AI Act — eine neue regulatorische Realität
Die Europäische Union hat als erste weltweit eine umfassende Regulierung für künstliche Intelligenz geschaffen. Die Verordnung AI Act (Regulation (EU) 2024/1689) trat am 1. August 2024 in Kraft und wird schrittweise angewendet: die ersten Pflichten gelten ab dem 2. Februar 2025, der Hauptteil ab dem 2. August 2026, die vollständige Anwendung ab dem 2. August 2027. Jedes Unternehmen, das KI-Systeme im operativen Geschäft in der EU einsetzt, muss sich damit auseinandersetzen.
Der AI Act verbietet künstliche Intelligenz nicht — er reguliert sie auf der Grundlage eines risikobasierten Ansatzes. Je höher das Risiko, desto strenger die Anforderungen. Die meisten geschäftlichen KI-Anwendungen fallen in die Kategorien mit geringem oder begrenztem Risiko, was relativ geringe Pflichten bedeutet. Es gibt jedoch Bereiche, in denen die Anforderungen sehr rigoros sind.
Zeitplan des Inkrafttretens (Art. 113)
- 1. August 2024 — Inkrafttreten der Verordnung
- 2. Februar 2025 — Anwendung der Verbote gefährlicher Praktiken (Kapitel II, Art. 5) sowie der Pflicht zur KI-Kompetenz (Art. 4)
- 2. August 2025 — Pflichten für Anbieter von General-Purpose-AI-Modellen (Kapitel V) sowie Bestimmungen über Aufsichtsbehörden und Sanktionen
- 2. August 2026 — Anwendung der Pflichten für Hochrisiko-KI-Systeme (Kapitel III), Transparenz von Chatbots und Deepfakes (Art. 50), regulatorische Sandboxes
- 2. August 2027 — vollständige Anwendung, einschließlich der Pflichten für Hochrisikosysteme, die in Produkte eingebettet sind, die bereits bestehenden EU-Harmonisierungsvorschriften unterliegen (Anhang I)
Risikoklassifizierung von KI-Systemen
Der AI Act teilt KI-Systeme in vier Risikokategorien ein:
- Unannehmbares Risiko (verboten, Art. 5) — Systeme, die menschliches Verhalten unterhalb der Bewusstseinsschwelle manipulieren, Social Scoring durch Behörden, biometrische Echtzeit-Überwachung (mit Ausnahmen), Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, prädiktive kriminelle Profilerstellung. Diese Systeme sind verboten.
- Hohes Risiko (Kapitel III, Art. 6-27) — KI im Einsatz bei Rekrutierung, Kreditvergabe, Gesundheitsversorgung, Bildung, Rechtsprechung, kritischer Infrastruktur. Strengste Anforderungen: Dokumentation, Tests, Transparenz, menschliche Aufsicht, Registrierung in einer EU-Datenbank.
- Begrenztes Risiko (Art. 50) — Chatbots, Deepfakes, Systeme zur Inhaltserstellung. Transparenzpflicht: Nutzer müssen wissen, dass sie mit einer KI kommunizieren, und KI-generierte Inhalte müssen maschinenlesbar gekennzeichnet sein.
- Minimales Risiko — die meisten KI-Anwendungen im Geschäftsleben: Spamfilter, Produktempfehlungen, Automatisierung interner Prozesse. Minimale oder keine Pflichten.
Wer ist Anbieter und wer Betreiber eines KI-Systems?
Der AI Act unterscheidet zwei zentrale Rollen. Anbieter (Provider) ist die Stelle, die ein KI-System entwickelt und in Verkehr bringt. Betreiber (Deployer) ist die Stelle, die ein KI-System im Geschäftsbetrieb einsetzt. Die Pflichten unterscheiden sich je nach Rolle — Anbieter haben strengere Anforderungen an technische Dokumentation und Zertifizierung.
Ein Unternehmen, das eine fertige KI-Lösung von einem Anbieter kauft und für eigene Prozesse nutzt, ist Betreiber. Ein Unternehmen, das ein Modell für eigene Anwendungen anpasst oder fein-tuned, kann mit allen Konsequenzen zum Anbieter werden.
Pflichten der Betreiber von Hochrisikosystemen (Art. 26)
Wenn Ihr Unternehmen ein Hochrisiko-KI-System einsetzt (z. B. Scoring-System im Kreditprozess, Tool zur CV-Vorauswahl, System zur Unterstützung medizinischer Diagnostik), müssen Sie:
- Eine menschliche Aufsicht über die Entscheidungen des KI-Systems sicherstellen
- Betriebsprotokolle für mindestens 6 Monate führen
- Eine Grundrechte-Folgenabschätzung durchführen (FRIA, Art. 27)
- Mitarbeitende über KI-Systeme informieren, die sie betreffen
- Schwerwiegende Vorfälle und Störungen der zuständigen Aufsichtsbehörde melden
Regulatorische Sandboxes (Art. 57-63)
Der AI Act sieht regulatorische Sandboxes vor — einen Mechanismus, der es Unternehmen ermöglicht, innovative KI-Systeme unter der Aufsicht einer Regulierungsbehörde in einer kontrollierten Umgebung zu testen. Jeder Mitgliedstaat ist verpflichtet, bis zum 2. August 2026 mindestens eine Sandbox einzurichten. Für Unternehmen, die KI-Lösungen in Hochrisikobereichen entwickeln, ist dies ein praktischer Weg, um Feedback von Regulatoren bereits vor der vollständigen Zertifizierung zu erhalten.
Sanktionen (Art. 99)
Die Geldbußen bei Verstößen gegen den AI Act sind nach Art des Verstoßes gestaffelt:
- bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes (der höhere Betrag) bei Anwendung verbotener Praktiken (Art. 5)
- bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes bei Verstößen gegen sonstige Pflichten der Verordnung
- bis zu 7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes für die Übermittlung falscher, unvollständiger oder irreführender Informationen an Aufsichtsbehörden
Für KMU und Start-ups gilt der niedrigere der beiden Beträge, um eine unverhältnismäßige Belastung zu vermeiden.
Wie ESKOM.AI die AI-Act-Compliance unterstützt
ESKOM.AI unterstützt Organisationen bei der Vorbereitung auf die Anforderungen des AI Act. Wir bieten Audits bestehender KI-Systeme im Hinblick auf die Risikoklassifizierung, die Erstellung technischer Dokumentation, die Implementierung von Mechanismen zur menschlichen Aufsicht und Protokollierung sowie Schulungen für Compliance-Teams. Jede neue KI-Implementierung in unserer Ausführung wird vom ersten Tag an mit Blick auf die AI-Act-Konformität konzipiert.