Newsletter
Filter by categories
Group 2 Created with Sketch.
Wirtschaftsprüfung & Risk Advisory
Frau und Technologie
von
Dr. Oliver Bungartz
Julian Horn

EU AI Act – Erfolgreiche KI-Compliance für eine dynamische und digitale Zukunft

Einführung

Künstliche Intelligenz (KI) revolutioniert die Arbeitswelt in atemberaubendem Tempo – vom Gesundheitswesen über das Finanzwesen bis hin zum Transportwesen sowie zur Unterhaltungsbranche. KI wird zunehmend in Produkte, Dienstleistungen und Geschäfts­pro­zesse integriert. Daher ist es wichtig, Zuverlässigkeit, Transparenz und Fairness sicherzustellen, um Vertrauen und langfristigen Erfolg zu gewährleisten. Während KI großartige Möglichkeiten für Innovationen bietet, birgt sie auch erhebliche Risiken. Diese müssen reguliert werden, um die Sicherheit zu erhöhen, den Datenschutz zu gewährleisten und ethische Standards zu wahren. Das Vertrauen in die Verlässlichkeit und Fairness von KI ist entscheidend für eine breite Anwendung, weshalb die Europäische Union (EU) eine eigene Regelung für KI entwickelt hat - das Europäische Gesetz über Künstliche Intelligenz (EU AI Act).

Da sich KI ständig weiterentwickelt, sollten besonders Organisationen die KI nutzen die regulatorische Landschaft verstehen. Der EU AI Act führt neue Compliance-Anforderungen ein, die verschiedene Sektoren weitreichend betreffen werden. Selbst häufig verwendete Anwendungen wie KI-basierte HR-Software können unter den EU AI Act fallen. Viele solcher Systeme können erhebliche Risiken für die Grundrechte der Arbeitnehmer darstellen, was die Bedeutung proaktiver Compliance- und Governance-Maßnahmen unterstreicht.

Verstöße gegen das Gesetz können zu Geldstrafen von bis zu 15 Millionen Euro oder 3% des weltweiten Jahresumsatzes führen, wobei die Strafen für verbotene KI-Systeme bis zu 35 Millionen Euro oder 7% des Jahresumsatzes betragen können. Der EU AI Act trat am 1. August 2024 in Kraft, und seine Bestimmungen werden schrittweise anwendbar. Die meisten Anforderungen treten bis zum 2. August 2026 in Kraft, wobei spezifische Verpflichtungen für Hochrisiko-KI-Systeme und andere Bestimmungen bis zum 2. August 2027 vollständig wirksam werden. Organisationen sollten diese Zeitpläne beachten und sich entsprechend vorbereiten, um eine rechtzeitige Einhaltung sicherzustellen.

Dieser Artikel wird die Struktur der Regulierung, die Risikoklassifizierung und die Verantwortlichkeiten für KI-Entwickler und -Nutzer untersuchen und praktische Einblicke, in die zu ergreifenden Maßnahmen bieten. Das Verständnis dieser Vorschriften wird Unternehmen helfen, sich vorzubereiten und sicherzustellen, dass sie gut positioniert sind, um die Vorschriften einzuhalten und verantwortungsvoll zu implementieren.

Was ist der EU AI Act?

Der EU AI Act ist die erste umfassende Regulierung für KI, die von einer Regulierungsbehörde eingeführt wurde. Das Gesetz regelt die Entwicklung und Nutzung von KI innerhalb der EU und verfolgt einen risikobasierten Ansatz zur Regulierung. Der EU AI Act wendet unterschiedliche Regeln auf KI-Systeme an, basierend auf dem Risiko, welches die KI-Systeme bergen. KI-Systeme, die als untragbare Risiken eingestuft werden – wie zum Beispiel soziale Bewertungssysteme – sind verboten während Hochrisiko-KI-Systeme – wie CV-Scanning-Tools – spezifischen gesetzlichen Anforderungen unterliegen. Anwendungen, mit geringem oder minimalem Risiko die nicht in diese Kategorien fallen, bleiben weitestgehend unreguliert, unterliegen jedoch teils Transparenzpflichten. 

Wer muss sich daranhalten?

Selbst scheinbar einfache Werkzeuge, die z.B. den Rekrutierungsprozess unterstützen, indem sie Lebensläufe bewerten, Interviews durchführen oder Kandidaten bewerten, fallen unter den EU AI Act. Dies verdeutlicht, wie leicht es für Organisationen ist, unbewusst innerhalb des Rahmens des EU AI Acts zu agieren und schwere Strafen zu riskieren, wenn sie sich nicht konform verhalten.

Ein KI-System, wie es im EU AI Act definiert ist, ist ein maschinengestütztes System, das mit unterschiedlichen Autonomiestufen arbeitet und sich selbständig über die Zeit z.B. an den Nutzer anpassen kann. Es trifft Vorhersagen, generiert Inhalte, gibt Empfehlungen oder trifft Entscheidungen basierend auf den erhaltenen Eingaben. Diese Ausgaben können sowohl physische als auch virtuelle Umgebungen beeinflussen.

Einfacher ausgedrückt, verwendet ein KI-System Daten und verschiedene Techniken wie maschinelles Lernen (Lernen aus Daten) oder logikbasierte Methoden (Befolgen von Regeln oder Wissensstrukturen), um Entscheidungen oder Vorschläge zu treffen, die seine Umgebung beeinflussen.

Es ist wichtig zu beachten, dass die Definition grundlegende traditionelle Software oder rein regelbasierte Programme ausschließt, die von Menschen entwickelt wurden, um spezifische Aufgaben automatisch auszuführen – d.h. ohne Anpassungs- oder Lernfähigkeit.

Der EU AI Act gilt für eine breite Palette von Akteuren, die an der Entwicklung, Nutzung und Verbreitung von KI-Systemen innerhalb der EU beteiligt sind, unabhängig von ihrem Standort.

Zu den wichtigsten Akteuren, die dem EU AI Act unterliegen, gehören:

  • Anbieter/Entwickler: Jede natürliche oder juristische Person, öffentliche Behörde, Agentur oder andere Stelle, die ein KI-System oder ein allgemeines KI-Modell entwickelt oder unter ihrem Namen oder Markenzeichen auf den Markt bringt oder in Betrieb nimmt, sei es gegen Bezahlung oder kostenlos.
  • Anwender: Jedes Unternehmen, die ein KI-System verwendet, außer für persönliche, nicht-professionelle Zwecke.
  • Importeure: Unternehmen innerhalb der EU, die KI-Systeme unter dem Namen oder Markenzeichen eines nicht EU-Unternehmen auf den Markt bringen.
  • Distributoren: Jede Person innerhalb der Lieferkette, außer dem Anbieter oder Importeur, die ein KI-System auf den EU-Markt bringt.

Die Regulierung gilt auch für Anbieter und Anwender außerhalb der EU, wenn ihre KI-Systeme oder deren Ergebnisse in der EU genutzt werden. Beispielsweise, wenn ein EU-Unternehmen Daten an einen KI-Anbieter außerhalb der EU sendet und das Ergebnis innerhalb der EU verwendet wird, muss der Anbieter den EU AI Act einhalten. Anbieter außerhalb der EU, die KI-Dienste in der EU anbieten, müssen autorisierte Vertreter in der EU benennen, um die Einhaltung der Vorschriften in ihrem Namen zu koordinieren.

Kategorisierung von Risiken

Nach der Identifizierung der Akteure und Interessengruppen, die dem EU AI Act unterliegen, ist der nächste entscheidende Bestandteil der Rahmen zur Regulierung von KI-Systemen basierend auf ihren verbundenen Risiken. Das Gesetz führt einen risikobasierten Ansatz ein, um sicherzustellen, dass regulatorische Maßnahmen dem potenziellen Schaden entsprechen, den KI-Systeme verursachen können. Dieser Ansatz kategorisiert KI-Systeme in verschiedene Risikostufen, die von minimal bis inakzeptabel reichen, wobei jede Stufe spezifische Aufsichts- und Compliance-Anforderungen erfordert.

Die folgende Abbildung veranschaulicht die Risikokategorisierung des EU AI Acts: 


Ein Bild, das Text, Screenshot, Reihe, Design enthält. Automatisch generierte Beschreibung

 

a.    KI-Systeme mit inakzeptablem Risiko

KI-Systeme, die eindeutig gegen die Grundrechte und Grundwerte der EU verstoßen, fallen in die Kategorie der inakzeptablen Risiken. Diese Systeme sind streng verboten, da sie als Bedrohung für die Menschenwürde, Sicherheit und demokratischen Prinzipien angesehen werden.

Beispiele für KI-Systeme mit inakzeptablem Risiko:

  • Soziale Bewertungssysteme: KI-Systeme, die Individuen basierend auf ihrem Verhalten oder ihren Eigenschaften klassifizieren und zu unfairer Behandlung oder Diskriminierung führen (z.B. gesellschaftliche Kontrollmechanismen).
  • Manipulative KI: Systeme, die menschliches Verhalten manipulieren, um Schaden zu verursachen, wie subliminale Botschaften, die Schwachstellen ausnutzen, insb. bei Kindern oder gefährdeten Bevölkerungsgruppen.
  • Echtzeit-Biometrische Identifikation: Einsatz von KI für die biometrische Überwachung in öffentlichen Räumen in Echtzeit, außer in eng definierten Strafverfolgungsszenarien unter strengen Bedingungen.
  • Ausnutzung von Schwachstellen: KI-Systeme, die darauf ausgelegt sind, die Umstände einer Person auszunutzen, wie finanzielle Instabilität oder kognitive Einschränkungen.

Das Verbot gilt universell, was bedeutet, dass kein KI-System dieser Kategorie innerhalb der EU entwickelt, eingesetzt oder vermarktet werden darf.

b.    KI-Systeme mit hohem Risiko

Hochrisiko-KI-Systeme sind solche, die erhebliche Auswirkungen auf Gesundheit, Sicherheit oder grundlegende Rechte haben können. Sie operieren in kritischen Bereichen, in denen Fehler oder Missbrauch zu schwerwiegenden Konsequenzen für Einzelpersonen oder die Gesellschaft führen könnten.

Beispiele für KI-Systeme mit hohem Risiko:

  • Gesundheitswesen: KI, die für medizinische Geräte, Krankheitsdiagnosen oder Behan­dlungs­empfehlungen verwendet wird.
  • Beschäftigung: Rekrutierungs-Tools, die Lebensläufe analysieren, Interviews durch­führen oder Kandidaten bewerten.
  • Strafverfolgung: KI für Verbrechensvorhersagen, Gesichtserkennung oder Risiko­be­wer­tung in gerichtlichen Entscheidungen.
  • Bildung: KI-Systeme, die Schüler bewerten, wie z.B. Bewertungssoftware oder Über­wach­ungs­tools.
  • Finanzen: Kredit-Scoring, Kreditzulassungssysteme oder Betrugserkennungstools.

Regulatorische Anforderungen für KI-Systeme mit hohem Risiko:

  1. Konformitätsbewertung: Systeme müssen vor der Markteinführung Bewertungen durch­laufen, um die Einhaltung sicherzustellen.
  2. Risikomanagement: Kontinuierliche Überwachung und Minderung von KI-bezogenen Risiken während des gesamten Lebenszyklus.
  3. Transparenz und Dokumentation: Detaillierte Dokumentation, die den Zweck, die Funktionsweise und die verbundenen Risiken des Systems beschreibt.
  4. Menschliche Aufsicht: Mechanismen für eine sinnvolle menschliche Intervention, um schädliche Ergebnisse zu verhindern.
  5. Cybersicherheitsmaßnahmen: Schutzmaßnahmen zur Gewährleistung der System Resilienz, Genauigkeit und Sicherheit.

c.    KI-Systeme mit begrenztem Risiko

KI-Systeme mit begrenztem Risiko sind Anwendungen, die Elemente der Nachahmung, Manipulation oder Täuschung beinhalten. Obwohl diese Systeme nicht in die Kategorie Hochrisiko fallen, haben sie dennoch bedeutende gesellschaftliche Auswirkungen und erfordern spezifische Transparenzmaßnahmen, um sicherzustellen, dass die Nutzer wissen, wann sie mit KI interagieren.

Beispiele für KI-Systeme mit begrenztem Risiko:

  • Chatbots: KI-Systeme, die menschliche Gespräche simulieren, müssen die Nutzer klar darüber informieren, dass sie nicht mit einem Menschen interagieren.
  • Deepfakes: KI-generierte Audio-, Video- oder Bildinhalte, die zur Täuschung erstellt wurden, müssen als synthetische Inhalte gekennzeichnet werden, um Manipulationen zu verhindern.
  • KI-generierte Inhalte: KI-Werkzeuge, die zur Erstellung von Text- oder Bildinhalten verwendet werden, wie automatisierter Journalismus oder KI-erstellte Kunst, müssen ihre nicht-menschliche Herkunft offenlegen.

Regulatorische Anforderungen für Transparenz-Risiko-Systeme:

  1. Klare Offenlegung: Nutzer müssen ausdrücklich darüber informiert werden, wann immer sie mit einem KI-System interagieren oder auf KI-generierte Inhalte stoßen.
  2. Transparenzpflichten: Organisationen müssen sicherstellen, dass ihre KI-Werkzeuge ausreichende Informationen bereitstellen, damit die Nutzer fundierte Entscheidungen treffen und die Natur des Inhalts oder der Interaktion verstehen können.

Bei der Umsetzung der Compliance mit Offenlegungs- und Transparenzanforderungen ist es sinnvoll ein Risikomanagement zu integrieren und die Risiken zu bewerten, die KI-Systeme für organisatorische Prozesse darstellen. Selbst KI-Systeme mit begrenztem Risiko, wie Chatbots, können erheblichen Schaden für eine Organisation verursachen, wenn sie unsachgemäß implementiert oder angepasst werden.

d.    KI-Systeme mit minimalem Risiko

KI-Systeme mit minimalem Risiko stellen die meisten KI-Anwendungen dar. Diese Systeme haben geringe Auswirkungen und stellen keine bedeutende Bedrohung für Gesundheit, Sicherheit oder grundlegende Rechte dar. Daher unterliegen sie keinen spezifischen Vorschriften des EU AI Acts, abgesehen von bestehenden rechtlichen Rahmenbedingungen.

Beispiele für KI-Systeme mit minimalem Risiko:

  • Spamfilter: Werkzeuge, die unerwünschte E-Mails automatisch erkennen und filtern.
  • Empfehlungssysteme: KI-Systeme, die Produkte, Videos oder Inhalte basierend auf den Vorlieben der Nutzer vorschlagen (z.B. Streaming-Plattformen).
  • Einfache Automatisierungstools: KI, die zur Prozessoptimierung verwendet wird, wie Bestandsverwaltung oder Kundenservice-Bots.

Aufgrund der raschen Entwicklung der regulatorischen Landschaft ist es sinnvoll, eine Risiko­bewertung für KI-Systeme mit minimalem Risiko durchzuführen. Dies hilft Orga­ni­sa­tionen, potenzielle Schwachstellen zu identifizieren und unbeabsichtigte Konsequenzen zu vermeiden. Ein proaktiver Ansatz bereitet auf zukünftige Vorschriften vor und stellt gleichzeitig die ethische Nutzung sicher.

e.    Allgemeine KI-Modelle

Allgemeine KI-Modelle (General-Purpose AI Models - GPAI) umfassen groß angelegte KI-Systeme, die oft für breite, multidisziplinäre Anwendungen entwickelt wurden. Diese Systeme, wie grundlegende KI-Modelle und große Sprachmodelle (Large Language Models – LLM), erfordern zusätzliche Überprüfung aufgrund ihres Potenzials, systematische Risiken zu schaffen, wenn sie in großem Maßstab eingesetzt werden.

Beispiele für allgemeine KI-Modelle:

  • Groß angelegte Sprachmodelle wie generative Transformer-Systeme.
  • KI-Modelle, die breite Fähigkeiten bieten, wie Computer Vision oder Sprach­er­kennungs­systeme, die in verschiedenen Anwendungen und Branchen eingesetzt werden.

Regulatorische Anforderungen für GPAI:

  1. Transparenzanforderungen: Entwickler und Anbieter müssen die Fähigkeiten, Ein­schränk­ungen und den vorgesehenen Einsatz des KI-Modells offenlegen.
  2. Systematisches Risikomanagement: Wenn GPAI-Systeme als systemische Risiken (z.B. weit verbreitete Voreingenommenheit oder Missbrauch) identifiziert werden, müssen Entwickler Maßnahmen zur Risikobewertung und -minderung implementieren.
  3. Dokumentation und Verantwortlichkeit: Detaillierte Dokumentation über das Design, den Entwicklungsprozess und die Trainingsdaten des KI-Modells führen.

Compliance-Strategie: Von der Risikobewertung bis zur Umsetzung

Die Einhaltung des EU AI Acts erfordert einen Ansatz, der sich auf drei Schlüsselphasen konzentriert: Risikobewertung, Governance und kontinuierliche Überwachung. Diese Strategie stellt sicher, dass KI-Systeme den regulatorischen Anforderungen entsprechen, während sie Innovation und Verantwortlichkeit in Einklang bringen.

Ein Bild, das Text, Kreis, Schrift, Logo enthält. Automatisch generierte Beschreibung
 

1.    Risikobewertung und Kategorisierung

Der erste Schritt besteht darin, alle KI-Systeme nach ihrem Risikolevel zu identifizieren und zu kategorisieren. Eine genaue Klassifizierung ist entscheidend, um regulatorische Verpflichtungen zu bestimmen und Nichtkonformität zu vermeiden. Organisationen müssen den Zweck, die Auswirkungen und potenziellen Risiken jedes KI-Systems bewerten, insb. bei Hochrisikoanwendungen, bei denen zusätzliche Anforderungen wie Datenqualität und Transparenz gelten.

2.    Implementierung eines Governance-Rahmenwerks

Ein starkes Governance-Rahmenwerk gewährleistet Aufsicht und Verantwortlichkeit über den gesamten Lebenszyklus der KI. Organisationen sollten Verantwortung zuweisen, wie z.B. durch einen KI-Ethikbeauftragten oder ein Compliance-Team, um die Einhaltung der Vor­schriften zu verwalten. Interne Richtlinien sollten Themen wie Transparenz, Cybersicherheit und Risikominderung aufnehmen. Detaillierte Dokumentation und Rück­verfolg­bar­keitsprozesse sind entscheidend, um Konformitäts- und Prüfungsanforderungen zu erfüllen.

3.    Überwachung, Prüfung und Verbesserung

Die Einhaltung der Vorschriften erfordert kontinuierliche Überwachung und Anpassung. Regelmäßige Audits und Monitoring stellen sicher, dass KI-Systeme sicher, unvorein­ge­nom­men und konform mit den Vorschriften bleiben. Organisationen müssen die Systemleistung kontinuierlich bewerten, aufkommende Risiken eingrenzen und Prozesse als Reaktion auf regulatorische Änderungen aktualisieren. Die Einbettung einer Kultur der Verbesserung gewährleistet langfristige Konformität und Vertrauen.

Fazit

Ein strukturierter Ansatz, der Risikobewertung, Governance und kontinuierlicher Überwachung kombiniert, ermöglicht es Organisationen, die Anforderungen des EU AI Acts effektiv zu erfüllen. Durch die Priorisierung der Compliance können Unternehmen KI-Systeme verant­wort­ungsvoll einsetzen, Vertrauen aufbauen und Risiken mindern. Die Etablierung eines Compliance-Rahmens adressiert nicht nur unmittelbare Verpflichtungen, sondern positioniert Organisationen auch so, dass sie sich an das sich entwickelnde regulatorische Umfeld anpassen können, das mit fortschreitenden KI-Technologien einhergeht.

Der EU AI Act schafft einen robusten Rahmen für die Governance von KI-Systemen, der sich auf Transparenz, Risikomanagement und Verantwortlichkeit konzentriert. Da die vollständige Anwendung für die Jahre 2026-2027 vorsieht, ist eine frühzeitige Vorbereitung unerlässlich. Durch sofortiges Handeln können Organisationen Risiken identifizieren, Governance-Struk­turen implementieren und sich an das sich entwickelnde regulatorische Umfeld anpassen, um hohe Strafen zu vermeiden und Vertrauen zu schützen.

Mit Blick auf die Zukunft wird sich der EU AI Act als Reaktion auf die Fortschritte in der KI-Technologie weiterentwickeln. Da KI zunehmend Branchen und das tägliche Leben prägt, müssen Regulierungen aufkommende Herausforderungen wie die ethische Nutzung von KI, Datenschutzbedenken und sich entwickelnde Sicherheitsrisiken adressieren.

In diesem sich schnell verändernden Umfeld müssen Unternehmen jeder Größe sofort Maß­nahmen ergreifen, indem sie erste Risikobewertungen durchführen, Compliance-Verant­wort­liche benennen und Transparenz in Bezug auf ihre KI-Praktiken schaffen. Bei Compliance geht nicht nur darum, Strafen zu vermeiden – es ist ein strategischer Vorteil, der es Organisationen ermöglicht, das Vertrauen der Kunden zu gewinnen, gleichzeitig innovativ und verant­wort­ungs­voll zu sein und in einer von KI geprägten Zukunft wettbewerbsfähig zu bleiben.

Ansprechpartner