Der EU AI Act – Was bedeutet er für UK-Organisationen, die KI-Systeme nutzen oder bereitstellen?
Der EU AI Act (das Gesetz) ist der weltweit erste umfassende regulatorische Rahmen für künstliche Intelligenz, der weitreichende Verpflichtungen in jeder Phase der KI-Lieferkette auferlegt. Obwohl es sich um EU-Recht handelt, hat das Gesetz erhebliche extraterritoriale Wirkung, und Unternehmen im Vereinigten Königreich müssen vorsichtig agieren. Der Anwendungsbereich des Gesetzes ist breit gefasst und erstreckt sich nicht nur auf Entwickler und Anbieter von KI-Systemen, sondern auch auf Unternehmen, die KI-Systeme einfach nur nutzen.
Die Vorschriften sind bereits teilweise in Kraft. Das Gesetz trat am 1. August 2024 in Kraft, mit schrittweiser Umsetzung bis August 2027 (möglicherweise verlängert durch die vorgeschlagene „Digital Omnibus Regulation on AI“ der EU, die im November 2025 vorgestellt wurde). Dies bedeutet, dass viele britische Unternehmen, die KI-Systeme nutzen oder bereitstellen, bereits unter den Anwendungsbereich des Gesetzes fallen und möglicherweise erheblichen Strafen bei Verstößen ausgesetzt sind (bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes).
Welche Verpflichtungen werden durch das Gesetz auferlegt?
Das Gesetz verfolgt einen risikobasierten Ansatz, wobei Verpflichtungen allgemein an die Risikokategorisierung eines KI-Systems und die relevante Position der Organisation in der Lieferkette im Zusammenhang mit diesem System gebunden sind.
Für alle Risikostufen gelten einige Verpflichtungen, die für alle betroffenen Unternehmen unabhängig von der Risikostufe gelten. Dazu gehört die Anforderung, dass Unternehmen sicherstellen, dass ihre Mitarbeiter und andere, die KI-Systeme betreiben oder nutzen, ausreichend „KI-gebildet“ sind.
Für Systeme mit begrenztem Risiko, die direkt mit Personen interagieren (z. B. Chatbots), müssen Anbieter und Nutzer verschiedene Transparenzanforderungen ab dem 2. August 2026 erfüllen.
Hochrisikosysteme unterliegen strengeren Verpflichtungen, einschließlich der Überwachung der Leistung des KI-Systems gemäß den Benutzungsanweisungen und der Durchführung von Auswirkungenbewertungen.
Extraterritorialer Anwendungsbereich – Welche britischen Unternehmen sind vom EU AI Act betroffen?
Der Act hat erhebliche extraterritoriale Wirkung, und britische Unternehmen können in seinen Anwendungsbereich fallen, wenn sie KI-Systeme auf dem EU-Markt bereitstellen oder nutzen. Unternehmen, die KI-Systeme im Vereinigten Königreich verwenden und deren Ergebnisse dann in der EU genutzt werden, fallen ebenfalls unter das Gesetz.
Herausforderungen bei der Bestimmung der Anwendbarkeit des Gesetzes auf britische Nutzer
Ein potenzielles Risiko für britische Nutzer von KI besteht darin, dass viele Unternehmen, die KI verwenden, nicht beabsichtigen, dass die Ergebnisse dieser Nutzung jemals in der EU landen, diese Ergebnisse aber unbeabsichtigt doch in der EU ankommen könnten. Die Interpretation der Begriffe und rechtlichen Bestimmungen des Gesetzes könnte unklar sein, was die Einhaltung erschwert.
Strafen und Durchsetzbarkeit
Die Strafen für Verstöße können sehr hoch sein, hängen jedoch von der Art des Verstoßes ab. Verstöße gegen Verbote im Zusammenhang mit unzulässigen Risikosystemen werden am schwersten bestraft.
Welche Schritte sollten britische Unternehmen unternehmen?
Wichtige Fragen, die sich britische Unternehmen stellen sollten, sind:
- Ob sie möglicherweise unter das Gesetz fallen und wenn ja, ob sie sich sicher im risikofreien Bereich bewegen oder ob strengere Anforderungen gelten.
- Um die Exposition gegenüber dem EU AI Act zu verwalten, sollten britische Unternehmen interne Überprüfungen durchführen und sicherstellen, dass sie die Anforderungen zur KI-Bildung erfüllen.
Diese Veröffentlichung ist eine allgemeine Zusammenfassung des Gesetzes und sollte keine rechtliche Beratung ersetzen.
