Support
Kontakt
EU AI Act erklärt: Neue Regeln für künstliche Intelligenz in Europa
KATEGORIEN | Allgemein | IT-Sicherheit
Lesezeit: 4 min

Künstliche Intelligenz (KI) hat in den letzten Jahren enorme Fortschritte gemacht und ist aus vielen Bereichen des täglichen Lebens nicht mehr wegzudenken. Während KI große Chancen bietet, birgt sie auch Risiken, insbesondere in den Bereichen der Sicherheit, Transparenz und Ethik. Um diesen Herausforderungen zu begegnen, hat die Europäische Union den EU AI Act eingeführt. Dieser stellt das weltweit erste umfassende Regelwerk für den Einsatz und die Entwicklung von KI dar. Ziel ist es, klare Rahmenbedingungen zu schaffen, Innovationen zu fördern und gleichzeitig grundlegende Rechte zu schützen. Die Verordnung verfolgt einen risikobasierten Ansatz, der KI-Systeme je nach Gefährdungspotenzial unterschiedlichen Anforderungen unterstellt.

Warum braucht Europa eine KI-Regulierung?

Die zunehmende Automatisierung und algorithmische Entscheidungsfindung werfen kritische Fragen zur Fairness und Verantwortung auf. Ohne regulatorische Kontrolle könnten KI-Systeme Diskriminierung verstärken oder Entscheidungen treffen, die sich der menschlichen Kontrolle entziehen. Ein Beispiel hierfür sind automatisierte Systeme im Finanzsektor, die Kreditanträge ablehnen, ohne dass die betroffenen Personen die Entscheidungslogik nachvollziehen können. Mit dem EU AI Act sollen diese und ähnliche Probleme adressiert werden. Dabei steht der Schutz von Verbraucherrechten ebenso im Fokus wie die Schaffung eines einheitlichen Rechtsrahmens für Unternehmen, um Innovation und Wettbewerb innerhalb der EU zu gewährleisten.

 

Die Kernpunkte des EU AI Acts

Der EU AI Act unterscheidet zwischen verschiedenen Risikoklassen und verpflichtet Unternehmen, je nach Gefahrenpotenzial ihrer Systeme unterschiedliche Anforderungen zu erfüllen.

Verbotene KI-Praktiken

Bestimmte Anwendungen, die als unannehmbar risikobehaftet gelten, werden grundsätzlich untersagt. Dazu gehören unter anderem:

    • Echtzeit-Biometrie-Überwachung im öffentlichen Raum ohne explizite Genehmigung
    • Social Scoring nach chinesischem Vorbild, das Bürger anhand ihres Verhaltens bewertet
    • Manipulative Systeme, die gezielt menschliche Entscheidungen beeinflussen sollen

Hochriskante KI-Systeme

KI-Anwendungen in sicherheitskritischen Bereichen wie Gesundheitswesen, Justiz oder öffentlicher Verwaltung unterliegen strengen Vorschriften. Sie müssen Transparenz- und Dokumentationspflichten erfüllen sowie Mechanismen zur Risikoüberwachung implementieren. Dies bedeutet, dass Entwickler sicherstellen müssen, dass ihre Algorithmen nachvollziehbar und frei von Diskriminierung sind.

Begrenztes Risiko: Transparenzpflichten für KI

Systeme, die in den Bereich der generativen oder interaktiven KI fallen – etwa Chatbots oder Deepfakes – unterliegen besonderen Transparenzanforderungen. Nutzer müssen erkennen können, dass sie mit einer KI interagieren, und synthetische Inhalte müssen entsprechend gekennzeichnet sein. So soll verhindert werden, dass KI-generierte Informationen als authentische Inhalte missverstanden werden.

Minimales Risiko: Unkritische KI-Anwendungen

Systeme mit geringem Risiko, wie etwa Spam-Filter oder Empfehlungssysteme in Onlineshops, unterliegen keinen besonderen Beschränkungen. Sie können weiterhin ohne gesonderte Prüfung oder behördliche Genehmigung betrieben werden, solange sie den allgemeinen rechtlichen Rahmen nicht verletzen.

 

Pflichten für Unternehmen und Entwickler gemäß AI Act

Unternehmen, die KI-Systeme in der EU entwickeln oder nutzen, müssen umfangreiche regulatorische Anforderungen erfüllen. Dazu gehört die Durchführung einer Risikoanalyse, bevor ein KI-System auf den Markt gebracht wird. Dies gilt insbesondere für sogenannte hochriskante Anwendungen, die erhebliche Auswirkungen auf die Sicherheit oder Grundrechte haben können.

Zudem bestehen strenge Dokumentations- und Berichtspflichten, um eine lückenlose Nachvollziehbarkeit des KI-Systems zu gewährleisten. Unternehmen müssen sicherstellen, dass ihre KI-Anwendungen den geltenden Transparenzvorgaben entsprechen. Dies betrifft insbesondere generative oder interaktive KI-Systeme, die klar als solche erkennbar sein müssen.

Ein weiterer zentraler Punkt ist die Durchführung eines Konformitätsbewertungsverfahrens, das überprüft, ob ein KI-System den Anforderungen der EU-Vorschriften entspricht. Ohne diesen Nachweis darf das System nicht in Betrieb genommen werden. Hochriskante KI-Anwendungen benötigen zudem eine CE-Kennzeichnung, die bestätigt, dass sie die europäischen Sicherheitsstandards erfüllen.

 

KI-Kompetenz: Schulungspflichten für Mitarbeitende

Mit Artikel 4 des AI Act sind Unternehmen dazu verpflichtet, Maßnahmen zu ergreifen, um sicherzustellen, dass alle Personen, die mit KI-Systemen arbeiten oder sie nutzen, über die notwendige KI-Kompetenz verfügen. Dazu gehören:

  • Personen, die KI-Systeme entwickeln: Diese benötigen vertiefte technische Kenntnisse über KI-Modelle, Trainingsdaten, Bias-Reduktion und Sicherheitsmaßnahmen.
  • Personen, die KI-Systeme betreiben: Dazu zählen Administratoren oder IT-Fachkräfte, die das System warten und dessen Funktionsfähigkeit sicherstellen müssen.
  • Personen, die KI-Systeme im Unternehmen nutzen: Das betrifft alle Mitarbeitenden, die in irgendeiner Form mit der KI interagieren – von automatisierten Kundenservices bis hin zu KI-gestützten Entscheidungsprozessen.

Der genaue Schulungsumfang hängt von der Risikostufe des KI-Systems, der technischen Vorkenntnis der Mitarbeitenden sowie dem spezifischen Einsatzbereich ab. Führungskräfte, Projektteams oder Auszubildende benötigen unterschiedliche Schulungsinhalte.

 

Mindestanforderungen an Schulungsinhalte

Zwar gibt der AI Act keine verbindlichen Mindestanforderungen an Schulungsinhalte vor, jedoch werden folgende Themen empfohlen:

Grundlagen der KI-Kompetenz:

  • Verständnis der Funktionsweise von KI:
    • Anwendungsbereiche und typische Einsatzszenarien
    • Chancen und Herausforderungen von KI-Systemen
  • Regulatorische und rechtliche Aspekte:
    • Datenschutz (DSGVO), Urheberrecht, Arbeitsrecht
    • Sicherheitsanforderungen und Compliance-Vorgaben
    • Risikobewertung und Meldepflichten bei Fehlfunktionen
  • Technische Schulungen für Entwickler und Betreiber:
    • Trainingsmethoden für KI-Modelle
    • Bias-Reduzierung und Fairness in Algorithmen
    • Einsatz und Evaluierung von Trainingsdaten
    • Sicherheitsrisiken und Schutzmaßnahmen
  • Praktische Anwendung und Best Practices:
    • Schulungen zu spezifischen unternehmensinternen KI-Systemen
    • Prompting-Workshops für generative KI-Systeme
    • Regelmäßige Tests und Evaluierungen von KI-Systemen
    • Erfahrungsaustausch und interne Best Practices

Ein praxisorientierter Ansatz ist besonders wichtig, um sicherzustellen, dass die Mitarbeitenden das Gelernte im Arbeitsalltag direkt anwenden können.

 

Nachweise und Dokumentation der Schulungen

Unternehmen sind nicht nur verpflichtet, Schulungen durchzuführen, sondern auch deren Umsetzung nachweislich zu dokumentieren. Dazu gehören:

  • Eine schriftliche KI-Strategie mit klaren Vorgaben für die Nutzung von KI
  • Interne KI-Richtlinien, die für alle Mitarbeitenden zugänglich sind
  • Ein Schulungskonzept, das die Inhalte, Zeiträume und Zielgruppen festlegt
  • Teilnehmerlisten und Schulungsprotokolle, die dokumentieren, wann und durch wen eine Schulung durchgeführt wurde

Bisher gibt es keine zertifizierten Nachweise oder standardisierte Zertifizierungen, die Unternehmen ausstellen müssen. Falls harmonisierte Normen oder Standards entwickelt werden, können diese über Organisationen wie ISO oder CENCENELEC eingesehen werden.

 

Fristen für die Umsetzung der Vorschriften

Der AI Act tritt schrittweise in Kraft. Sechs Monate nach Inkrafttreten des Gesetzes – also ab dem 2. August 2025 – müssen Unternehmen sicherstellen, dass ihr Personal über die erforderliche KI-Kompetenz verfügt.

Unternehmen sollten daher frühzeitig mit der Implementierung beginnen, um die Anforderungen rechtzeitig zu erfüllen. Ein detaillierter Zeitplan zur Umsetzung ist auf der Website der RTR abrufbar: RTR KI-Servicestelle.

 

Überwachung und Sanktionen

Zur Sicherstellung der Einhaltung des EU AI Acts wird ein neues “AI Office” auf EU-Ebene geschaffen, das die Regulierung koordiniert und die nationalen Behörden bei der Umsetzung unterstützt. Unternehmen, die gegen die Vorgaben verstoßen, müssen mit erheblichen Strafen rechnen. Die Höhe der Bußgelder kann bis zu 7 % des weltweiten Jahresumsatzes betragen, was vergleichbar mit den Strafen unter der Datenschutzgrundverordnung (DSGVO) ist.

 

Internationale Vergleiche: Wie regulieren andere Länder KI?

Während die EU mit dem AI Act ein striktes Regelwerk vorgibt, verfolgen andere Staaten unterschiedliche Ansätze:

  • USA: Setzt auf freiwillige Standards und branchenspezifische Richtlinien, ohne eine einheitliche KI-Gesetzgebung.
  • China: Verfügt über eine strenge staatliche Kontrolle und schreibt Entwicklern detaillierte Vorgaben zur KI-Nutzung vor.
  • Großbritannien: Verfolgt einen flexibleren, praxisnahen Ansatz, der sich stärker an branchenspezifischen Regulierungen orientiert.

Während die EU auf ein stark reguliertes Umfeld setzt, um Missbrauch und ethische Verstöße zu verhindern, möchten andere Regionen Innovationen nicht durch zu strikte Vorgaben behindern. Dies könnte langfristig Einfluss darauf haben, wo Unternehmen ihre KI-Entwicklung priorisieren.

 

Zeitplan: Wann tritt der AI Act in Kraft?

Der EU AI Act wird schrittweise umgesetzt. Der Zeitplan für das Jahr 2025 sieht wie folgt aus:

  • 2. Februar 2025: Anwendung der Verbote bestimmter KI-Systeme und der Anforderungen an die KI-Kompetenz.
  • 2. Mai 2025: Fertigstellung der Verhaltenskodizes durch die Europäische Kommission.
  • 2. August 2025:
    • Beginn der Anwendung der Bestimmungen zu benannten Stellen, Regelungen für allgemeine KI-Modelle, Governance-Strukturen, Vertraulichkeitsbestimmungen und Sanktionsregelungen.
    • Anbieter von allgemeinen KI-Modellen, die vor diesem Datum in Verkehr gebracht oder in Betrieb genommen wurden, müssen bis zum 2. August 2027 konform sein.
    • Frist für die Mitgliedstaaten zur Benennung der zuständigen nationalen Behörden und zur öffentlichen Bekanntmachung der Kontaktdaten.
    • Mitgliedstaaten müssen der Kommission über den Stand der finanziellen und personellen Ressourcen der zuständigen nationalen Behörden berichten (danach alle zwei Jahre).
    • Frist für die Mitgliedstaaten zur Festlegung von Regeln für Sanktionen und Geldbußen, zur Mitteilung an die Kommission und zur Sicherstellung ihrer ordnungsgemäßen Umsetzung.

Im Jahr 2026 werden weitere Maßnahmen zur Umsetzung des Gesetzes folgen, darunter verschärfte Anforderungen für Hochrisiko-KI-Systeme sowie verstärkte Kontrollmechanismen durch nationale Behörden und das AI Office der EU.

 

Fazit: Auswirkungen des EU AI Acts auf die Zukunft der KI

Der EU AI Act ist ein bedeutender Schritt zur Regulierung künstlicher Intelligenz und setzt neue Maßstäbe für den ethischen Umgang mit KI-Technologien. Unternehmen sollten sich frühzeitig mit den neuen Vorschriften vertraut machen und ihre Systeme anpassen, um die Compliance sicherzustellen. Obwohl die Verordnung Herausforderungen mit sich bringt, schafft sie auch ein sicheres und vertrauenswürdiges Fundament für die künftige Nutzung von KI in Europa. Die nächsten Jahre werden zeigen, ob die Balance zwischen Regulierung und Innovationsförderung gelingt oder ob Anpassungen notwendig sind, um Europa als attraktiven KI-Standort wettbewerbsfähig zu halten.

 

Noch Fragen? Wir freuen uns darauf, von Ihnen zu hören!

Jetzt Termin vereinbaren und durchstarten!

Kategorien