Der Startschuss für den EU AI Act ist gefallen: Das Gesetz ist seit August in Kraft. Unternehmen haben nun sechs Monate Zeit, inakzeptable KI-Systeme zu identifizieren und Risiken zu mitigieren. Zwölf Monate bleiben, um entwickelte generative KI (GenAI) zu prüfen. Bei Verstößen gegen das Gesetz drohen empfindliche Strafen. Wer rechtzeitig compliant sein möchte, braucht Orientierung, was genau zu tun ist, einen Überblick über eingesetzte Systeme und – noch wichtiger – überhaupt ein Bewusstsein darüber, vom AI Act betroffen zu sein.

GenAI ist im Arbeitsalltag angekommen. 65 Prozent der Erwerbstätigen in Deutschland haben sie im Job zumindest schon ausprobiert, 37 Prozent arbeiten regelmäßig damit. Das ergibt eine repräsentative Umfrage im Auftrag von Sopra Steria vom April 2024. Und es gibt wenige Unternehmen und Verwaltungen, in denen nicht irgendwo KI verbaut ist und mithilft, sei es im Kundenservice, beim Datenmanagement oder bei der Textanalyse. 55 Prozent der Unternehmen setzen KI ein oder planen es, zeigt eine Befragung der Stiftung Familienunternehmen. Es sind somit nicht nur Konzerne, die auf KI setzen.

Der KI-Einsatz ist nicht frei von Risiken. Dazu zählt beispielsweise die ungewollte Diskriminierung, etwa bei der KI-unterstützten Kreditvergabe durch Banken. Die EU zielt mit dem AI Act darauf ab, diese Risiken zu beherrschen und beispielsweise zu verhindern, dass Menschen mithilfe der Technologie manipuliert werden, schwächere Zielgruppen wie Kinder ausgenutzt werden oder das Erkennen von Emotionen mithilfe von KI zu Beeinflussung und Kontrolle führt . Mit der Regulierung sollen stattdessen Vertrauen und Akzeptanz der KI-Systeme gestärkt sowie Nachvollziehbarkeit und Überprüfbarkeit sichergestellt werden. Das Gesetz wurde am 21. Mai final verabschiedet, steht seit dem 12. Juli im Amtsblatt und tritt am 1. August in Kraft – ab dann gelten die Umsetzungsfristen.

Der EU AI Act unterteilt KI-Risiken in vier Kategorien:

Hochrisikosysteme nutzen beispielsweise KI für die Kreditwürdigkeitsprüfung, das Personalmanagement, das Gesundheitssystem und für Bewertungen im Bildungssystem oder von Spielzeugen. Sie müssen im Unternehmen identifiziert und nach den Vorgaben des EU AI Act klassifiziert werden. Ausgenommen sind Anwendungen, die bei einer Entscheidungsfindung das Ergebnis nicht wesentlich beeinflussen.

EU AI Act betrifft nicht nur die Tech-Industrie

Wer die Presse verfolgt, mag schnell auf den Gedanken kommen, dass der EU AI Act vor allem ein Gesetz ist, um das sich vorrangig Tech-Riesen wie Apple und Meta sowie die Anbieter von KI-Lösungen kümmern müssen. Dieser Schein trügt: Der AI Act nimmt nahezu alle Unternehmen und Verwaltungen in die Pflicht – mit Ausnahme des Militärs und einiger Teile der Strafverfolgungsbehörden.

Wie ernst der EU die Einhaltung der Bestimmungen ist, zeigt die Höhe der Strafen bei Verstößen: Für den Einsatz verbotener KI-Anwendungen (Kategorie: inakzeptables Risiko) drohen bis zu 35 Millionen Euro beziehungsweise sieben Prozent des weltweiten Jahresumsatzes als Geldbuße.

Inventur und Zeitplan für KI-Systeme

Zudem fallen nicht nur verbotene KI-Anwendungen wie Social-Scoring-Systeme oder Hochrisikolösungen wie Kreditprüfungs-KI unter das Gesetz, sondern beispielsweise auch Chatbots mit einem geringeren Risiko. Die EU möchte, dass Unternehmen und Behörden erfassen, welche KI-Systeme sie nutzen und welche Risiken von ihnen ausgehen.

Eine solche KI-Inventur hat es in sich: Sobald Mitarbeitende für ihre Arbeit KI-Tools einsetzen, muss ein Unternehmen oder eine Behörde sie darauf hinweisen, dass sie gerade KI nutzen , und ihnen zeigen, wie die Technologie Entscheidungen beeinflusst. Insbesondere die öffentliche Hand, aber auch die stark regulierten Banken müssen beispielsweise sicherstellen, dass sie ihre Kunden gleichbehandeln und keine statistische Diskriminierung betrieben wird.

Ziel jeder Organisation sollte somit sein, die nötigen Strukturen für den verantwortungsvollen Umgang mit KI (Responsible AI) zu schaffen.

Unternehmen und Verwaltungen müssen jetzt anfangen, die Anforderungen des AI Act umzusetzen. Durch das schrittweise Inkrafttreten der Regelungen bleiben ihnen dafür zwischen sechs und 36 Monate Zeit . Die notwendigen Schritte lauten:

1. Transparenz schaffen und eine vollständige Inventur starten. Organisationen müssen herausfinden, wo überall KI im Einsatz ist. Das wird zumeist eine längere Liste als zunächst gedacht, denn oftmals wird etwa der Einsatz browserbasierter Anwendungen nicht gemeldet, weil sie nur im Hintergrund oder in einzelnen Abteilungen laufen.

2. Die eingesetzte KI anhand der Klassen aus dem EU AI Act klassifizieren. Anschließend müssen sie nach den Anforderungen bewertet werden, beispielsweise ob Mitarbeitende darüber informiert werden müssen, dass sie mit einer KI arbeiten und was diese genau macht.

3. Zeitplan und Roadmap für die Umsetzung erstellen. Angesichts der Sanktionshöhe benötigen Unternehmen einen exakten Überblick darüber, wann welche Fristen enden und welche Standards stufenweise ausgebaut werden.

Wichtig: Die Transparenzpflichten aus dem AI Act beinhalten auch Aufgaben für Low-Risk-Systeme. Beispielsweise muss der Einsatz von KI-Systemen in direkter Interaktion mit Menschen kenntlich gemacht werden. Dasselbe gilt für Ergebnisse, die von GenAI-Lösungen wie Copilot stammen. Betreiber von Hochrisiko-KI müssen hingegen ein Risikomanagementsystem etablieren und Aufzeichnungspflichten einhalten.

Fällt meine KI-Anwendung unter den EU AI Act?

Ein erster Schritt bei der Umsetzung des AI Act ist, festzustellen, ob die im Unternehmen oder in der Verwaltung eingesetzte KI unter das Gesetz fällt. Um der gesetzlichen Definition zu entsprechen, muss die eingesetzte KI alle folgenden Kriterien erfüllen:

1. Es handelt sich um ein KI-System, das Techniken wie maschinelles Lernen, Logik- und wissensbasierte Ansätze, statistische oder symbolische Ansätze nutzt.
2. Die KI-Anwendung besitzt einen gewissen Grad der Autonomie.
3. Die KI-Anwendung verfügt über Lern-, Schlussfolgerungs- und Modellierungsprozesse, wodurch das System im Einsatz lernt, sich anpasst und somit verändert.
4. Die KI-Anwendung besitzt die Fähigkeit, aus Daten Ergebnisse abzuleiten, die über einfache Datenverarbeitung hinausgehen.
5. Die Ergebnisse der KI-Anwendung haben eine Auswirkung im realen oder virtuellen Raum, den Menschen nutzen.

KI-Inventur als Chance begreifen

Der EU AI Act wird somit für eine Menge zusätzliche Arbeit sorgen. Kaum ein Unternehmen hat heute bereits bis in den letzten Winkel der IT-Landschaft geleuchtet, um zu schauen, wo welches Plugin oder Softwarefragment KI nutzt – von der Risikoeinstufung ganz zu schweigen.

Umso wichtiger ist es, jetzt Transparenz herzustellen. Zudem sollten Entscheiderinnen und Entscheider diesen internen KI-Risiko-Katalog auch als Chance betrachten. Wer für Transparenz sorgt, schafft Vertrauen und fördert damit die Nutzung. Und wer früh für Transparenz sorgt, wird mithilfe von KI früher messbare Erfolge in Form von mehr Effizienz oder Erkenntnisgewinn einfahren. Zudem schafft Transparenz höheres Vertrauen bei Mitarbeitenden und Kunden – diese Chance sollten Organisationen sehen, anstatt auf Überregulierung zu schimpfen.

Wenn Sie einen Sparringspartner für die Umsetzung der Vorschriften aus dem EU AI Act oder den Austausch suchen, sprechen Sie mich gerne an!