau prüfen, um festzustellen, ob und wie KI zum Einsatz kommt. Auch scheinbar „einfache“ Automatisierungen können unter die Verordnung fallen.
Schulungspflichten für Anwender
Ein zentrales Element des AI Act sind die Schulungspflichten für alle, die mit KI-Systemen arbeiten. Mitarbeiter sollen befähigt werden, die Funktionsweise sowie die Ergebnisse dieser Systeme zu verstehen und kritisch zu hinterfragen. Der Gesetzgeber schreibt keine festen Zeitrahmen oder Vorgaben zur Schulungshäufigkeit vor – entscheidend ist, dass die entsprechenden Kompetenzen nachweisbar sind. Dabei kommt der Dokumentation eine große Bedeutung zu: Unternehmen sind verpflichtet, Schulungen und erworbene Kenntnisse sorgfältig zu dokumentieren, um im Schadensfall oder bei Kontrollen gewappnet zu sein.
Empfehlenswert ist es, ein individuell zugeschnittenes Schulungskonzept zu entwickeln, das regelmäßig aktualisiert und an Systemänderungen angepasst wird. Ebenso wichtig ist die Sensibilisierung der Mitarbeitenden für ethische und rechtliche Fragestellungen im Zusammenhang mit KI. Dabei ist Gelassenheit gefragt: Nicht jede Schulung muss teuer extern eingekauft werden. Ziel ist ein grundlegendes Verständnis, nicht der Erwerb teurer Zertifikate. Unternehmen sollten sich nicht durch Anbieter unter Druck setzen lassen, die mit Bußgeldern drohen.
Regulatorische Anforderungen und verbotene Praktiken
Der AI Act unterscheidet zwischen unterschiedlichen Anforderungen an KI-Systeme, abhängig von deren Risiko und Anwendungsbereich. Einige Praktiken sind dabei ausdrücklich verboten – hierzu zählen unter anderem der Einsatz sogenannter „Dark Patterns“, also manipulativer Nutzerführung, subtile Beeinflussung, die die Entscheidungsfreiheit einschränkt, sowie der Einsatz von KI zur sozialen Bewertung oder Diskriminierung.
Unternehmen sind verpflichtet, sicherzustellen, dass sie keine dieser verbotenen Praktiken anwenden. Dazu gehört auch die Einrichtung interner Prozesse zur Überprüfung und Dokumentation der eingesetzten Systeme. Fachleute empfehlen regelmäßige Audits, um mögliche Verstöße frühzeitig zu erkennen und zu beheben.
Klassifizierung von KI-Systemen
Der AI Act sieht eine Klassifizierung von KI-Systemen nach Risikostufen vor. Verbotene Systeme dürfen überhaupt nicht eingesetzt werden – darunter fallen beispielsweise Anwendungen zum Social Scoring. Hochrisiko-KI-Systeme, etwa in Bereichen wie Medizin, Bildung oder kritische Infrastruktur, unterliegen strengen Anforderungen. Systeme mit geringem Risiko unterliegen weniger strengen Vorgaben, müssen aber bestimmte Transparenz- und Informationspflichten erfüllen. KI-Systeme mit minimalem Risiko werden kaum reguliert, müssen aber weiterhin grundlegende Standards einhalten.
Für Hochrisiko-Systeme gelten besondere Pflichten: Es ist eine technische Dokumentation vorzulegen, ebenso eine Risikobewertung. Strategien zur Vermeidung von Urheberrechtsverletzungen müssen ebenfalls vorhanden sein, und es besteht eine Meldepflicht bei Zwischenfällen. Unternehmen sollten daher ihre KI-Anwendungen sorgfältig analysieren und korrekt der entsprechenden Risikoklasse zuordnen. Bei Unsicherheiten empfiehlt es sich, rechtlichen Rat einzuholen.
General Purpose AI: Besondere Herausforderungen
Unter dem Begriff General Purpose AI (GPAI) versteht man KI-Systeme, die für eine Vielzahl unterschiedlicher Anwendungen eingesetzt werden können – ein Beispiel dafür sind große Sprachmodelle. Diese Systeme stellen eine besondere Herausforderung dar, da sie potenziell weitreichende Auswirkungen auf verschiedenste Bereiche haben.
Deshalb unterliegen GPAI-Systeme im AI Act zusätzlichen Anforderungen. Sowohl Hersteller als auch Betreiber solcher Systeme müssen sicherstellen, dass auch spätere Anwendungen der GPAI im Einklang mit den gesetzlichen Vorgaben stehen. Wer GPAI nutzt oder weiterentwickelt, sollte daher die speziellen Vorschriften sorgfältig beachten und deren Einsatz sowie eventuelle Anpassungen dokumentieren.
Kennzeichnungspflichten für KI-Inhalte
Ein zentrales Anliegen des AI Act ist die Transparenz gegenüber den Nutzern. Inhalte, die mithilfe von KI erzeugt wurden, müssen für den Nutzer klar als solche erkennbar sein. Das betrifft insbesondere Texte, Bilder, Videos und Audioinhalte, die von KI erstellt wurden. Ziel dieser Regelung ist es, Täuschung und Manipulation zu verhindern.
Empfohlen wird die Implementierung technischer Lösungen, die eine automatische Kennzeichnung von KI-generierten Inhalten ermöglichen. Darüber hinaus sollten Mitarbeitende im Umgang mit den Kennzeichnungspflichten geschult werden. Es ist ebenfalls wichtig, regelmäßig zu überprüfen, ob die Kennzeichnungen korrekt und sichtbar sind.
Sanktionen und Bußgelder
Ab August 2024 greift ein umfassendes Sanktionsregime im Rahmen des AI Act. Bei schwerwiegenden Verstößen können Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes eines Unternehmens verhängt werden. Die konkrete Höhe des Bußgelds hängt dabei von verschiedenen Faktoren ab – etwa der Unternehmensgröße oder der Schwere des Verstoßes. Zwar führt nicht jeder Verstoß automatisch zu einem Maximalbußgeld, dennoch sollten Unternehmen die potenziellen Risiken nicht unterschätzen.
Besonders hervorzuheben ist: Die Schulungspflichten gelten zunächst als „weiche“ Anforderungen. Dennoch kann eine fehlende Dokumentation im Ernstfall erhebliche finanzielle und rechtliche Folgen nach sich ziehen.
Empfohlene Schritte für Unternehmen
Um den Anforderungen des AI Act gerecht zu werden, sollten Unternehmen folgende Maßnahmen ergreifen: Zunächst ist eine Bestandsaufnahme notwendig – es gilt zu prüfen, ob und in welcher Form KI im Unternehmen eingesetzt wird. Anschließend müssen die eingesetzten Systeme den Risikoklassen des AI Act zugeordnet werden. Darauf aufbauend sollten Unternehmen ein Schulungskonzept entwickeln und die Teilnahme sowie die Inhalte dokumentieren.
Für Hochrisiko-Systeme sind technische Dokumentationen und Risikobewertungen zu erstellen. Außerdem müssen Kennzeichnungspflichten für KI-generierte Inhalte umgesetzt werden. Ein regelmäßiger Compliance-Check und interne Audits helfen dabei, mögliche Verstöße frühzeitig zu erkennen. Bei Unsicherheiten sollte juristischer Beistand eingeholt werden.
Wichtig ist auch: Der AI Act ersetzt nicht die Datenschutz-Grundverordnung (DSGVO). Unternehmen müssen weiterhin prüfen, ob personenbezogene Daten verarbeitet werden, und sicherstellen, dass sie auch die datenschutzrechtlichen Anforderungen erfüllen.
Fazit: Proaktiv handeln, Chancen nutzen
Der AI Act bringt grundlegende Veränderungen für alle, die KI-Systeme entwickeln, betreiben oder nutzen. Dabei stellt er nicht nur eine regulatorische Herausforderung dar, sondern bietet auch große Chancen: Er schafft Vertrauen in neue Technologien, fördert Innovationen und schützt Nutzer vor Risiken. Gleichzeitig verlangt er von Unternehmen ein hohes Maß an Verantwortung, Transparenz und Weitsicht. Wer frühzeitig handelt und klare Strukturen schafft, kann nicht nur rechtlichen Problemen vorbeugen, sondern auch einen Wettbewerbsvorteil sichern.
