Erste Schritte zur Compliance mit dem EU AI Act

Erste Schritte zur Einhaltung: Frühzeitige Verpflichtungen unter dem EU AI Act

Der EU AI Act, der am 1. August 2024 in Kraft trat, markiert den weltweit ersten umfassenden regulatorischen Rahmen für Künstliche Intelligenz (KI). Während die meisten Bestimmungen ab dem 2. August 2026 gelten, traten einige wichtige Anforderungen, einschließlich der KI-Kompetenzpflichten, der Definition von KI-Systemen und Verboten verbotener Praktiken, bereits am 2. Februar 2025 in Kraft. Diese frühen Meilensteine signalisieren den Beginn eines neuen regulatorischen Rahmens für KI in Europa.

Um Unternehmen bei der Navigation durch diese frühen Compliance-Verpflichtungen zu unterstützen, hat die Europäische Kommission im Februar 2025 zwei Sets von Richtlinien veröffentlicht, darunter solche, die die Definition von KI-Systemen (Richtlinien zu KI-Systemen) und verbotene KI-Praktiken (Richtlinien zu verbotener KI) abdecken. Obwohl diese Richtlinien nicht bindend sind, helfen sie Unternehmen, zu beurteilen, wie diese Regeln ihre KI-Operationen betreffen und sicherzustellen, dass sie auf die Einhaltung vorbereitet sind.

KI-Kompetenz: Eine grundlegende Compliance-Anforderung

Der EU AI Act fordert KI-Kompetenz als grundlegende Compliance-Anforderung. Organisationen, die KI einsetzen, müssen sicherstellen, dass ihre Mitarbeiter, Auftragnehmer und relevanten Dritten über die notwendigen Fähigkeiten und Kenntnisse verfügen, um KI verantwortungsbewusst einzusetzen und damit verbundene Risiken zu managen.

Was KI-Kompetenz in der Praxis bedeutet

KI-Kompetenz ist nicht einfach nur die Durchführung von Schulungsprogrammen. Laut dem EU AI Act ist es eine nachweisbare Compliance-Anforderung für Organisationen, sicherzustellen, dass alle Personen, die an der Bereitstellung und Überwachung von KI-Systemen beteiligt sind, sowohl die Technologie als auch ihre Risiken verstehen. Dieser Wandel legt eine größere Verantwortung auf Unternehmen, sich auf sinnvolle Bildungsprogramme zu konzentrieren, die Verständnis und Anwendung über einmalige Schulungssitzungen hinaus demonstrieren.

Eine der größten Herausforderungen, mit denen Unternehmen konfrontiert sind, ist die sich schnell entwickelnde Natur der KI-Technologie. KI-Kompetenzprogramme sollten so gestaltet sein, dass sie branchenspezifische Risiken widerspiegeln und regelmäßig aktualisiert werden, um mit den rasanten technologischen Entwicklungen Schritt zu halten. Kleinere Organisationen könnten auch Schwierigkeiten haben, Ressourcen für umfassende KI-Schulungen bereitzustellen, während verschiedene Branchen maßgeschneiderte Ansätze benötigen, um branchenspezifische Risiken zu berücksichtigen.

Integration der Governance und Erwartungen der Regulierungsbehörden

Statt KI-Kompetenz als eigenständige Verpflichtung zu behandeln, sollten Unternehmen diese in ihre bestehenden Governance- und Risikomanagementrahmen integrieren. Dies wird nicht nur dazu beitragen, eine Kultur des verantwortungsvollen KI-Einsatzes aufzubauen, sondern auch die KI-Überwachung zu verbessern, die Entscheidungsfindung zu optimieren und das Vertrauen der Stakeholder zu stärken. Während das Versäumnis, KI-Kompetenz umzusetzen, keine direkten Strafen nach sich zieht, können Regulierungsbehörden dies bei der Festlegung von Geldbußen für umfassendere Verstöße gegen den AI Act berücksichtigen.

Umfang und verbotene KI-Praktiken: Die Grenzen verstehen

Die Definition eines KI-Systems ist ein zentraler Pfeiler des AI Act, der bestimmt, welche Technologien unter seinen Anwendungsbereich fallen.

Definition eines KI-Systems gemäß dem AI Act: Was Unternehmen wissen müssen

Der EU AI Act bietet eine definitionsbasierte Lebenszyklusdefinition von KI, die sowohl Entwicklungs- (Bauphase) als auch Bereitstellungsphasen (Nutzungsphase) umfasst. Die Richtlinien zu KI-Systemen bestätigen, dass aufgrund der Vielzahl an KI-Anwendungen keine definitive Liste von KI-Systemen bereitgestellt werden kann. Stattdessen wird KI durch sieben Schlüsselfaktoren definiert:

1. Ein maschinenbasiertes System
2. Entwickelt, um mit unterschiedlichen Autonomiestufen zu arbeiten
3. Das nach der Bereitstellung Anpassungsfähigkeit zeigen kann
4. Für explizite oder implizite Ziele tätig
5. Aus Eingaben Schlussfolgerungen zieht, um Ausgaben zu generieren
6. Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen produziert
7. Physische oder virtuelle Umgebungen beeinflusst

Es müssen jedoch nicht alle sieben Elemente jederzeit vorhanden sein, damit ein System gemäß dem Gesetz als KI qualifiziert wird. Die Definition soll die Komplexität und Vielfalt der KI-Systeme widerspiegeln und gleichzeitig sicherstellen, dass sie mit den Zielen des AI Act übereinstimmt.

Organisationen sollten beachten, dass diese Definition nicht mechanisch angewendet werden sollte. Jedes System muss individuell auf der Grundlage seiner spezifischen Merkmale bewertet werden. Während viele KI-Systeme die im AI Act festgelegte Definition erfüllen werden, unterliegen nicht alle der Regulierung. Letztendlich wird der Europäische Gerichtshof für autoritative Interpretationen der Klassifizierung von KI-Systemen verantwortlich sein.

Verbotene KI-Praktiken: Was ist tabu?

Artikel 5 des AI Act beschreibt KI-Praktiken, die inakzeptable Risiken für Grundrechte, öffentliche Sicherheit und demokratische Werte darstellen. Diese Verbote werden jährlich von der Europäischen Kommission überprüft, sodass die Liste mit den technologischen Entwicklungen weiterentwickelt werden kann.

Während einige Verbote hauptsächlich Regierungen und Strafverfolgungsbehörden betreffen, haben andere direkte Auswirkungen auf Unternehmen. Zwei der bedeutendsten Einschränkungen, die kommerzielle KI-Anwendungen betreffen, sind die Ausnutzung von Verwundbarkeiten und das soziale Scoring.

1. Ausnutzung von Verwundbarkeiten (Artikel 5(1)(b))

KI-Systeme, die absichtlich die Verwundbarkeiten von Individuen aufgrund von Alter, Behinderung oder sozioökonomischem Status ausnutzen, insbesondere bei Kindern oder gefährdeten Personen, die zu erheblichen Schäden führen, sind strikt verboten. Die Richtlinien zu verbotener KI definieren Verwundbarkeiten weit, einschließlich kognitiver, emotionaler und physischer Anfälligkeiten.

Ein zentrales Beispiel sind KI-gesteuerte Spielzeuge, die darauf ausgelegt sind, Kinder dazu zu bringen, risikobehaftetes Verhalten zu zeigen, wie z. B. übermäßige Zeit online zu verbringen oder unsichere Entscheidungen zu treffen. Ein weiteres Beispiel sind süchtig machende, KI-gesteuerte Mechanismen, wie Verstärkungsschemata, die Dopamin-Schleifen ausnutzen, um das Engagement der Nutzer zu erhöhen.

2. Soziales Scoring (Artikel 5(1)(c))

Soziales Scoring bezieht sich auf KI-Systeme, die Individuen basierend auf ihrem sozialen Verhalten, persönlichen Eigenschaften oder abgeleiteten Eigenschaften bewerten oder klassifizieren, was zu nachteiliger oder unverhältnismäßiger Behandlung führt.

Dieses Verbot gilt in zwei Fällen: (1) wenn das soziale Scoring negative Konsequenzen in einem nicht verwandten Kontext hat, wie z. B. die Verwendung der finanziellen Ausgabengewohnheiten eines Individuums zur Bestimmung seiner Beschäftigungsfähigkeit; und (2) wenn die Konsequenzen des sozialen Scorings unverhältnismäßig zu dem bewerteten Verhalten sind.

Die Richtlinien zu verbotener KI und aktuelle Rechtsprechung, wie SCHUFA (C-634/21) und Dun & Bradstreet (C-203/22), veranschaulichen, wie diese Verbote in der Praxis angewendet werden. Die Profilierung von Individuen unter Verwendung von KI-gesteuerten Bewertungssystemen kann unter verbotener KI fallen, wenn alle notwendigen Bedingungen erfüllt sind. Viele KI-gesteuerte Scoring- und Bewertungssysteme werden jedoch nicht unter die Vorschriften fallen.

Ein Beispiel ist Dun & Bradstreet, ein Unternehmen, das sich auf datenanalytische Dienstleistungen spezialisiert hat, das wahrscheinlich nicht als verbotene soziale Bewertung gemäß dem AI Act betrachtet wird, da die Modelle die finanzielle Gesundheit von Unternehmen und Individuen für legitime kommerzielle Zwecke bewerten. Im Gegensatz dazu könnte ein Versicherungsunternehmen, das Banktransaktionsdaten sammelt — die nicht mit der Berechtigung zur Lebensversicherung in Zusammenhang stehen — und diese zur Anpassung der Prämienpreise verwendet, sich möglicherweise in verbotenen sozialen Scoring befinden.

Fazit: Vorbereitung auf die Einhaltung

Unternehmen sollten bewerten, ob ihre KI-Systeme unter den AI Act fallen, ihre KI-Kompetenzprogramme überprüfen und ihre KI-gesteuerten Werkzeuge auf potenzielle Risiken im Zusammenhang mit der Ausnutzung von Verwundbarkeiten oder sozialem Scoring prüfen. Angesichts der jährlichen Aktualisierungen der Liste verbotener Praktiken müssen Unternehmen auch die regulatorischen Entwicklungen genau im Auge behalten, um compliant zu bleiben.

Obwohl der AI Act neue regulatorische Herausforderungen mit sich bringt, bietet er auch einen Rahmen für verantwortungsvolle KI-Governance. Unternehmen, die einen proaktiven Ansatz zur Einhaltung verfolgen — indem sie KI-Kompetenz in Governance-Rahmen integrieren, KI-Risiken bewerten und verantwortungsvoll bereitstellen — werden nicht nur rechtliche Risiken mindern, sondern auch die Reife der KI-Governance erreichen, das Vertrauen der Verbraucher stärken und ihre Wettbewerbsfähigkeit in einer KI-gesteuerten Wirtschaft verbessern.