KI-Gesetz (AI Act) der EU tritt in Kraft

Sep 27, 2024 von Patrick Schmid, Florence Gassmann

Der von der Europäischen Union erlassene Artificial Intelligence Act (Verordnung 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz) stellt einen wegweisenden Schritt in der Regulierung von AI-Systemen in Europa und darüber hinaus dar. Als einer der ersten umfassenden Versuche, AI zu regeln, legt der AI Act einen Rahmen fest, den Unternehmen, die mit dem EU-Markt interagieren oder dort tätig sind, einhalten müssen. In diesem Blogartikel lernen Sie die wesentlichen Aspekte des AI Acts kennen. Verschaffen Sie sich einen Überblick über die verschiedenen Risikokategorien, die der Act festlegt – und erfahren Sie, ob Ihre Produkte oder Dienstleistungen unter die KI-Verordnung fallen und was dies für Ihr Unternehmen bedeutet.

Was ist der AI Act?

Der AI Act ist eine Verordnung der Europäischen Kommission, die seit dem 02. August 2024 in Kraft ist und darauf abzielt, Künstliche Intelligenz (KI) bzw. Artificial Intelligence (AI) innerhalb der EU zu regulieren. Ziel der Verordnung ist es, sicherzustellen, dass AI-Technologien auf sichere, transparente Weise entwickelt und eingesetzt werden und grundlegende Menschenrechte respektieren. Es handelt sich um eine bahnbrechende Initiative, die weltweit als Massstab für die Regulierung von AI dienen könnte.

Wer muss den AI Act berücksichtigen?

Der AI-Act basiert auf einem risikobasierten Ansatz, was bedeutet, dass das Mass der Regulierung, dem ein AI-System unterliegt, von dem Risiko abhängt, das es für Einzelpersonen und die Gesellschaft darstellt. Dieser Ansatz versucht, Innovation mit Sicherheit und Verantwortlichkeit in Einklang zu bringen. Wenn Ihr Unternehmen AI-Systeme innerhalb der EU entwickelt, verkauft oder nutzt – oder mit den EU-Märkten interagiert –, müssen Sie die Vorgaben des AI Acts berücksichtigen. Dies betrifft:

  • Entwickler: Unternehmen, die AI-Systeme erstellen, insbesondere solche, die für risikobehaftete Anwendungen vorgesehen sind
  • Anbieter: Unternehmen, die AI-Dienste oder -Produkte auf dem EU-Markt anbieten, entweder direkt oder über Partner
  • Nutzer: Organisationen, die AI-Tools in ihren Betriebsabläufen einsetzen, insbesondere in kritischen Sektoren wie Gesundheitswesen, Finanzen oder öffentlichen Diensten

Auch wenn Ihr Unternehmen ausserhalb der EU ansässig ist, gilt der AI Act, wenn Sie AI-Systeme an Nutzer in der EU vermarkten oder bereitstellen.

Der aktuelle Stand des AI Acts

Der AI Act ist am 01. August 2024 offiziell in Kraft getreten. Das bedeutet, dass sich dieser nun in einer Übergangsphase befindet. Nachfolgende Anforderungen treten dabei Etappenweise in Kraft und der AI Act wird ab dem 01. August 2027 vollumfänglich Anwendung finden:

  • Ab Februar 2025: Anforderung für KI-Systeme mit inakzeptablen Risiken
  • Ab August 2025: Anforderungen für sogenannte “General Purpose AI” (GPAI), also Systeme, welche eine breite Palette an Aufgaben ausführen können
  • Ab August 2026: Anforderungen für KI-Systeme im Bereich der kritischen Infrastruktur, Bildung, Personalmanagement, öffentlichen Dienste, Strafverfolgung und mehr gemäss Anhang III

Um den Übergang zu diesem neuen Rechtsrahmen zu erleichtern, hat die Europäische Kommission den sogenannten KI-Pakt ins Leben gerufen. Diese freiwillige Initiative zielt darauf ab, die zukünftige Umsetzung des AI-Acts zu unterstützen. KI-Entwickler aus Europa und der ganzen Welt sind eingeladen, die wichtigsten Verpflichtungen des Gesetzes bereits vorzeitig zu erfüllen.

Verständnis der Risikokategorien

Der AI Act klassifiziert AI-Systeme in vier Risikokategorien:

  • Inakzeptables Risiko
  • Hohes Risiko
  • Begrenztes Risiko
  • Minimales oder kein Risiko

Jede Kategorie hat dabei spezifische regulatorische Anforderungen:

Inakzeptables Risiko
AI-Systeme, die ein klares Risiko für die Sicherheit, Lebensgrundlagen oder Rechte von Einzelpersonen darstellen, fallen in die Kategorie des untragbaren Risikos. Ein Beispiel hierfür sind AI-Systeme, die von Regierungen für soziale Bewertungssysteme verwendet werden oder solche, die menschliches Verhalten manipulieren oder Schwachstellen ausnutzen. Diese Systeme werden durch den AI Act verboten. Unternehmen müssen sicherstellen, dass sie keine AI-Technologien entwickeln oder einsetzen, die in diese Kategorie fallen.

Hohes Risiko
AI-Systeme, die erhebliche Auswirkungen auf Gesundheit, Sicherheit und grundlegende Rechte haben, werden als Hochrisiko-Systeme eingestuft. Dazu gehören AI-Systeme, die in kritischer Infrastruktur, biometrischer Identifizierung, medizinischen Diagnosen, Personalentscheidungen und der Strafverfolgung eingesetzt werden. Hochrisiko-AI-Systeme müssen strenge Anforderungen erfüllen, bevor sie eingesetzt werden dürfen. Diese Anforderungen umfassen:

  • das Implementieren von Risikomanagementsystemen, um potenzielle Probleme zu identifizieren und zu mindern
  • die Gewährleistung von qualitativ hochwertigen Datensätzen zur Vermeidung von Verzerrungen und Fehlern
  • die Aufrechterhaltung detaillierter Aufzeichnungen über das Design, die Entwicklung und die Leistung des AI-Systems
  • die Bereitstellung von Mechanismen für menschliches Eingreifen bei Bedarf
  • die Information der Nutzer darüber, dass sie mit einem AI-System interagieren

Begrenztes Risiko
AI-Systeme, die geringere Risiken darstellen, erfordern dennoch ein gewisses Mass an Transparenz und Verantwortlichkeit. Beispiele hierfür sind Chatbots oder automatisierte Entscheidungs-Tools in nicht-kritischen Bereichen. Unternehmen müssen Transparenz-Verpflichtungen einhalten, wie etwa die Information der Nutzer darüber, dass sie mit einem AI-System interagieren. Abhängig von der spezifischen Anwendung können zusätzliche Massnahmen erforderlich sein.

Minimales oder kein Risiko
AI-Systeme, die ein minimales oder kein Risiko für Sicherheit oder Rechte darstellen, fallen in diese Kategorie. Beispiele sind Spamfilter, AI-gestützte Suchmaschinen oder die meisten AI-gesteuerten Geschäfts-Tools. Diese Systeme sind grösstenteils von den Vorschriften des AI Acts ausgenommen, obwohl Unternehmen dennoch ermutigt werden, bewährte Verfahren bei der Entwicklung und dem Einsatz von AI zu befolgen.

Aktuelle Herausforderungen in der Auslegung

Ein zentrales Problem des AI Acts liegt in der unklaren und teilweise vagen Formulierung vieler Bestimmungen. Dies führt dazu, dass Unternehmen und Entwickler oft unsicher sind, wie genau die Regularien anzuwenden sind und welche Technologien in welche Risikoklassen fallen. Diese Unsicherheiten erschweren es den betroffenen Unternehmen, sich auf die neuen Vorschriften einzustellen, was zu Verzögerungen bei der Umsetzung führen kann.

Zusätzlich wird kritisiert, dass die umfangreichen Anforderungen, die mit dem AI Act einhergehen, sich auch negativ auf die Fortschritte im Bereich AI auswirken könnten. Gerade für kleinere und mittlere Unternehmen besteht die Sorge, dass die durch den AI Act erhöhten Compliance-Auflagen die Fähigkeit zur Entwicklung und Implementierung von KI-Lösungen massgeblich einschränken könnten.

Die vagen Formulierungen könnten dazu führen, dass Entscheidungen erst auf Basis von Präzedenzfällen und richterlichen Interpretationen getroffen werden müssen. Fraglich bleibt jedoch, ob diese gerichtlichen Entscheidungen tatsächlich dienlich für die Umsetzung des AI-Acts sein werden. Insbesondere vor dem Hintergrund, dass der AI Act einen horizontalen Ansatz verfolgt und somit nicht auf spezifische Branchenbedürfnisse eingeht.

Was bedeutet das für Sie?

Das Navigieren durch die Komplexität des AI Acts kann eine Herausforderung sein, ist aber unerlässlich für Unternehmen, die in der EU tätig sind. Als Partner bieten wir umfassende Dienstleistungen an, um Ihnen dabei zu helfen, festzustellen, ob Ihre Produkte oder Dienstleistungen unter den AI Act fallen, und um Sie durch den Compliance-Prozess zu führen.

Egal, ob Sie AI-Systeme entwickeln oder in Ihren Betriebsabläufen implementieren, wir unterstützen Sie dabei, die Anforderungen des AI Acts zu erfüllen und sicherzustellen, dass Ihre AI-Technologien sicher, transparent und vertrauenswürdig sind. Kontaktieren Sie uns noch heute, um mehr darüber zu erfahren, wie wir Ihr Unternehmen dabei unterstützen können, sich an das neue KI-Gesetz anzupassen.


< zurück