Am 1. August trat der EU AI Act nun in Kraft. Damit endete eine mehrjährige Phase der Entscheidungsfindung, wie der Umgang mit Künstlicher Intelligenz europaweit geregelt werden sollte. Seit 2019 haben verschiedene Institutionen der EU an dem Regelwerk gefeilt, das im Laufe der Zeit auf mehrere hundert Seiten angewachsen ist. Betroffen von der neuen Verordnung sind jetzt Unternehmen, die KI-Systeme entwickeln, vertreiben oder auch nur einsetzen – also nahe zu alle.

Der AI Act verfolgt im Wesentlichen einen risikobasierten Ansatz. KI-Systeme, die beispielsweise Personen gezielt beeinflussen oder das „Social Scoring“ – die Vergabe von Punkten für erwünschtes Verhalten – sind verboten. Systeme, die in sensiblen Bereichen wie dem Gesundheitswesen eingesetzt werden, müssen eine Reihe strenger Vorgaben einhalten. Für KI, die nur ein begrenztes oder minimales Risiko darstellt, greifen künftig Transparenz- und Compliancevorschriften. In der Regel zählen Text- und Bilderstellung, also auch KI-basierte Produktbeschreibungen, zu dieser niedrigen Risikoklasse.

Je nach Risikokategorie bestehen unterschiedliche Übergangsfristen. Ab Januar sind zum Beispiel KI-Systeme verboten, die manipulative Zwecke verfolgen. Ab August 2025 gelten für die sogenannte „Allzweck-KI“ Transparenz- und Dokumentationspflichten. Davon sind beispielsweise Unternehmen betroffen, die generative KI nutzen. Das ist etwa bei vielen Onlineshops der Fall, die Chatbots oder personalisierte Empfehlungen, virtuelle Anproben oder KI-basierte Text- und Bilderstellungen verwenden. Fritz-Ulli Pieper, Fachanwalt für Informationstechnologierecht bei Taylor Wessing und Lableiter Responsibility im Ressort Künstliche Intelligenz beim Digitalverband BVDW, rät deshalb, sich sobald wie möglich einen Überblick zu verschaffen. Am zielführendsten sei es, ein interdisziplinäres KI-Team zu etablieren. Dessen erste und dringlichste Aufgabe müsse es sein, zu klären, wo und welche Arten von KI-Systemen zum Einsatz kommen. Pieper: „Der Blick ist dabei vor allem auf die Einstufung des KI-Systems in die Risikokategorien des AI Acts zu richten.“ Erst wenn hier Klarheit herrscht, lassen sich daraus Risiken, Verantwortlichkeiten und Pflichten ableiten.

Übergangsfristen im Blick behalten

Es gibt inzwischen auch eine Reihe von Tools, die Unternehmen bei dieser ersten Einschätzung helfen. Dazu zählt der AI Risk Navigator des TÜV Verbands, ein kostenloses Online-Tool zur Risikoklassifizierung von KI-Systemen und -Modellen. „Prüfungen von KI-Systemen schaffen Vertrauen und sind schon heute ein Wettbewerbsvorteil“, erklärt Joachim Bühler, Geschäftsführer des TÜV-Verbands. „Unternehmen sind gut beraten, sich jetzt mit den Anforderungen vertraut zu machen, insbesondere im Hinblick auf die Übergangsfristen. Es ist wichtig, abzuschätzen, wie und wo der AI Act ihre Aktivitäten betrifft.“

Im nächsten Schritt geht es darum, Governance- und Risikomanagementstrukturen aufzubauen oder bestehende Strukturen auf alle relevanten KI-Fragen zu erweitern. Dabei könne man vielleicht auf vorhandenen Strukturen aufsetzen, beispielsweise der schon bestehenden Datenschutz-Compliance, erklärt Rechtsexperte Pieper. „Darüber hinaus sollten Richtlinien und Awareness-Strategien entwickelt werden, die in Verbindung mit Schulungen die Mitarbeitenden für den Einsatz von KI sensibilisieren und deren Nutzung fördern.“ Zudem könne auch der Aufbau von Auditstrukturen sinnvoll sein. Größter Feind bei der Umsetzung ist aus seiner Sicht Unwissenheit in den Führungsebenen und unklare Vorstellungen, wo überhaupt KI verwendet wird. Wenn dann auch noch kompetentes Personal und entsprechendes Know-how fehlen, können Pflichten und Vorschriften schon mal übersehen werden. Das allerdings sollte nicht der Fall sein. Denn im EU AI Act sind auch Bußgelder festgeschrieben. Und die können empfindlich hoch sein.

Tech-Start-ups wie Frontnow beobachten die neuen Verordnungen nicht nur deshalb genau. Compliance wird dort als Wettbewerbsfaktor gesehen. Durch proaktive Maßnahmen und eine frühzeitige Anpassung an regulatorische Anforderungen will man sich als verlässlicher Partner in einem zunehmend komplexen Marktumfeld positionieren. Aus diesem Grund werden auch Gesetze und Verordnungen genau verfolgt, die über die Europäische Union hinausgehen, auch wenn der AI Act hier erst einmal einen Standard gesetzt hat.

KI-Technologie wirkt übergreifend

So umfassend der EU AI Act ist – niemand sollte sich davon abschrecken lassen. Auch bei anderen Gesetzesvorhaben wie der DSGVO haben es die Unternehmen geschafft, ähnliche Hürden zu nehmen. Auch damals waren die Vorschriften komplex und bei vielen Fragestellungen schwierig zu interpretieren. Der administrative Aufwand war hoch, die technischen Herausforderungen groß. Es wurden Prozesse überarbeitet, Compliance-Vorschriften verabschiedet, Schulungen abgehalten und IT-Systeme angepasst.

Ähnlich wie bei der DSGVO müssen auch beim EU AI Act die unterschiedlichen Fachrichtungen der Unternehmen zusammenarbeiten – von IT und Sales über Marketing und Controlling bis hin zu Produktion und Einkauf. Denn KI ist eine Technologie, die übergreifend zum Einsatz kommt. Auch müsse klar sein, dass die KI-Compliance über die KI-Verordnung hinaus reiche, betont Pieper. Denn Datenschutz und Urheberrecht spielen ebenfalls eine Rolle. Pieper: „Das muss von Anfang an mitgedacht werden.“