Der EU AI Act: Wichtige Meilensteine, Compliance-Herausforderungen und der Weg nach vorn
Der EU AI Act verändert rasch die regulatorische Landschaft für die Entwicklung und den Einsatz von Künstlicher Intelligenz (KI) sowohl in Europa als auch weltweit. Die Implementierung erfolgt in mehreren Phasen, die es Organisationen ermöglichen, sich anzupassen, jedoch auch ein komplexes Compliance-Umfeld schaffen.
Phasenweise Einführung: Verständnis des Zeitplans
Der EU AI Act wird in mehreren Schlüsselphasen umgesetzt:
- 2. Februar 2025: Die ersten Verpflichtungen traten in Kraft, die sich auf KI-Kompetenz konzentrieren und bestimmte hochriskante KI-Praktiken verbieten.
- 2. Mai 2025: Die (verzögerte) Veröffentlichung des Code of Practice für allgemeine KI-Modelle (GPAI) war geplant, wurde jedoch aufgrund von Widerstand aus der Industrie verschoben.
- 2. August 2025: Die Governance-Regeln für GPAI-Modelle treten in Kraft.
- 2. August 2026: Die meisten Anforderungen des EU AI Act werden voll durchsetzbar.
- 2030: Abschluss der Implementierung, insbesondere für den öffentlichen Sektor.
Der EU AI Act in Kürze
- Weltweit erste umfassende KI-Regulierung: Der EU AI Act setzt einen globalen Präzedenzfall.
- Dichte Gesetzgebung: Über 450 Seiten, 68 neue Definitionen und fast 200 Erwägungsgründe.
- Risiko-basierter Ansatz: Verpflichtungen skalieren mit dem Risiko des KI-Systems.
- Breite Anwendung: Gilt für Entwickler, Anwender und betroffene Personen, unabhängig von ihrem Standort.
- Schwere Strafen: Geldstrafen können bis zu 7 % des globalen Umsatzes oder 35 Millionen Euro erreichen.
- Duale Durchsetzung: Nationale Aufsichtsbehörden und das neue EU AI Büro haben Durchsetzungsbefugnisse.
Frühe Compliance: Was seit Februar 2025 geschehen ist
Die ersten beiden Verpflichtungen – KI-Kompetenz und das Verbot bestimmter Praktiken – haben eine Welle von Aktivitäten ausgelöst.
- KI-Kompetenz: Unternehmen haben Schulungsprogramme gestartet, um sicherzustellen, dass Mitarbeiter die Risiken und regulatorischen Anforderungen verstehen.
- Verbotene Praktiken: Organisationen haben begonnen, ihre KI-Systeme zu kartieren und zu bewerten.
Definition des „KI-Systems“: Anhaltende Herausforderungen
Eine wiederkehrende Herausforderung besteht darin, zu bestimmen, ob eine Lösung als „KI-System“ unter dem EU AI Act qualifiziert. Die neuesten Leitlinien der Europäischen Kommission betonen eine ganzheitliche, fallweise Bewertung.
GPAI-Modelle und der Code of Practice
Ein Hauptaugenmerk liegt nun auf der Regulierung von GPAI-Modellen, wie z.B. großen Sprachmodellen. Die Verpflichtungen unterscheiden sich je nach Anbieter:
- GPAI-Modelle: Kern-KI-Technologien (z.B. GPT-4).
- KI-Systeme: Anwendungen, die auf GPAI-Modellen basieren.
Transparenzpflichten: Eine gemeinsame Verantwortung
Transparenz ist ein Grundpfeiler des EU AI Act. Anbieter von GPAI-Modellen müssen aktuelle Dokumentationen führen und teilen.
Durchsetzung: Wann treten die Zähne heraus?
Obwohl bereits jetzt Compliance für bestimmte Verpflichtungen erforderlich ist, werden die Durchsetzungsmechanismen ab August 2025 aktiv.
Schlussfolgerungen
- Der EU AI Act ist komplex und weitreichend.
- Frühe Verpflichtungen konzentrieren sich auf KI-Kompetenz und das Verbot schädlicher Praktiken.
- Die Definition eines „KI-Systems“ bleibt herausfordernd.
- Der bevorstehende Code of Practice für GPAI-Modelle ist entscheidend, jedoch verzögert.
- Transparenzpflichten betreffen beide Anbieter.
- Die Durchsetzung wird ab Mitte 2025 erheblich zunehmen.
