Am 12. Juli 2024 wurde das weltweit erste umfassende Regelwerk für künstliche Intelligenz im EU-Amtsblatt veröffentlicht und trat am 1. August 2024 in Kraft. Diese Regulierung bringt weitreichende Implikationen für alle Unternehmen, die KI-Systeme entwickeln oder einsetzen.
Die neue Definition von KI-Systemen
Grundlegend für das Verständnis des AI Acts ist seine Definition von KI-Systemen, die auf der OECD-Klassifikation basiert. Demnach sprechen wir von einem KI-System, wenn es sich um ein maschinengestütztes System handelt, das autonom operieren kann, sich nach der Einführung weiter anpassen kann und aus Eingaben eigenständig Ergebnisse generiert. Diese Ergebnisse können Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen sein und sowohl physische als auch virtuelle Umgebungen beeinflussen.
Besondere Beachtung verdienen dabei die KI-Modelle mit allgemeinem Verwendungszweck. Diese zeichnen sich durch ihre erhebliche allgemeine Verwendbarkeit aus und können ein breites Spektrum unterschiedlicher Aufgaben kompetent erfüllen. Für diese Systeme, zu denen beispielsweise große Sprachmodelle gehören, gelten spezifische Anforderungen, die bei systemischen Risiken noch verschärft werden.
Wer gilt als Betreiber unter dem AI Act?
Der Begriff des Betreibers ist bewusst weit gefasst: Jedes Unternehmen, das ein KI-System in eigener Verantwortung verwendet, gilt als Betreiber im Sinne des Gesetzes. Dies gilt unabhängig davon, ob das System zugekauft oder selbst entwickelt wurde. Einzig die private, nicht-berufliche Nutzung ist von dieser Definition ausgenommen.
Die Betreiberpflichten sind dabei umfassend: Sie müssen die Systeme gemäß der Gebrauchsanweisung einsetzen, Eingabedaten sorgfältig auswählen und den Betrieb überwachen. Öffentliche Einrichtungen und Anbieter öffentlicher Dienste müssen für bestimmte Hochrisiko-Systeme zudem eine Grundrechte-Folgenabschätzung durchführen.
Der Risikobasierte Regulierungsansatz und Transparenzpflichten
Der AI Act kategorisiert KI-Systeme in vier Risikoklassen: Systeme mit unannehmbarem Risiko sind grundsätzlich verboten, Hochrisiko-Systeme unterliegen strengen Auflagen, Systeme mit begrenztem Risiko müssen Transparenzanforderungen erfüllen, und Systeme mit minimalem Risiko bleiben weitgehend unreguliert.
Zu den verbotenen Praktiken gehören unter anderem Social Scoring-Systeme, Systeme zur kognitiven Verhaltensmanipulation sowie die biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen – wobei hier eng definierte Ausnahmen für die Strafverfolgung bestehen. Auch die Erstellung von Gesichtserkennungsdatenbanken durch ungezieltes Auslesen von Bildern aus dem Internet sowie Emotionserkennungssysteme am Arbeitsplatz und in Bildungseinrichtungen sind untersagt.
Hochrisiko-Systeme, die erlaubt aber stark reguliert sind, fallen in zwei Kategorien: Zum einen KI-Systeme als Sicherheitskomponenten in Produkten wie Medizingeräten oder Fahrzeugen, zum anderen eigenständige Systeme mit Auswirkungen auf Grundrechte, etwa in Bildung, Beschäftigung oder Kreditwürdigkeitsprüfung.
Die Transparenzanforderungen sind ebenfalls differenziert ausgestaltet: Bei der Interaktion mit KI-Systemen muss dies kenntlich gemacht werden, sofern es nicht offensichtlich ist. Synthetische Inhalte müssen maschinenlesbar gekennzeichnet werden, wobei rein unterstützende Funktionen ausgenommen sind. Besondere Informationspflichten gelten für Emotionserkennungssysteme und bei der Erstellung von Deepfakes.
Zeitlicher Rahmen der Umsetzung
Die Implementierung des AI Acts folgt einem klar strukturierten Zeitplan: Der erste wichtige Meilenstein ist der 2. Februar 2025, an dem die Verbote für besonders risikoreiche KI-Praktiken in Kraft treten. Im August 2025 folgen dann die Verpflichtungen für KI-Modelle mit allgemeinem Verwendungszweck. Ein Jahr später, im August 2026, wird der Hauptteil der Verordnung anwendbar. Den Abschluss bildet im August 2027 das Inkrafttreten der speziellen Regelungen für Hochrisikosysteme. Diese gestaffelte Einführung ermöglicht es Unternehmen, sich schrittweise auf die neuen Anforderungen einzustellen.
Konsequenzen bei Verstößen
Der AI Act sieht ein zweistufiges Sanktionssystem mit empfindlichen Strafen vor. Bei schwerwiegenden Verstößen gegen die grundlegenden Verbote der Verordnung drohen Geldbußen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für andere Verstöße gegen die Verordnung können Strafen von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes verhängt werden. Diese hohen Strafen unterstreichen die Bedeutung, die der europäische Gesetzgeber der Einhaltung der KI-Regulierung beimisst.
Handlungsbedarf für Unternehmen
Für Unternehmen ergibt sich aus dem AI Act ein umfassender Handlungsbedarf. An erster Stelle steht die gründliche Prüfung aller eingesetzten Systeme auf ihre Compliance-Anforderungen. Dies erfordert zunächst eine vollständige Bestandsaufnahme der implementierten KI-Anwendungen im Unternehmen. Parallel dazu muss die erforderliche Dokumentation erstellt werden, die den Einsatz und die Funktionsweise der Systeme transparent nachvollziehbar macht.
Ein weiterer zentraler Aspekt ist die Durchführung systematischer und nachvollziehbarer Risikobewertungen. Diese müssen für jedes eingesetzte KI-System vorgenommen werden und sind regelmäßig zu aktualisieren. Die Ergebnisse dieser Bewertungen bestimmen maßgeblich die weiteren erforderlichen Maßnahmen.
Die technische Umsetzung der Compliance-Anforderungen bildet den praktischen Kern der Implementierung. Hier müssen Unternehmen sicherstellen, dass ihre Systeme alle regulatorischen Vorgaben erfüllen und dies auch nachweisen können.
Technische Umsetzung der Compliance-Anforderungen
Die technische Compliance-Umsetzung umfasst mehrere zentrale Komponenten: Zunächst müssen automatische Kennzeichnungssysteme implementiert werden, die KI-generierte Inhalte zuverlässig als solche markieren. Diese Kennzeichnung muss sowohl für Menschen erkennbar als auch maschinenlesbar sein.
Integrierte Dokumentationssysteme bilden das Rückgrat der Compliance-Nachweise. Sie müssen alle relevanten Informationen über die KI-Systeme, ihre Entwicklung, Testung und ihren Einsatz erfassen und archivieren. Vorbereitete Templates für Konformitätsbewertungen unterstützen dabei, die Dokumentation standardisiert und vollständig zu erstellen.
Die kontinuierliche Überwachung der Compliance wird durch automatisierte Checks und Risikoanalysen gewährleistet. Diese Tools überprüfen fortlaufend die Einhaltung der Vorgaben und identifizieren potenzielle Risiken frühzeitig.
Ein wichtiger Baustein ist auch die Förderung der KI-Kompetenz durch gezielte Schulungsmodule. Mitarbeiter müssen verstehen, wie die eingesetzten Systeme funktionieren und welche regulatorischen Anforderungen zu beachten sind.
Monitoring-Tools für die kontinuierliche Compliance runden das technische Framework ab. Sie ermöglichen es, die Einhaltung der Vorgaben fortlaufend zu überprüfen und bei Bedarf zeitnah Anpassungen vorzunehmen.
Fazit und Ausblick
Die zweijährige Übergangsfrist bis zur vollständigen Anwendbarkeit des AI Acts bietet die Chance zur systematischen Vorbereitung. Bei 42grad GmbH ermöglichen wir es Unternehmen, die regulatorischen Anforderungen für ihre KI-Systeme effizient zu erfüllen und sich dabei auf ihre Kernkompetenzen zu konzentrieren. Unsere Plattform entwickelt sich kontinuierlich weiter, um die unterstützten Anwendungsfälle optimal abzudecken. Der Schlüssel zum Erfolg liegt in der Kombination aus technischer Expertise und regulatorischem Know-how – genau das bieten wir unseren Kunden für ihre KI-Projekte.