Die AI-Verordnung: Europas neue Regeln für künstliche Intelligenz

Der AI Act ist da: Europas „neues GDPR“ für Künstliche Intelligenz erfordert Ihre Aufmerksamkeit

Die Ära der unregulierten Künstlichen Intelligenz in Europa ist offiziell vorbei. Oft als das „neue GDPR“ bezeichnet, hat die Künstliche Intelligenz-Verordnung der Europäischen Union (Verordnung (EU) 2024/1689) in Kraft getreten, was einen entscheidenden Moment für Unternehmen weltweit markiert.

Veröffentlicht am 12. Juli 2024 und seit dem 1. August 2024 in Kraft, ist diese bahnbrechende Gesetzgebung das weltweit erste umfassende, horizontale Gesetz, das speziell auf KI abzielt. Ihr Ziel ist ehrgeizig: Vertrauenswürdige, menschenzentrierte Künstliche Intelligenz zu fördern, die grundlegende Rechte und Sicherheit respektiert, während Europa gleichzeitig als führend in verantwortungsvoller Innovation etabliert wird.

Für Unternehmen, die KI-Systeme innerhalb des lukrativen EU-Marktes entwickeln, bereitstellen, importieren oder vertreiben — oder sogar außerhalb der EU, wenn die Ergebnisse ihrer KI innerhalb des Blocks genutzt werden — ist das Verständnis und die Einhaltung des AI Acts keine Option mehr. Es ist ein strategisches Imperativ.

Eine risikobasierte Revolution: Klassifizierung Ihrer KI

Die Grundlage des AI Acts liegt in einem risikobasierten Ansatz, was bedeutet, dass die Verpflichtungen mit dem potenziellen Schaden, den ein KI-System verursachen könnte, skalieren:

Unakzeptables Risiko: Diese Systeme werden als klare Bedrohung für Sicherheit, Lebensgrundlagen und Rechte angesehen und sind vollständig verboten. Dazu gehören Praktiken wie manipulative subliminale Techniken, ausbeuterische KI, die vulnerablen Gruppen zuarbeitet, staatlich geführte soziale Bewertungssysteme und bestimmte Anwendungen biometrischer Identifizierung (wie untargeted facial image scraping oder, mit sehr engen Ausnahmen, Echtzeit-Fernbiometrie durch die Strafverfolgung). Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen fällt ebenfalls unter dieses Verbot. Diese Verbote treten ab dem 2. Februar 2025 in Kraft.

Hochrisiko (HRAIS): Erlaubt, unterliegt jedoch strengen Anforderungen vor dem Markteintritt und während des Betriebs. Hier werden viele Unternehmen die bedeutendsten Auswirkungen des Gesetzes spüren. HRAIS umfassen KI-Systeme, die in:

• Begrenztem Risiko: Diese Systeme erfordern Transparenz. Die Benutzer müssen sich bewusst sein, dass sie mit KI interagieren (z.B. Chatbots) oder dass Inhalte KI-generiert sind (z.B. „Deepfakes“, KI-verfasste Artikel). Eine klare Kennzeichnung ist obligatorisch.
• Minimalem Risiko: Die überwiegende Mehrheit der aktuellen KI-Anwendungen (Spam-Filter, KI in Videospielen, einfache Empfehlungssysteme) fällt hierher. Der AI Act erhebt keine neuen spezifischen Verpflichtungen für diese Systeme, obwohl freiwillige Verhaltenskodizes empfohlen werden.

Über Anwendungen hinaus: Regulierung von Grundlagenmodellen (GPAI)

Signifikant regelt der Act auch General-Purpose AI (GPAI) Modelle — die leistungsstarken, vielseitigen Grundlagen wie große Sprachmodelle (LLMs), die hinter Systemen wie ChatGPT stehen. Alle GPAI-Anbieter unterliegen Transparenzpflichten, einschließlich technischer Dokumentation, Informationen für nachgelagerte Entwickler, der Einrichtung einer Compliance-Richtlinie für Urheberrechte und der Veröffentlichung einer Zusammenfassung des Inhalts der Trainingsdaten.

Die leistungsstärksten Modelle, die als „systemisches Risiko“ eingestuft werden (basierend auf Faktoren wie der Rechenleistung beim Training, die die Schwellenwerte wie 10^25 FLOPs überschreiten könnten — obwohl die Kommission Kriterien aktualisieren kann), stehen vor zusätzlichen Hürden: obligatorischen Modellbewertungen (einschließlich adversarial testing), Bewertung und Minderung systemischer Risiken, Vorfallverfolgung und verbesserte Cybersicherheit. Diese Regeln treten am 2. August 2025 in Kraft.

Die Uhr tickt: Wichtige Fristen zur Einhaltung

Obwohl der Act im August 2024 in Kraft trat, gelten seine Bestimmungen schrittweise:

• 2. Februar 2025: Verbote von unakzeptablen KI-Systemen treten in Kraft.
• 2. August 2025: Regeln für GPAI-Modelle gelten. Governance-Organe (EU AI Office, AI Board) werden operational. Entscheidende Regeln zu Strafen beginnen ebenfalls zu gelten.
• 2. August 2026: Die Mehrheit der Anforderungen des AI Acts wird vollständig anwendbar, einschließlich der anspruchsvollen Verpflichtungen für hochriskante KI-Systeme (HRAIS), die in Anhang III aufgeführt sind (wie die in HR, Finanzen, Bildung).
• 2. August 2027 (36 Monate): HRAIS-Regeln gelten für KI, die als Sicherheitskomponenten in bereits durch andere EU-Harmonisierungsgesetze abgedeckten Produkten (z.B. medizinische Geräte, Maschinen) verwendet werden.

Der gestaffelte Zeitplan bietet ein Fenster zur Vorbereitung, aber die frühen Fristen für Verbote und GPAI-Regeln erfordern sofortige Maßnahmen.

Hohe Strafen für Nichteinhaltung

Die EU unterstützt den AI Act mit erheblichen Durchsetzungsbefugnissen und Strafen, die der Schwere des GDPR entsprechen:

• Bis zu 35 Millionen Euro oder 7 % des globalen Jahresumsatzes (je nachdem, welcher Betrag höher ist) für Verstöße wie die Nutzung verbotener KI-Praktiken oder die Verletzung der Datenanforderungen für HRAIS.
• Bis zu 15 Millionen Euro oder 3 % des globalen Jahresumsatzes für die Nichteinhaltung anderer wichtiger Verpflichtungen (z.B. die meisten HRAIS-Regeln, GPAI-Anforderungen, Transparenzpflichten).
• Bis zu 7,5 Millionen Euro oder 1 % des globalen Jahresumsatzes für die Bereitstellung falscher oder irreführender Informationen an die Behörden.

Obwohl niedrigere Obergrenzen für KMU und Startups gelten (generell die niedrigere der beiden Schwellenwerte), ist die Botschaft klar: Die Einhaltung ist ein Thema auf Vorstandsebene.

Was Ihr Unternehmen jetzt tun muss

Die Navigation des AI Acts erfordert sofortige und strategische Planung:

1. Audit & Inventar: Identifizieren Sie ALLE KI-Systeme, die in Ihren Betrieben, Produkten und Dienstleistungen verwendet werden. Die Definition von KI im Act ist breit.
2. Risiko klassifizieren: Bestimmen Sie die Risikokategorie (Unakzeptabel, Hoch, Begrenzte, Minimale) für jedes identifizierte KI-System basierend auf seinem beabsichtigten Zweck und potenziellen Auswirkungen. Dies ist entscheidend.
3. Lücken bewerten & Ressourcen zuweisen: Verstehen Sie, wo Ihre aktuellen Praktiken hinter den Anforderungen des Acts zurückbleiben (insbesondere für potenzielle HRAIS oder GPAI) und budgetieren Sie für notwendige Änderungen (Rechtsberatung, technische Anpassungen, Datenprüfungen, Dokumentation, Schulungen).
4. KI-Governance etablieren: Implementieren Sie interne Richtlinien, Verfahren und klare Rollen/Verantwortlichkeiten für die verantwortungsvolle Entwicklung und Implementierung von KI, wobei Compliance-Prüfungen im gesamten KI-Lebenszyklus eingebettet werden.
5. Entwicklungen überwachen: Halten Sie sich über die Leitlinien des EU AI Office, die Entwicklung harmonisierter Standards (die eine Vermutung der Konformität bieten) und nationale Umsetzungsdetails informiert.
6. Engagement für Unterstützung: Erkunden Sie regulatorische Sandkästen und nationale Unterstützungsprogramme, insbesondere wenn Sie ein KMU oder Startup sind, um Lösungen zu testen und Unterstützung zu erhalten.

Sektorale Schwerpunkte:

• HR: KI in der Rekrutierung, Leistungsüberwachung und Kündigungsentscheidungen ist größtenteils hochriskant. Erhöhen Sie die Aufmerksamkeit für die Minderung von Vorurteilen, Transparenz gegenüber Kandidaten/Mitarbeitern und die Notwendigkeit einer sinnvollen menschlichen Aufsicht.
• Finanzen: Kreditbewertung und Risikobewertung in der Versicherung mit KI sind ausdrücklich hochriskant. Die Integration der Compliance mit dem AI Act in bestehende Finanzvorschriften (wie DORA für operationale Resilienz) ist entscheidend. Transparenz, Fairness und robuste Datenverwaltung sind von größter Bedeutung. Dokumentation von Auswirkungen auf grundlegende Rechte könnte erforderlich sein.
• E-Commerce & Marketing: Fokussieren Sie sich auf Transparenz (deutlich erkennbar, ob es sich um Chatbots oder KI-Empfehlungen handelt) und vermeiden Sie manipulative oder diskriminierende Praktiken. Die Kennzeichnung KI-generierter Inhalte (Deepfakes, KI-Artikel) ist unerlässlich. Stellen Sie sicher, dass Profiling den Datenschutz (GDPR) respektiert und unfairen Bias vermeidet.

Das Fazit

Der EU AI Act formt die KI-Landschaft um und setzt einen globalen Maßstab für die Regulierung dieser transformativen Technologie. Während der Compliance-Prozess Kosten und Herausforderungen mit sich bringt, insbesondere für KMU, kann die Annahme der Prinzipien von vertrauenswürdiger und verantwortungsvoller KI erhebliche Wettbewerbsvorteile, ein erhöhtes Kundenvertrauen und die Minderung erheblicher finanzieller und reputationsbezogener Risiken schaffen.

Die Zeit zur Vorbereitung ist nicht am Horizont — sie ist jetzt.