12.09.2024

KI-Verordnung in Kürze: So bereiten Sie sich vor

Mit dem 01.08.2024 trat eine EU-Verordnung in Kraft, die manche historisch nennen: Die Europäische Union reguliert mit dem AI Act (Verordnung (EU) 2024/1689, „KI-Verordnung“) umfassend die Nutzung künstlicher Intelligenz (KI). Für Unternehmen bringt es neue Anforderungen hinsichtlich der Transparenz und der Sicherheit von Produkten und Dienstleistungen mit sich. Bis zum 02.02.2025 müssen die ersten Maßnahmen umgesetzt werden – ein Fahrplan zur Umsetzung der KI-Verordnung tut deshalb Not.

AI Act

Die KI-Verordnung in Kürze

Die KI-Verordnung (AI Act) will verhindern, dass Verbraucher in der EU durch künstliche Intelligenz (KI) inakzeptablen Risiken ausgesetzt sind. Diese Risiken durch künstliche Intelligenz kategorisiert der AI Act in

  • „unannehmbar“,
  • „hoch“,
  • „begrenzt“
  • und „gering“.

Die Eingruppierung in eine dieser Kategorien entscheidet darüber, ob ein KI-System mehr oder weniger strengen Auflagen unterliegt oder sogar verboten ist.

Sind Sie von der der KI-Verordnung betroffen?

Betroffen von der KI-Verordnung sind

  • Bereitsteller,
  • Produkthersteller,
  • Importeure,
  • Händler
  • und Anbieter von KI-Systemen an europäische Verbraucher.

Mit anderen Worten: Jedes Unternehmen bzw. jede Organisation inner- und außerhalb der EU unterliegt der KI-Verordnung, sobald es an der Bereitstellung von KI-Systemen an europäische Verbraucher beteiligt ist. Der AI Act gilt nicht nur für Großkonzerne, sondern auch für kleine und mittlere Unternehmen, denn ist unabhängig von erzielten Umsätzen oder Nutzerzahlen.

Ausgenommen sind lediglich KI-Systeme für die wissenschaftliche Forschung, für Verteidigungs- oder Militärzwecke und für reine Haushaltstätigkeiten.

KI-Systeme mit unannehmbaren Risiken sind verboten

Die KI-Verordnung regelt klar, welche Anwendungen der künstlichen Intelligenz verboten sind. So sind Systeme für die vorausschauende Polizeiarbeit und biometrische Identifikationssysteme, die in Echtzeit arbeiten, verboten. Auch das gezielte Auslesen von Gesichtsbildern mit dem Ziel, eine Gesichtserkennungsdatenbank zu erstellen, ist nicht erlaubt. Ebenso KI-Systeme, die Rückschlüsse auf Emotionen von Menschen am Arbeitsplatz zulassen.

KI-Verordnung reguliert den Umgang mit Hochrisikosystemen

Anhang III der KI-Verordnung führt Anwendungen mit hohen Risiken auf. Dazu gehören KI-Systeme, die in der Biometrie, Bildung, Beschäftigung und Strafverfolgung zum Einsatz kommen oder im Bereich der kritischen Infrastruktur eine wichtige Rolle spielen.

Für diese KI-Anwendungen gibt es strenge Auflagen, wie z.B.

  • eine Risikobewertung der Grundrechte,
  • automatisch erstellte Protokolle, mit denen Ereignisse nachvollzogen werden können,
  • die Schulung von Beschäftigten, die mit Hochrisiko-KI-Systemen umgehen.
Unsere Empfehlung
Pflicht zur Schulung aus Artikel 4 der KI-VO erfüllen: WebTrainer KI-Anwendungen sicher einsetzen

Pflicht zur Schulung aus Artikel 4 der KI-VO erfüllen: WebTrainer KI-Anwendungen sicher einsetzen

KI-Schulung für Mitarbeiter, mit der Sie Ihre Pflicht aus der KI-Verordnung schnell und einfach erfüllen können. Spannende Videos und interaktive Tests fördern aktives Lernen und nachhaltigen Wissenstransfer. Mit abschließender Verständniskontrolle und Teilnahmebestätigung haben Sie den Lernerfolg schwarz auf weiß – ideal für Ihre Dokumentation.“]

Begrenzte Risiken – begrenzte Auflagen

Bei KI-Systemen wie Deepfake-Generatoren oder Chatbots sieht der EU-Gesetzgeber nur begrenzte Risiken und legt den Akteuren nur geringe Pflichten auf. Wer solche KI-Systeme einsetzt, bereitstellt oder verwendet, muss Nutzer darüber informieren, dass das System mit künstlicher Intelligenz arbeitet. Zudem sind Fotos, Videos und Audioaufnahmen als KI-generiert zu kennzeichnen.

KI-Systeme mit geringen Risiken laut KI-Verordnung

Beispielhaft führt der AI Act noch KI-Systeme mit „geringen Risiken“ auf, z.B. Empfehlungssysteme und Spam-Filter. Für sie gibt es keine Auflagen.

Zeitplan bis zur Anwendung der KI-Verordnung

Wie bei EU-Verordnungen üblich, wird auch der AI Act (Verordnung (EU) 2024/1689, „KI-Verordnung) zwei Jahre nach seiner Veröffentlichung im Amtsblatt der EU, also am 02.08.2026, Anwendung finden.

Allerdings gibt es eine stark verkürzte Frist für KI-Anwendungen mit inakzeptablem Risiko: Sie sind bereits ab dem 02.02.2025 verboten. Dagegen gibt es eine verlängerte Frist (bis 02.08.2027) für KI-Anwendungen mit hohem Risiko.

AI Act umsetzen: erste Schritte

Ein Aktionsplan zur Umsetzung des AI Acts in der eigenen Organisation sollte folgende erste Schritte beinhalten:

  1. Übersicht: Erstellung einer Gesamtliste, wo im Unternehmen und in welcher Form KI-Systeme zum Einsatz kommen
  2. Inakzeptable Risiken? Prüfen, ob KI-Systeme mit inakzeptablen Risiken in der Organisation eingesetzt werden und ggf. deren Ausfall planen
  3. Hohe Risiken? Identifikation von eingesetzten oder geplanten Hochrisiko-KI-Systemen und Analyse, wie diese gemäß der KI-Verordnung rechtskonform eingesetzt werden können
  4. Konformität bewerten: Planen und Durchführen des Prozesses der Konformitätsbewertung und -dokumentation
  5. Dokumentieren: Erstellung von präzisen technischen Dokumentationen z.B. mit detaillierten Beschreibungen der Systemarchitektur, der verwendeten Algorithmen und der geplanten oder realisierten Sicherheitsmaßnahmen
  6. Schulen: Feststellung des Schulungsbedarfs der Mitarbeitenden; Planung von Schulungen und Workshops

Zusammenfassung: KI-Verordnung der EU

Die KI-Verordnung (AI Act) schützt Verbraucher in der EU vor riskanten KI-Systemen!  Die Einteilung erfolgt in unannehmbare, hohe, begrenzte und geringe Risiken – mit entsprechenden Regelungen. KI-Systeme mit unannehmbaren Risiken sind verboten, während Hochrisiko-KI-Systeme strenge Auflagen erfüllen müssen.  Unternehmen aller Größen müssen sich darauf vorbereiten! Die Verordnung tritt 2026 in Kraft, erste Verbote gelten bereits ab 2025. Schulen Sie Ihre Mitarbeitenden und bleiben Sie konform!

Autor*in: Martin Buttenmüller