Mit dem am 12. Juli im Amtsblatt veröffentlichten EU AI-Act wurde in Europa der weltweit erste umfassende Rechtsrahmen für KI geschaffen. In dem folgenden Beitrag stellen wir den EU AI-Act vor und beleuchten, welche Anforderungen Unternehmen beachten müssen sowie, welche Privilegierungen KMU (kleine und mittlere Unternehmen) genießen.
Was genau ist der EU AI-Act?
Der EU AI-Act (Artificial Intelligence Act – AIA) ist die europäische Verordnung zur Künstlichen Intelligenz (KI). Bei einer europäischen Verordnung handelt es sich um einen Rechtsakt der Europäischen Union mit allgemeiner Gültigkeit und unmittelbarer Wirksamkeit in den Mitgliedstaaten. Im Unterschied zur EU-Richtlinie bedarf die Verordnung nicht der Umsetzung durch die Mitgliedstaaten, d. h. es ist nicht notwendig, dass nationale Parlamente den Inhalt der Verordnung in ein Gesetz gießen. Die Verordnung gilt so, wie sie erlassen wurde direkt.
Der AIA verfolgt bei der Regulierung von KI einen risikobasierten Ansatz. AI-Systeme werden vier Risikokategorien zugeteilt; unannehmbares Risiko, hohes Risiko, begrenztes Risiko und kein Risiko. Neben den bereits genannten risikobasierten Anforderungen bestehen Anforderungen an Allzweck-KI (General Purpose AI – GPAI). Diese Allzweck-KI-Systeme werden wiederum danach unterschieden, ob ein systemisches Risiko besteht oder nicht. Jede der genannten Risikokategorien korrespondiert mit Anforderungen an die KI-Systeme. Dabei steigen die Anforderungen proportional zum Risiko, welches die Systeme für den Menschen darstellen. Für die Bestimmung der Anforderungen an das System muss dieses also in eine der dargestellten Risikokategorien eingeordnet sein. Anforderungen des AIA an KI-Modelle können je nach System vom (freiwilligen) Einhalten von Verhaltenskodizes über Dokumentations- und Transparenzpflichten bis hin zum Verbot des Systems reichen. Anbieter von Allzweck-KI-Modellen können die Einhaltung ihrer Verpflichtungen nachweisen, indem sie einem noch zu entwickelnden Verhaltenskodex folgen.
Die Tabelle stellt die verschiedenen Risikostufen, in welche AI-Systeme eingeordnet werden, dar und umreißt beispielhaft Systeme sowie die wichtigsten Anforderungen des AIA an diese.
| Anforderungen | Risikoklasse | Beschreibung | Regulierung | Beispiel |
|---|---|---|---|---|
 |
inakzeptabel | Bedrohung grundlegender Rechte | Verbot | Social Scoring |
| hoch | potenziell hohes Risiko für Betroffene | weitreichende Anforderungen | Kreditwürdigkeitsprüfung | |
| systemisch | Allzweck-KI | weitgehende Transparenz- und Dokumentationspflichten | ChatGPT-4 oder Gemini | |
| begrenzt | Interaktion mit Menschen (und Allzweck-KI ohne systemisches Risiko) | Transparenzpflicht | Chatbots (GPT-3) | |
| minimal | alle anderen Systeme | keine rechtlichen Anforderungen | Spamfilter |
Wer wird durch den AIA verpflichtet?
Durch den AIA werden vor allem die Anbieter von KI verpflichtet. Bei Anbietern handelt es sich um die Unternehmen, die entweder außerhalb der EU entwickelte Systeme unter eigenem Namen oder eigener Marke in der EU auf den Markt bringen oder KI-Systeme entwickeln oder entwickeln lassen (Art. 2 AIA). Es gilt also das Marktortprinzip. Der AIA kommt immer zur Anwendung, wenn das Ziel der KI bzw. des KI-Outputs der europäische Raum ist. Hierdurch soll verhindert werden, dass die Entwicklung von KI, welche in der EU zur Anwendung kommt, mit dem Ziel der Umgehung der Vorschriften des AIA in außereuropäische Länder verlagert wird.
Neben den Plichten für Anbieter bestehen Pflichten für Betreiber von KI-Systemen. Hiermit sind alle Unternehmen gemeint, die KI-Systeme eigenverantwortlich verwenden (Art. 2 AIA). Zu der Verwendung zählt auch der Eigenbetrieb von KI auf fremder Infrastruktur (Infrastructure as a Service – IaaS). Damit besteht immer die Möglichkeit, dass neben Unternehmen, die KI-Systeme entwickeln auch Unternehmen, die derartige Systeme vertreiben und Unternehmen, die KI in ihren Arbeitsprozessen einsetzen, von den Regelungen des AIA betroffen sind. Auch in KMU bestehen verschiedene mögliche Anwendungsfelder für KI wie etwa Kundenservice und Support, personalisierte Werbung, Automatisierung von Geschäftsprozessen oder Predictive Analytics (Predictive Maintenance, Betrugserkennung, Optimierung in der Lieferkette, Personalmanagement und Rekrutierung etc.). Vom AIA sind daher weitaus mehr Unternehmen betroffen, als es auf den ersten Blick erscheinen mag.
Was müssen Unternehmen beachten?
In einem ersten Schritt gilt es daher zu prüfen, ob und wo KI im eigenen Unternehmen eine Rolle spielt (etwa beim Vertrieb der eigenen Produkte). Ist die KI identifiziert, muss anhand der spezifischen KI sowie der Art und des Umfangs ihres Einsatzes ein individueller Pflichtenkatalog erarbeitet werden.
Mit der Analyse der Anforderungen, welche der AIA an das eigene Unternehmen stellt, sollte sofort begonnen werden, denn das Risiko für Unternehmen aufgrund der nicht rechtzeitigen Umsetzung ist groß. Der AI-Act droht, je nach Art des Verstoßes, Sanktionen von bis zu 35 Millionen Euro oder sieben Prozent des Jahresumsatzes an. Dabei richtet sich die Höhe der Sanktionen nach dem Grundsatz der Verhältnismäßigkeit nach Größe und Geschäftszweck des Unternehmens (Art. 99 AIA). Die Systematik der Sanktionen nach dem AIA entspricht folglich der bereits aus der Datenschutzgrundverordnung (DSGVO) bekannten.
Die Tabelle stellt verschiedene Verstöße gegen den AIA sowie die damit verbundene Höhe der Sanktion dar.
| Verstoß | Sanktion |
|---|---|
| Anwendung verbotener KI-Systeme | Bis 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes |
| Verstöße gegen die Verpflichtungen des AIA | Bis 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes |
| Angabe falscher Informationen | Bis 7,5 Mio. Euro oder 1 % des weltweiten Jahresumatzes |
Privilegierung von KMU im AIA
Der AIA gilt – wie bereits dargelegt – für Unternehmen unabhängig von ihrer Größe. Nichtsdestotrotz bestehen für KMU einige Privilegierungen (Art. 62 AIA). KMU erhalten etwa vorrangigen Zugang zu sog. KI-Reallaboren, Sensibilisierungs- und Schulungsmaßnahmen seitens der Mitgliedstaaten, eine Gebührenerleichterung bei Konformitätsbewertungen sowie eine Erleichterung bei der Vorlage von technischen Unterlagen. Die Art sowie die Möglichkeit der Anwendbarkeit der Privilegierung richtet sich nach den Anforderungen an das spezifische KI-System, welche wiederum von der Eingruppierung in eine bestimmte Risikoklasse abhängen (s. o.).
Ab wann gilt der AIA?
Nach dem Inkrafttreten gilt der AIA abhängig von der Risikoklasse nach einer bestimmten Frist. Für verbotene Systeme beträgt die Frist lediglich 6 Monate, für Allzweck-KI 12 Monate, für AI-Systeme mit hohem Risiko 24 Monate und für AI-Systeme mit begrenztem Risiko 36 Monate. Auch hier zeigt sich wiederum, wie zentral die Einordnung des Systems in eine der Risikokategorien im Rahmen des AIA ist. Sie bestimmt neben den Anforderungen an das System ebenfalls den Anfangszeitpunktes der Geltung des AIA für das bestimmte KI-System.
Zusammenfassung und Fazit
Der AIA ist die erste umfassende Verordnung der Europäischen Union, die einen Rechtsrahmen für Künstliche Intelligenz schafft. Nach dem risikobasierten Ansatz steigen die Anforderungen an KI proportional mit dem Risiko, welches sie für den Menschen darstellt. Die Klassifizierung der KI in eine der Risikostufen des AIA ist damit Voraussetzung für die richtige Einschätzung der Anforderungen des AIA an das System. Da die Nichteinhaltung der Vorschriften zu hohen Sanktionen führen kann, sollten Unternehmen prüfen, ob und wo KI in ihren Prozessen eingesetzt wird und anhand der Anforderungen des AIA einen individuellen Pflichtenkatalog erstellen. Aufgrund der je nach Risikostufe der KI unter Umständen knapp bemessenen Frist bis zur Geltung des AIA, sollte bezüglich der Umsetzung keine Zeit verloren werden.
