EU AI Act Übersicht

Was ist die KI-Verordnung (EU AI Act)?

Die im April 2021 von der Europäischen Kommission vorgestellte EU-Verordnung über Künstliche Intelligenz (EU AI Act) ist die erste ihrer Art und schafft einen rechtlichen Rahmen, der den Einsatz von KI-Systemen in der gesamten EU regulieren soll, um die Sicherheit, Verlässlichkeit und Transparenz von KI-Systemen zu gewährleisten. Ziel der Europäischen Union ist es, sicherzustellen, dass der Einsatz von KI im Einklang mit bestehenden Gesetzen zu Grundrechten und den Werten der Union steht.

Da verschiedene Anwendungen von KI unterschiedliche Risiken bergen, verfolgt das Gesetz einen risikobasierten Ansatz, der in eine sektorübergreifende Regulierung mündet:

• Inakzeptables Risiko: Verbotene KI-Systeme (z. B. Social Scoring, biometrische Fernidentifikation oder unterschwellige Beeinflussung)
• Hohes Risiko: Hochrisiko-Systeme mit strengen Auflagen (z. B. KI in der Personalrekrutierung, Strafverfolgung, im Finanz- und Versicherungswesen, bei der biometrischen Identifikation oder als sicherheitsrelevante Komponenten in regulierten Systemen wie etwa Medizinprodukten)
• Begrenztes Risiko: Erlaubte Systeme mit geringen gesetzlichen Anforderungen (z. B. Interaktion mit einem Chatbot, Deepfakes)
• Niedriges Risiko: Erlaubte Systeme mit freiwilligen Auflagen (z. B. Spamfilter)

Je nach Risikoklasse eines KI-Systems kann dessen Einsatz verboten sein, müssen spezifische Anforderungen erfüllt werden, oder Nutzerinnen und Nutzer müssen über die Interaktion mit der KI informiert werden. Dies gilt für alle KI-Systeme, die natürliche Personen in der EU betreffen. Mehr zur Einstufung von KI-Risiken erfahren Sie in diesem Artikel.

Definition von Künstlicher Intelligenz in der KI-VO

Die EU einigte sich auf eine neue, umfassendere Definition, die mit der Definition der OECD im Einklang steht. Demnach wird ein KI-System im Sinne des EU AI Acts nun als ein maschinengestütztes System verstanden, das auf Basis von Eingaben, die es erhält, Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugt, die physische oder virtuelle Umgebungen beeinflussen. Diese Systeme können sich hinsichtlich ihres Grades an Autonomie und Anpassungsfähigkeit unterscheiden.

Zuvor definierte die EU ein KI-System als eine Software, die mithilfe von maschinellem Lernen oder logik- und wissensbasierten Ansätzen entwickelt wurde und Inhalte, Vorhersagen, Empfehlungen, Entscheidungen oder ähnliche Ausgaben erzeugt, die Einfluss auf die Umgebung haben, mit der das System interagiert, einschließlich KI-Systemen, die Teil eines Hardware-Geräts sein können. Diese Definition wurde von vielen Akteuren im KI-Ökosystem stark kritisiert, da sie auch einfachere Systeme umfassen konnte, die nicht als KI im engeren Sinne gelten.

Die Bedeutung der KI-VO für unsere Gesellschaft

Die EU möchte sicherstellen, dass Bürgerinnen und Bürger vor möglichen negativen Auswirkungen von KI geschützt sind. Ziel des EU AI Acts ist es daher unter anderem, sicherzustellen, dass Organisationen, die KI zur Entscheidungsfindung einsetzen, keine Diskriminierung gegenüber Menschen ausüben und dass solche Systeme keine Verzerrungen (Bias) gegenüber bestimmten Gruppen, etwa aufgrund von Ethnie, Geschlecht, Religion oder anderen Merkmalen, aufweisen.

Organisationen, die KI-Systeme verwenden, müssen jede Entscheidung, inklusive des dahinterliegenden Entscheidungsprozesses, nachvollziehbar erklären können. Das stellt für viele Unternehmen eine große Herausforderung dar, da die derzeitigen KI-Entwicklungsprozesse oft fragmentiert und nicht transparent sind. Es wird daher für viele Organisationen notwendig sein, Lösungen zu entwickeln, die strukturierte und transparente Abläufe ermöglichen.

Der EU AI Act räumt betroffenen Personen zudem das Recht ein, algorithmisch getroffene Entscheidungen anzufechten und eine Überprüfung durch die verantwortliche Organisation zu verlangen. Das verstärkt die Konsequenzen, welche die KI-Verordnung nach sich zieht, und erhöht den Druck auf Organisationen, sich auch aus Haftungsgründen auf transparente, sichere und prüfbare KI-Systeme zu fokussieren.

‍

Aktueller Stand und Zeitplan der KI-VO

Die KI-Verordnung ist seit August 2024 wirksam. Nun müssen harmonisierte Standards entwickelt und von jedem Mitgliedsstaat in nationales Recht überführt werden.

Für die verschiedenen Bestimmungen und Pflichten gelten gestaffelte Zeitpläne:

• Seit Februar 2025 sind die Regelungen zu verbotenen KI-Systemen (Artikel 5) sowie die Anforderungen an KI-Kompetenz (Artikel 4) für Organisationen in Kraft.
• Ab August 2025 müssen Anbieter von GPAI-Systemen (General Purpose AI) die neuen regulatorischen Anforderungen erfüllen.
• Ab August 2025 werden alle weiteren Vorschriften der KI-VO wirksam.
• Für Anbieter von Hochrisiko-KI-Systemen, die bereits durch andere Rechtsvorschriften reguliert sind – etwa im Bereich Medizinprodukte, Fahrzeuge oder Maschinen (siehe Anhang I des EU AI Acts) – gilt eine verlängerte Übergangsfrist von 36 Monaten nach Verabschiedung, also bis August 2027.

‍

Hochrisiko-Anwendungen im EU AI Act

KI-Systeme, die als hochriskant eingestuft werden, dürfen weiterhin entwickelt und eingesetzt werden – vorausgesetzt, sie erfüllen die vorgeschriebenen Anforderungen. Dazu gehört insbesondere eine sogenannte „Konformitätsbewertung“ (Audit), mit der sichergestellt wird, dass das entwickelte KI-System den Vorgaben des EU AI Acts entspricht. Diese Bewertung muss bei wesentlichen Änderungen am System erneut durchgeführt werden.

Darüber hinaus ist es verpflichtend, die Risiken und die Qualität des Systems während des Betriebs fortlaufend zu überwachen. Dies umfasst unter anderem:

• Bewertung der Auswirkungen auf Grundrechte ("Fundamental Rights Impact Assessment")
• Technische Dokumentation und Aufzeichnungspflichten
• Menschliche Aufsicht
• Daten-Governance
• Präzise, robuste und sichere Modelle
• Transparenz in Bezug auf das Modell und seine Ausgaben.

Bei Nichteinhaltung der Vorgaben der KI-VO können Bußgelder in Höhe von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes der Organisation geahndet werden. Wer falsche oder unvollständige Informationen an Behörden übermittelt, riskiert Strafen von bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes. Für kleine und mittlere Unternehmen sowie Start-ups können die Höchststrafen aber gedeckelt werden.

Weitere Informationen zu den konkreten Anforderungen finden Sie in diesem Artikel.

‍

Was Unternehmen jetzt tun können

Auch wenn die Auswirkungen der KI-Verordnung für manche Organisationen drastisch und kostenintensiv sein werden, gibt es eine gute Nachricht: Es bleibt noch ausreichend Zeit, um sich vorzubereiten und bestehende KI-Systeme an die neuen gesetzlichen Anforderungen anzupassen. Es ist jedoch entscheidend, so früh wie möglich zu beginnen, um sicherzustellen, dass die aktuell eingesetzten oder entwickelten KI-Systeme zum Zeitpunkt des Inkrafttretens der KI-VO rechtskonform sind. Andernfalls besteht das Risiko, dass sie abgeschaltet werden müssen oder es drohen hohe Bußgelder.

Wie bereits erwähnt, verfolgt die EU mit ihrer KI-Strategie das Ziel, vertrauenswürdige KI zu schaffen. Ein zentrales Element dabei ist Transparenz in allen Phasen der Entwicklung. Das erleichtert nicht nur die Einhaltung der gesetzlichen Vorgaben, sondern sorgt auch dafür, dass alle Beteiligten im Entwicklungsprozess ein gemeinsames Verständnis haben.

Wir bei trail möchten, dass Sie den gesamten Entwicklungsprozess vollständig nachvollziehen können – unabhängig davon, ob Sie einen technischen Hintergrund haben oder nicht. Informieren Sie sich hier, wie wir Sie bei der Dokumentation, Audits und der Einhaltung der KI-VO schon während der Entwicklung unterstützen können.

‍