Das Künstliche Intelligenz-Gesetz der Europäischen Union (EU-KI-Gesetz) ist eine wegweisende Verordnung, die den Einsatz künstlicher Intelligenz (KI) innerhalb der EU regeln soll. Als erster umfassender Versuch, KI weltweit zu regulieren, wird das Gesetz weitreichende Auswirkungen auf Unternehmen, Entwickler und Benutzer von KI-Systemen haben. Dieser Bericht bietet eine eingehende Analyse des EU-KI-Gesetzes, seines Umfangs, seiner wichtigsten Bestimmungen, seiner Compliance-Anforderungen und seiner möglichen Auswirkungen auf verschiedene Interessengruppen.
Einführung
Das EU-KI-Gesetz wurde am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht und trat am 1. August 2024 in Kraft. Das Gesetz verfolgt einen risikobasierten Ansatz zur KI-Regulierung und zielt darauf ab, Innovation mit dem Schutz der Grundrechte in Einklang zu bringen. Die Einhaltung des Gesetzes wird schrittweise über einen Zeitraum von drei Jahren eingeführt, wobei für verschiedene Arten von KI-Systemen unterschiedliche Fristen gelten (Taylor Wessing).
Inhaltsverzeichnis
Umfang und Geltungsbereich
Das EU-KI-Gesetz gilt für eine breite Palette von KI-Systemen und kategorisiert sie anhand ihres Risikoniveaus. Das Gesetz definiert KI weit gefasst und umfasst verschiedene Technologien und Systeme, darunter maschinelles Lernen, Expertensysteme und statistische Ansätze (KPMG). Die Verordnung betrifft Unternehmen sowohl innerhalb als auch außerhalb der EU, sofern ihre KI-Systeme Auswirkungen auf in der EU ansässige Personen haben oder innerhalb der EU eingesetzt werden (KPMG).
Risikoklassifizierungen
Das KI-Gesetz unterteilt KI-Systeme in vier Risikokategorien:
- Inakzeptables Risiko: KI-Systeme, die eine erhebliche Bedrohung für Grundrechte und Sicherheit darstellen, sind verboten. Beispiele hierfür sind KI für Social Scoring durch Regierungen und biometrische Echtzeit-Identifizierung im öffentlichen Raum für die Strafverfolgung (TechCrunch).
- Hohes Risiko: Diese Systeme erfordern strenge Compliance-Maßnahmen, darunter Risikomanagement, Datenverwaltung und menschliche Aufsicht. Zu den KI-Systemen mit hohem Risiko zählen solche, die in kritischer Infrastruktur, Bildung, Beschäftigung und Strafverfolgung eingesetzt werden (Künstliche Intelligenz-Gesetz).
- Begrenztes Risiko: KI-Systeme dieser Kategorie müssen bestimmte Transparenzpflichten einhalten, etwa die Nutzer darüber zu informieren, wenn sie mit einem KI-System interagieren (MIT Technology Review).
- Minimales oder kein Risiko: Die meisten KI-Systeme fallen in diese Kategorie und unterliegen keinen spezifischen regulatorischen Anforderungen (TechCrunch).
Wichtige Bestimmungen
Compliance-Anforderungen
Das KI-Gesetz legt Anbietern, Betreibern, Importeuren und Händlern von KI-Systemen verschiedene Pflichten auf. Die meisten dieser Pflichten treffen Anbieter von KI-Systemen mit hohem Risiko. Zu den wichtigsten Compliance-Anforderungen gehören:
- Risikomanagement: Anbieter müssen ein Risikomanagementsystem implementieren, um die mit ihren KI-Systemen verbundenen Risiken zu identifizieren, zu bewerten und zu mindern (Künstliche Intelligenz-Gesetz).
- Datenamt: Die Sicherstellung der Qualität und Integrität der von KI-Systemen verwendeten Daten ist von entscheidender Bedeutung. Anbieter müssen Daten-Governance-Frameworks einrichten, um die Datenerfassung, -verarbeitung und -speicherung zu verwalten (KPMG).
- Menschliche Aufsicht: Hochrisiko-KI-Systeme müssen so konzipiert sein, dass eine menschliche Kontrolle möglich ist und sichergestellt ist, dass Menschen bei Bedarf eingreifen und KI-Entscheidungen außer Kraft setzen können (MIT Technology Review).
- Transparenz: Anbieter müssen Nutzer informieren, wenn sie mit einem KI-System interagieren, und die Fähigkeiten und Grenzen des Systems offenlegen (Künstliche Intelligenz-Gesetz).
Strafen bei Nichteinhaltung
Das KI-Gesetz sieht bei Nichteinhaltung erhebliche Strafen vor, ähnlich wie die Datenschutz-Grundverordnung (DSGVO). Die Bußgelder richten sich nach der Schwere des Verstoßes und dem weltweiten Jahresumsatz des Unternehmens:
- Bis zu 35 Millionen Euro oder 71 TP3B des jährlichen weltweiten Umsatzes für verbotene KI-Praktiken.
- Bis zu 20 Millionen Euro oder 4% für Systemverstöße mit hohem Risiko.
- Bis zu 7,5 Millionen Euro oder 1,51 TP3T für die Bereitstellung falscher oder irreführender Informationen (Taylor Wessing).
Zeitplan für die Umsetzung
Die Fristen für die Einhaltung des AI Act sind gestaffelt, sodass Unternehmen Zeit haben, sich an die neuen Vorschriften anzupassen. Zu den wichtigsten Meilensteinen gehören:
- 2. Februar 2025: Durchsetzung von Verboten verbotener KI-Systeme und Anforderungen an die KI-Kompetenz.
- 1. August 2025: Konformitätsanforderungen für General Purpose AI (GPAI)-Modelle.
- 1. August 2026: Vollständige Konformität für Hochrisiko-KI-Systeme gemäß Anhang III.
- 1. August 2027: Die Einhaltung der Vorschriften für Hochrisiko-KI-Systeme, bei denen es sich um Produkte oder Sicherheitskomponenten von Produkten handelt, die unter die in Anhang I aufgeführten Rechtsvorschriften fallen (PwC).
Auswirkungen auf Unternehmen
Globale Reichweite
Das EU-KI-Gesetz hat eine extraterritoriale Wirkung, d. h. es gilt für Unternehmen außerhalb der EU, wenn deren KI-Systeme EU-Bürger betreffen oder innerhalb der EU eingesetzt werden. Dieser breite Anwendungsbereich stellt sicher, dass die Verordnung globale Auswirkungen hat und KI-Praktiken weltweit beeinflusst (KPMG).
Compliance-Herausforderungen
Unternehmen müssen erhebliche Anstrengungen unternehmen, um dem KI-Gesetz zu entsprechen. Zu den wichtigsten Schritten gehören:
- Umfangsanalyse: Kartierung von KI-Systemen und Bewertung ihres Risikoniveaus, um die geltenden regulatorischen Anforderungen zu ermitteln (Ashurst).
- Gap-Analyse: Ermittlung der Bereiche, in denen die Vorschriften nicht eingehalten werden, und Entwicklung von Aktionsplänen zur Schließung dieser Lücken (KPMG).
- Organisatorische Transformation: Einrichtung multidisziplinärer Task Forces zur Steuerung der Compliance-Bemühungen, darunter Fachleute aus den Bereichen Recht, Datenschutz, Datenwissenschaft, Risikomanagement und Beschaffung (KPMG).
Möglichkeiten für Innovationen
Das KI-Gesetz schreibt zwar strenge Vorschriften vor, bietet aber auch Möglichkeiten für Innovationen. Indem es sicherstellt, dass KI-Systeme sicher, transparent und vertrauenswürdig sind, soll das Gesetz KI-Investitionen fördern und einen harmonisierten EU-Binnenmarkt für KI schaffen (KPMG).
Abschluss
Das EU-KI-Gesetz stellt einen wichtigen Schritt zur Regulierung der KI dar, der Innovation und den Schutz der Grundrechte in Einklang bringt. Unternehmen, Entwickler und Nutzer von KI-Systemen müssen sich der Anforderungen des Gesetzes bewusst sein und proaktiv Maßnahmen ergreifen, um die Einhaltung sicherzustellen. Auf diese Weise können sie nicht nur erhebliche Strafen vermeiden, sondern auch zur Entwicklung sicherer, transparenter und vertrauenswürdiger KI-Systeme beitragen.