Der EU AI Act: Herausforderungen und zukünftige Entwicklungen

Der EU AI Act: Schlüsselmeilensteine, Compliance-Herausforderungen und der Weg nach vorn

Der Europäische Gesetzesentwurf über Künstliche Intelligenz (EU AI Act) reformiert rasch die regulatorische Landschaft für die Entwicklung und den Einsatz von KI, sowohl innerhalb Europas als auch global.

Phasenweise Einführung: Verständnis des Zeitplans

Der EU AI Act wird in mehreren wesentlichen Phasen umgesetzt:

• 2. Februar 2025: Die ersten Verpflichtungen treten in Kraft, die sich auf die KI-Bildung konzentrieren und bestimmte hochriskante KI-Praktiken verbieten.
• 2. Mai 2025: Die (verzögerte) Veröffentlichung des Code of Practice für allgemeine KI-Modelle (GPAI) war vorgesehen, wurde jedoch aufgrund von Widerstand seitens großer Branchenakteure aufgeschoben.
• 2. August 2025: Governance-Regeln und Verpflichtungen für GPAI-Modelle, die nach diesem Datum auf dem Markt sind, treten in Kraft.
• 2. August 2026: Die meisten Anforderungen des EU AI Act werden vollständig durchsetzbar.
• 2030: Letzte Umsetzungsschritte, insbesondere für den öffentlichen Sektor.

Dieser phasenweise Ansatz gibt Organisationen Zeit zur Anpassung, schafft jedoch auch ein komplexes Compliance-Umfeld.

Der EU AI Act in Kürze

• Weltweit erste umfassende KI-Regulierung: Der EU AI Act setzt einen globalen Präzedenzfall, dessen letztendlicher Einfluss – ähnlich dem „Brüssel-Effekt“ der EU-Datenschutz-Grundverordnung (DSGVO) – noch abzuwarten bleibt.
• Dichte Gesetzgebung: Über 450 Seiten, 68 neue Definitionen, nahezu 200 Erwägungsgründe und mehrere Anhänge, mit zusätzlichen Leitlinien und weichem Recht, die noch erwartet werden.
• Risikobasierter Ansatz: Verpflichtungen skalieren mit dem Risikoniveau des KI-Systems, von verbotenen Praktiken bis hin zu hochriskanten und niedrigriskanten Kategorien.
• Breite Anwendbarkeit: Der EU AI Act gilt für Entwickler (Anbieter), Nutzer (Einsatzkräfte), betroffene Personen, Importeure und Distributoren, unabhängig davon, ob sie in der EU oder im Ausland ansässig sind, aufgrund seiner extraterritorialen Reichweite.
• Strenge Sanktionen: Geldstrafen können bis zu 7 % des globalen Umsatzes oder 35 Millionen Euro erreichen, was sogar die Strafen der DSGVO übertrifft.
• Dualer Vollzug: Sowohl nationale Aufsichtsbehörden als auch das neue EU AI Office werden Durchsetzungsbefugnisse haben, insbesondere für GPAI-Modelle.

Frühe Compliance: Was seit Februar 2025 geschehen ist

Die ersten beiden Verpflichtungen – KI-Bildung und das Verbot bestimmter Praktiken – haben eine Flut von Aktivitäten ausgelöst.

• KI-Bildung: Unternehmen haben Schulungsprogramme gestartet, um sicherzustellen, dass das Personal die Risiken der KI und die regulatorischen Anforderungen versteht.
• Verbotene Praktiken: Organisationen haben begonnen, ihre KI-Systeme zu kartieren und zu bewerten, um sicherzustellen, dass sie sich nicht an verbotenen Aktivitäten beteiligen.

Definition des „KI-Systems“: Anhaltende Herausforderungen

Eine wiederkehrende Herausforderung ist die Bestimmung, ob eine Lösung als „KI-System“ unter dem EU AI Act qualifiziert. Die aktuellen Leitlinien der Europäischen Kommission betonen eine ganzheitliche, fallweise Bewertung basierend auf sieben Kriterien. Dabei wird anerkannt, dass nicht jedes als „KI“ vermarktete System tatsächlich in seinen Anwendungsbereich fällt. Dies hat Bedenken hinsichtlich des „AI-Washings“ ausgelöst: die Überlabelung von Produkten als KI-fähig zu Marketingzwecken.

GPAI-Modelle und der Code of Practice

Ein Schwerpunkt liegt nun auf der Regulierung von GPAI-Modellen, wie z.B. großen Sprachmodellen. Der EU AI Act unterscheidet zwischen:

• GPAI-Modellen: Kern-KI-Technologien (z.B. GPT-4, Mistral), die in der Lage sind, eine breite Palette von Aufgaben auszuführen.
• KI-Systemen: Anwendungen, die auf GPAI-Modellen basieren, mit Benutzeroberflächen und spezifischen Anwendungsfällen (z.B. ChatGPT, Le Chat).

Die Verpflichtungen unterscheiden sich für Anbieter von GPAI-Modellen im Vergleich zu Anbietern von KI-Systemen. Der Code of Practice, der sich derzeit noch in Verhandlung befindet, soll eine Brücke zwischen den gesetzlichen Anforderungen und der praktischen Umsetzung für GPAI-Modellanbieter schlagen. Obwohl er freiwillig ist, könnte die Unterzeichnung des Codes zur Demonstration der Compliance beitragen und die Durchsetzungsentscheidungen beeinflussen.

Allerdings hat der Widerstand der Industrie, insbesondere von großen US-Technologiefirmen, sowie der Druck der US-Regierung die Annahme verzögert. Der endgültige Inhalt und die rechtliche Wirkung des Codes sind noch ungewiss, aber es wird erwartet, dass er sich auf folgende Punkte konzentriert:

• Transparenz: Dokumentations- und Offenlegungspflichten, sowohl gegenüber den Regulierungsbehörden als auch gegenüber nachgelagerten KI-Systemanbietern.
• Urheberrecht: Sicherstellung, dass web-crawled Daten keine geistigen Eigentumsrechte verletzen.
• Systemisches Risiko: Zusätzliche Sicherheitsvorkehrungen für GPAI-Modelle mit potenziell erheblichem gesellschaftlichem Einfluss.

Transparenzpflichten: Eine gemeinsame Verantwortung

Transparenz ist ein Grundpfeiler des EU AI Act. GPAI-Modellanbieter müssen aktuelle Dokumentationen führen und diese sowohl dem EU AI Office als auch nachgelagerten Systemanbietern zur Verfügung stellen. Im Gegenzug müssen Systemanbieter die Nutzer über die Fähigkeiten und Einschränkungen der KI informieren, was den Datenschutzhinweisen der DSGVO ähnelt.

Durchsetzung: Wann treten die Zähne heraus?

Obwohl die Compliance bereits für bestimmte Verpflichtungen erforderlich ist, werden die Durchsetzungsmechanismen, einschließlich Geldstrafen und Strafen, erst ab August 2025 (August 2026 für GPAI-Modelle) aktiv. Nationale Behörden werden noch benannt, aber betroffene Personen und Unternehmen können bereits in nationalen Gerichten Unterlassungsansprüche geltend machen.

Wichtige Erkenntnisse

• Der EU AI Act ist komplex, weitreichend und entwickelt sich ständig weiter.
• Frühe Verpflichtungen konzentrieren sich auf KI-Bildung und das Verbot schädlicher Praktiken.
• Die Definition dessen, was als „KI-System“ zählt, bleibt herausfordernd und erfordert multidisziplinäre Beiträge.
• Der bevorstehende Code of Practice für GPAI-Modelle ist ein kritisches, derzeit jedoch verzögertes Puzzlestück.
• Transparenzpflichten betreffen sowohl GPAI-Modellanbieter als auch KI-Systemanbieter.
• Die Durchsetzung wird ab Mitte 2025 erheblich zunehmen.

Bleiben Sie dran für weitere Entwicklungen, insbesondere wenn der Code of Practice für GPAI-Modelle finalisiert wird und die nächsten Meilensteine des AI Act näher rücken. Für Organisationen, die in der EU tätig sind oder Kunden in der EU haben, sind proaktive Maßnahmen und bereichsübergreifende Compliance-Bemühungen unerlässlich, um sich in dieser neuen regulatorischen Ära zurechtzufinden.