EU AI-Gesetz Standardisierung: Innovation, Compliance und Wettbewerb in Einklang bringen

Künstliche Intelligenz verändert rasant unsere Welt und macht klare Richtlinien und Vorschriften erforderlich. Das KI-Gesetz der Europäischen Union stellt einen mutigen Schritt zur Gestaltung der Entwicklung und des Einsatzes dieser leistungsstarken Technologien dar. Eine zentrale Säule dieser Gesetzgebung ist die Schaffung und Umsetzung technischer Standards. Diese Standards zielen darauf ab, die übergeordneten Prinzipien des KI-Gesetzes in konkrete, umsetzbare Schritte für Unternehmen zu übersetzen. Der Prozess der Definition dieser Standards und der Sicherstellung ihrer effektiven Anwendung birgt jedoch eine Reihe einzigartiger Herausforderungen und Chancen, die die Zukunft der KI-Innovation und des Wettbewerbs innerhalb der EU und darüber hinaus bestimmen könnten. Die Untersuchung der Ziele, der wichtigsten Interessengruppen und der praktischen Auswirkungen dieser Standards ist entscheidend für das Verständnis der potenziellen Auswirkungen des KI-Gesetzes.

Was sind die grundlegenden Ziele des EU AI Act?

Der europäische AI Act zielt darauf ab, harmonisierte Rechtsvorschriften für die sichere Entwicklung und den Einsatz von KI innerhalb der EU zu etablieren. Die technische Standardisierung spielt dabei eine entscheidende Rolle, indem sie abstrakte rechtliche Anforderungen in konkrete, umsetzbare Richtlinien übersetzt. Dies soll Rechtsunsicherheiten reduzieren und die Wettbewerbsfähigkeit im Binnenmarkt stärken.

Insbesondere zielen die Standards darauf ab:

• Konsistente Wettbewerbsbedingungen zu schaffen.
• Prozesse zu optimieren, um die Kosten für die Umsetzung von Vorschriften zu senken.
• Eine effizientere Produktentwicklung und -betrieb zu ermöglichen.

Wesentliche regulatorische Bedenken

Der EU AI Act zielt darauf ab, die rechtlichen Anforderungen für hohe Risiken zu operationalisieren und sie durch technische Normen präskriptiver zu gestalten. Die Einhaltung dieser Standards bietet eine „Konformitätsvermutung“, die die Compliance vereinfacht und den Bedarf an kundenspezifischen, ressourcenintensiven Lösungen reduziert. Sie schreibt jedoch die strikte Einhaltung von Anforderungen in Bereichen wie Risikomanagement, Daten-Governance, Transparenz und Cybersicherheit vor.

Praktische Implikationen

Um die Ziele des AI Acts zu verwirklichen, muss die Auswirkung auf verschiedene Branchen und Marktteilnehmer berücksichtigt werden. Der AI Act könnte zu einem entscheidenden Instrument für die Implementierung technischer Standards als Markteintrittsbarrieren werden, was insbesondere Startups und KMUs betrifft, denen die Ressourcen zur Teilnahme an Standardisierungsprozessen fehlen. Dies könnte den KI-Wettbewerb verändern und politische Anpassungen erforderlich machen, um einen fairen Zugang zu gewährleisten und eine übermäßige Belastung kleinerer Akteure zu verhindern.

Welche wichtigen Stakeholder sind in den Prozess der KI-Standardisierung involviert?

Der globale Prozess der KI-Standardisierung involviert mehrere wichtige Stakeholder. Diese können hauptsächlich als Standardisierungsorganisationen, Akteure der Industrie, zivilgesellschaftliche Gruppen und wissenschaftliche Organisationen klassifiziert werden.

Standardisierungsorganisationen

Es gibt drei nennenswerte Komitees, die sich auf die KI-Standardisierung konzentrieren:

• ISO/IEC JTC 1/SC 42 (AI) – Organisiert von der Internationalen Organisation für Normung (ISO) in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission (IEC). Hat 34 Normen veröffentlicht, wobei sich 40 weitere in der Entwicklung befinden.
• IEEE AI Standards Committee – Organisiert innerhalb des Institute of Electrical and Electronics Engineers (IEEE). Hat 12 Normen erstellt und arbeitet an 59 zusätzlichen Normen.
• CEN-CENELEC JTC 21 (AI) – Ein gemeinsames Komitee des Europäischen Komitees für Normung (CEN) und des Europäischen Komitees für Elektrotechnische Normung (CENELEC). Hat 10 Normen veröffentlicht, wobei sich 33 weitere in der Entwicklung befinden.

Auf EU-Mitgliedstaatenebene haben die nationalen Standardisierungsorganisationen Arbeitsausschüsse eingerichtet, die hauptsächlich die Arbeit von ISO/IEC JTC 1/SC 42 (AI) und CEN-CENELEC JTC 21 (AI) widerspiegeln. Dies trägt dazu bei, nationale mit übergreifenden internationalen (z. B. europäischen) Bemühungen in Einklang zu bringen und gewährleistet die koordinierte Umsetzung europäischer Normen in den EU-Mitgliedstaaten.

Akteure der Industrie und wissenschaftliche Organisationen

Akteure der Industrie und wissenschaftliche Organisationen tragen zur KI-Standardisierung bei, insbesondere durch Industriestandards, KI-Auditkataloge und Testrahmenwerke. Bemerkenswerte Beispiele sind:

• AI HLEG ALTAI – Die Bewertungsliste der hochrangigen Expertengruppe für KI (High-Level Expert Group on AI) für vertrauenswürdige KI, die die Ethikrichtlinien der AI HLEG operationalisiert.
• NIST AI RMF – Der Rahmen des US National Institute of Standards and Technology zur Steuerung von KI-Risiken.
• Mission KI Standard – Eine deutsche Initiative zur Entwicklung eines freiwilligen Qualitätsstandards für KI-Anwendungen.
• Fraunhofer IAIS-Katalog – Der KI-Bewertungskatalog des Fraunhofer-Instituts für Intelligente Analyse- und Informationssysteme (IAIS). Bietet eine strukturierte Richtlinie, die verwendet werden kann, um abstrakte KI-Qualitätsstandards in anwendungsspezifische Bewertungskriterien zu definieren, die sechs Dimensionen der Vertrauenswürdigkeit abdecken.
• BSI AIC4 – Der AI Cloud Service Compliance Catalogue des Deutschen Bundesamtes für Sicherheit in der Informationstechnik, der Mindestanforderungen für sicheres maschinelles Lernen in Cloud-Diensten spezifiziert.

Was sind die Kernfunktionen harmonisierter Normen im Rahmen des KI-Gesetzes?

Harmonisierte Normen sind entscheidend für die wirksame Einhaltung des EU-KI-Gesetzes. Sie bieten einen zugänglichen Weg, um die regulatorischen Anforderungen zu erfüllen und rechtliche Unsicherheiten zu verringern, was letztendlich den Wettbewerb und das Wachstum auf dem EU-Markt fördert. Sie zielen darauf ab, gleiche Wettbewerbsbedingungen für das Design und die Entwicklung von KI-Systemen zu schaffen.

Hier ist eine Aufschlüsselung der Kernfunktionen:

• Operationalisierung der gesetzlichen Anforderungen: Die Anforderungen des KI-Gesetzes für Systeme mit hohem Risiko sind bewusst abstrakt. Harmonisierte Normen liefern die technischen Spezifikationen, die erforderlich sind, um sie präskriptiv und umsetzbar zu machen.
• Konformitätsvermutung: Die Erfüllung dieser harmonisierten Normen verleiht KI-Systemen eine Konformitätsvermutung mit den relevanten Anforderungen des KI-Gesetzes.
• CE-Kennzeichnung und Marktzugang: Diese Normen ebnen den Weg für die CE-Kennzeichnung (conformité européenne) und vereinfachen den Zugang zum EU-Markt.
• Reduzierung der Regulierungskosten: Gut konzipierte Normen rationalisieren Prozesse und können die Notwendigkeit von kundenspezifischer Forschung und Entwicklung vermeiden, wodurch die Produktentwicklung effizienter wird.

Artikel 40 Absatz 1 des KI-Gesetzes legt den Grundstein für harmonisierte Normen und die Konformitätsvermutung. Diese Normen gelten für KI-Systeme mit hohem Risiko gemäß Artikel 6 und den Anhängen I und III des Gesetzes.

Die Europäische Kommission hat CEN und CENELEC mit der Entwicklung dieser Normen beauftragt (Artikel 40 Absatz 2 des KI-Gesetzes). Diese Normen dienen als Grundlage für die Konformitätsvermutung, vereinfachen die Einhaltung, sorgen für Rechtssicherheit und reduzieren idealerweise den Verwaltungsaufwand für KI-Anbieter.

Es ist wichtig zu beachten, dass internationale Normen zwar berücksichtigt werden, das KI-Gesetz jedoch häufig neue europäische Normen erfordert, um den Schutz der Grundrechte und die gesellschaftlichen Auswirkungen zu berücksichtigen und die Übereinstimmung mit den EU-Werten sicherzustellen.

Wie beeinflussen vertikale KI-Standards die Umsetzung des KI-Gesetzes?

Während das KI-Gesetz als branchenunabhängige, horizontale Verordnung konzipiert ist, hat die Europäische Kommission spezifische vertikale Spezifikationen für bestimmte Sektoren in Erwägung gezogen. Hier liegt der Kern, wie diese vertikalen Standards die Einführung des KI-Gesetzes beeinflussen:

Branchenausrichtung ist entscheidend: Die Einbeziehung von Stakeholdern aus Sektoren mit bestehenden technischen Anforderungen – wie Maschinenbau, Medizinprodukte, Luftfahrt, Automobil und Finanzen – ist entscheidend für die erfolgreiche Entwicklung harmonisierter Standards im Rahmen des KI-Gesetzes. Dieser kollaborative Ansatz stellt sicher, dass die neuen Vorschriften fundiert und praktisch umsetzbar sind.

Delegierte Rechtsakte werden Anforderungen des KI-Gesetzes berücksichtigen: Artikel 102 ff. des KI-Gesetzes schreiben vor, dass die Anforderungen an KI-Systeme mit hohem Risiko in bestehende Marktzugangsverordnungen für Sektoren wie Automobil, Luftfahrt und Eisenbahn integriert werden. Wie wird das geschehen? Durch delegierte Rechtsakte, die technische Spezifikationen nutzen. Es ist zu erwarten, dass Normungsgremien damit beauftragt werden, bestehende sektorspezifische Standards im Zusammenhang mit der Typgenehmigung um die Bestimmungen des KI-Gesetzes zu ergänzen.

Sektorspezifische Standards entstehen: Während die meisten Sektoren derzeit keine KI-spezifischen Standards haben, gibt es einige Vorreiter. Beispiele sind BS 30440:2023 des British Standards Institute (BSI) für KI im Gesundheitswesen und ISO/PAS 8800 für sicherheitskritische KI-Systeme in Straßenfahrzeugen. Letzteres könnte gemäß Artikel 104 des KI-Gesetzes eine entscheidende Rolle bei der Einbeziehung der Anforderungen des KI-Gesetzes über das Typgenehmigungsgesetz (Verordnung (EU) Nr. 168/2013) spielen. In ähnlicher Weise entwickelt die Society of Automotive Engineers (SAE) SAE ARP6983 für KI-gesteuerte aeronautische Sicherheitsprodukte.

Überlegungen zum Verteidigungssektor: Auch wenn er weitgehend vom direkten Anwendungsbereich des KI-Gesetzes ausgeschlossen ist (Art. 2(3) KI-Gesetz), erkennt der Verteidigungssektor die Notwendigkeit sektorspezifischer KI-Standards und arbeitet aktiv daran.

Freiwillige Einhaltung: Sektoren, die nicht direkt von den Standards des KI-Gesetzes oder sektorspezifischen KI-Standards abgedeckt sind, zeigen Interesse. Einige beabsichtigen, die entsprechenden Standards freiwillig einzuhalten, da sie davon ausgehen, dass ihre Kunden in Zukunft den Anforderungen des KI-Gesetzes für KI-Systeme mit hohem Risiko unterliegen könnten.

Spillover-Effekte

Sowohl der Mobilitäts-/Automobilsektor als auch der Verteidigungssektor, die teilweise außerhalb des direkten Anwendungsbereichs des KI-Gesetzes liegen (wie in Art. 103 ff. des KI-Gesetzes definiert), erwarten erhebliche Auswirkungen durch das KI-Gesetz. KI-Anbieter im Mobilitätsbereich sehen Standards als zweischneidiges Schwert, das Transparenz und Sicherheitsgewinne bietet, aber erhebliche betriebliche Belastungen verursacht, insbesondere für komplexe Systeme, die eine fortschrittliche Erklärbarkeit und Cybersicherheitsmerkmale erfordern.

Verteidigungsunternehmen, die aus Gründen der nationalen Sicherheit ausdrücklich ausgenommen sind, sehen sich durch Auswirkungen auf das Ökosystem und Überlegungen zur doppelten Verwendung indirektem Druck ausgesetzt. Diese Unternehmen beobachten aufmerksam die Auswirkungen des KI-Gesetzes auf die Verfügbarkeit von Open-Source-KI-Modellen und allgemeine KI-Standards und halten sich oft an strenge Sicherheitsstandards, die mit zivilen Anwendungen vergleichbar sind.

Einige Mobilitätsunternehmen erwägen Märkte mit geringeren regulatorischen Belastungen aufgrund finanzieller und betrieblicher Herausforderungen. Verteidigungsunternehmen sehen umgekehrt potenzielle Wettbewerbsvorteile in der Anwendung von Hochrisikostandards, die die zivil-militärische Zusammenarbeit und das Vertrauen in KI-Mensch-Kollaborationssysteme fördern.

german

Was sind die größten Herausforderungen im Zeitplan für die KI-Gesetz-Standardisierung?

Technische Standards sind für die Einhaltung des KI-Gesetzes von entscheidender Bedeutung, aber der Standardisierungsprozess steht unter erheblichem Zeitdruck, komplexen Stakeholder-Dynamiken und Bedenken hinsichtlich Kosten und Operationalisierung.

Kritische Zeitplanverkürzung

Die ursprüngliche Frist für die Entwicklung von Standards war April 2025, aber diese wird voraussichtlich auf August 2025 verlängert. Selbst mit dieser Verlängerung bleibt der Zeitplan eng, was möglicherweise nur 6-8 Monate für Unternehmen lässt, um nach der Veröffentlichung der Standards im Amtsblatt der Europäischen Union, voraussichtlich Anfang 2026, die Anforderungen zu erfüllen. Dies ist deutlich weniger als die mindestens 12 Monate, die die meisten Unternehmen, insbesondere Startups und KMUs, für eine effektive Implementierung benötigen.

Unausgewogene Stakeholder-Vertretung

Die Zusammensetzung von Standardisierungsausschüssen, wie z. B. CEN-CENELEC JTC 21, ist stark auf große Unternehmen ausgerichtet, wobei große US-amerikanische Technologie- und Beratungsunternehmen oft die Mehrheit stellen. Dies führt zu einem Ungleichgewicht, das die Beteiligung und den Einfluss von KMUs, Startups, zivilgesellschaftlichen Organisationen und der Wissenschaft einschränkt. Diese Disparität kann zu Standards führen, die die Bedürfnisse und Bedenken kleinerer Marktteilnehmer nicht angemessen berücksichtigen, was potenziell unverhältnismäßige Markteintrittsbarrieren schafft.

Kostensorgen

Unternehmen stehen auch vor Herausforderungen im Zusammenhang mit den Kosten für das Verständnis und die Implementierung geltender technischer Standards. Der „Malamud“-Fall vor dem Europäischen Gerichtshof hat die Frage in den Mittelpunkt gerückt, ob harmonisierte Normen frei zugänglich sein sollten, was Fragen zum Urheberrecht und zur Monetarisierung aufwirft. Abhängig von zukünftigen Gerichtsverfahren könnte die europäische Normung kritische Beiträge von internationalen Normungsorganisationen verlieren. Wenn sich Unternehmen den Kauf relevanter technischer Normen nicht leisten können, riskieren sie eine „negative Konformitätsvermutung“, was bedeutet, dass ihre alternativen Compliance-Bemühungen von den Aufsichtsbehörden möglicherweise mit Vorurteilen betrachtet werden. Die Nichteinhaltung kann zu hohen Geldstrafen (bis zu 35 Millionen Euro), eingeschränktem Marktzugang und Reputationsschäden führen.

Operationalisierungs-Hürden

Eine wesentliche Herausforderung ist die Notwendigkeit einer stärkeren Operationalisierung technischer Standards. Derzeit sind diese Standards hauptsächlich als PDFs verfügbar, was eine manuelle Interpretation und Anwendung erfordert. Um dies zu beheben, arbeiten deutsche Standardisierungsorganisationen wie DIN und DKE an maschinenlesbaren, -interpretierbaren, -ausführbaren und -steuerbaren „SMART Standards“. Der Erfolg dieses Ziels kann die Möglichkeit einer Kostenreduktion im Zusammenhang mit der Anwendung von Standards bestimmen.

Wie beeinflusst die Stakeholder-Dynamik den Standardisierungsprozess des KI-Gesetzes?

Die Standardisierungsbemühungen für das KI-Gesetz umfassen über 1.000 Experten in nationalen Spiegelgremien, was eine strukturelle Herausforderung in der Stakeholder-Repräsentation offenbart. Vorwiegend dominieren Großunternehmen, darunter große US-amerikanische Technologie- und Beratungsfirmen, diese Gremien. Dies führt zu einer Ungleichheit, die KMUs, Startups, die Zivilgesellschaft, unabhängige Institutionen und die Wissenschaft beeinträchtigt.

Die Teilnahme an der Normung bietet Unternehmen strategische Vorteile durch Wissenstransfer und Beziehungsaufbau. Die Unterrepräsentation kleinerer Stakeholder rührt jedoch von den Ressourcen her, die für die Teilnahme an den Ausschüssen erforderlich sind. Branchenverbände haben sich als Vermittler herauskristallisiert, die die Interessen dieser Stakeholder aggregieren und in den Normungsgremien vertreten.

Dieses strukturelle Ungleichgewicht erzeugt Wettbewerbsvorteile für größere Unternehmen auf dem EU-Markt, da diese die Entwicklung technischer Standards beeinflussen können. Der substanzielle Einfluss von US-Unternehmen wirft auch Bedenken hinsichtlich der Repräsentation von EU-Werten und -Perspektiven auf. Eine begrenzte Beteiligung kleinerer Unternehmen schließt potenziell wichtiges Wissen aus und beeinträchtigt eine umfassende Sicherheitsentwicklung.

Herausforderungen in der Stakeholder-Dynamik:

• Asymmetrische Beteiligung: Kleinere Akteure werden oft von größeren Konzernen überschattet.
• Ressourcenbeschränkungen: KMUs und Startups haben Schwierigkeiten, die notwendigen Ressourcen für die Teilnahme bereitzustellen.
• Wertrepräsentation: Es bestehen Bedenken hinsichtlich der angemessenen Vertretung von EU-Werten angesichts des Einflusses von US-Unternehmen.

Der Mangel an Inklusivität unterstreicht die Notwendigkeit ausgewogenerer Standardisierungsprozesse, die vielfältige Perspektiven und Fachkenntnisse effektiv einbeziehen, um Standards zu vermeiden, die kleinere Marktteilnehmer unverhältnismäßig stark beeinträchtigen.

Welche potenziellen finanziellen Auswirkungen sind mit dem Zugang zu KI-Standards verbunden?

Die Landschaft der KI-Standards besteht nicht nur aus technischen Spezifikationen; sie ist tief verwoben mit finanziellen Erwägungen, die KI-Anbieter, insbesondere Startups und KMUs, erheblich beeinflussen könnten. Hier ist eine Aufschlüsselung der wichtigsten finanziellen Auswirkungen:

Direkte Kosten der Compliance

Obwohl erwartet wird, dass die Standarddokumente selbst dank eines Urteils des obersten Gerichtshofs Europas kostenlos sein werden, sind die Kosten für die Implementierung dieser Standards alles andere als unerheblich. Unternehmen rechnen mit erheblichen finanziellen Belastungen:

• Spezialisiertes Personal: Unternehmen müssen möglicherweise jährlich etwa 100.000 € für spezialisiertes Compliance-Personal bereitstellen.
• Managementzeit: Gründer und Management könnten 10-20 % ihrer Zeit für Angelegenheiten im Zusammenhang mit Standards aufwenden.
• Zertifizierungskosten: Einige Schätzungen beziffern die Kosten für die Zertifizierung von KI-Systemen auf über 200.000 €.

Indirekte Kosten und Marktzugang

Die finanziellen Auswirkungen gehen über das Offensichtliche hinaus:

• Mögliche Auswirkungen auf die Markteinführungszeit und den Wettbewerbsmarktanteil

Unternehmen, die Compliance-Fristen nicht einhalten, riskieren Geldstrafen von bis zu 7 % des weltweiten Umsatzes oder 35 Millionen Euro, was insbesondere für kleinere Unternehmen verheerend sein könnte. Die Nichteinhaltung kann auch den Zugang zum EU-Markt einschränken, wodurch konforme Unternehmen in eine stärkere Position gebracht werden.

Reputationsrisiko

Neben direkten finanziellen Sanktionen besteht auch das Risiko von Reputationsschäden. Negative Medienberichterstattung und der Verlust des Kundenvertrauens können langfristige Geschäftsbeziehungen gefährden, insbesondere in risikoscheuen Sektoren.

Asymmetrische Beteiligung an der Normung

Kleinere Unternehmen verfügen oft nicht über die Ressourcen, um sich effektiv an Normungsausschüssen zu beteiligen. Größere Unternehmen können die Entwicklung von Standards zu ihrem Vorteil beeinflussen, was möglicherweise zu höheren Compliance-Kosten für KMUs führt:

• Einfluss: Größere Akteure können technische Standards „einbacken“, die ihren Geschäftszielen entgegenkommen.
• Wissen: Asymmetrischer Einfluss kann dazu führen, dass entscheidende Perspektiven in marktbildenden Standards außer Acht gelassen werden.

Der Malamud-Fall und die Zugänglichkeit von Normen

Der „Malamud“-Fall erfordert, dass harmonisierte Normen frei zugänglich sind. Die ISO und IEC fechten dies jedoch vor Gericht an, was Bedenken hinsichtlich der potenziellen Monetarisierung technischer Normen aufwirft. Dies hat große Bedenken hinsichtlich der finanziellen Nachhaltigkeit der Europäischen Normungsorganisationen aufgeworfen, die zur Unterstützung ihrer Tätigkeit auf Einnahmen aus dem Verkauf der Normen angewiesen sind.

german

Welche Bedeutung hat die Operationalisierung technischer Standards im Kontext des KI-Gesetzes?

Das EU-KI-Gesetz stellt als erstes umfassendes Regelwerk für die Entwicklung und den Einsatz von KI auf die technische Standardisierung als zentrales Umsetzungsinstrument. Die Anforderungen an KI-Systeme mit hohem Risiko sind im KI-Gesetz bewusst abstrakt formuliert, was es für Unternehmen schwierig macht, sie direkt umzusetzen. Technische Standards sind von entscheidender Bedeutung für die Operationalisierung dieser rechtlichen Anforderungen, da sie diese in präskriptivere und umsetzbarere Richtlinien umwandeln.

Harmonisierte Standards und Konformitätsvermutung

Harmonisierte Standards, die von europäischen Normungsorganisationen wie CEN, CENELEC und ETSI auf der Grundlage von Anfragen der Europäischen Kommission entwickelt werden, stellen einen wichtigen Rahmen für die Einhaltung des KI-Gesetzes dar. Diese Standards, die nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union (ABlEU) eine „Konformitätsvermutung“ für KI-Systeme mit hohem Risiko bieten, die sie erfüllen. Dies vereinfacht die Compliance, bietet Rechtssicherheit und reduziert idealerweise den Verwaltungsaufwand für KI-Anbieter.

Auswirkungen auf Marktzugang und Wettbewerb

Sachgerecht entworfene und implementierte technische Standards können dazu beitragen:

• Gleiche Wettbewerbsbedingungen für das Design und die Entwicklung von KI-Systemen zu schaffen.
• Die Kosten für die Umsetzung der Vorschriften zu senken.
• Prozesse zu rationalisieren und möglicherweise die Notwendigkeit kundenspezifischer F&E-Lösungen zu beseitigen.
• Die Produktentwicklung und den Betrieb effizienter zu gestalten.

Das Aufkommen von KI-Standards verändert jedoch auch den globalen KI-Wettbewerb und könnte Marktzutrittsbarrieren erhöhen, insbesondere für Start-ups und kleine und mittlere Unternehmen (KMU).

Herausforderungen und Bedenken

Obwohl technische Standards die Einhaltung des KI-Gesetzes erleichtern sollen, müssen mehrere Herausforderungen angegangen werden:

• Zeitlicher Druck: Der aktuelle Zeitplan für die Entwicklung und Umsetzung von Standards ist möglicherweise zu ehrgeizig, sodass den Anbietern nicht genügend Zeit zur Anpassung bleibt.
• Vertretung der Interessengruppen: Große Unternehmen, darunter US-amerikanische Technologie- und Beratungsfirmen, dominieren häufig die Normungsausschüsse, was zu einer Unterrepräsentation von KMU, Start-ups und der Zivilgesellschaft führt.
• Zugänglichkeit und Kosten: Die Kosten für die Ermittlung der anwendbaren technischen Standards und den Zugang zu ihnen könnten kleinere Unternehmen benachteiligen. Ein beim Europäischen Gerichtshof anhängiger Fall könnte ändern, ob harmonisierte Normen frei zugänglich sein müssen.
• Operationalisierung: Technische Standards müssen weiter operationalisiert werden, um die Compliance zu rationalisieren und sicherzustellen, dass Unternehmen die Standards effizient auf ihre spezifischen Anwendungsfälle anwenden können.

Was ist der aktuelle Stand des Normungsprozesses zum KI-Gesetz?

Der Normungsauftrag der Europäischen Kommission für das KI-Gesetz umreißt zehn wesentliche Ergebnisse, die wichtige regulatorische Anforderungen adressieren. Diese Ergebnisse sind die Grundlage für die Normungsarbeit im CEN-CENELEC JTC 21, wobei die meisten laufenden Arbeitsgegenstände auf die Erfüllung dieses Mandats ausgerichtet sind. Soweit möglich, basieren die Arbeitsgegenstände auf oder werden gemeinsam mit ISO/IEC-Normen entwickelt (ungefähr 2/3 der Arbeitsgegenstände).

Schlüsselbereiche der Normung

Die Normungsarbeit baut auf rund 35 Normen auf, wobei die meisten einzelne Normungsauftragsergebnisse adressieren. Andere Ergebnisse, wie das Artificial Intelligence Trustworthiness Framework und unterstützende Normen zur Terminologie, berühren mehrere SR-Ergebnisse. Diese Normen werden durch verschiedene Beziehungen, wie hierarchische Integration oder operative Abhängigkeiten, ein integriertes Rahmenwerk bilden.

Hier ist eine Aufschlüsselung des Entwurfsstatus der Normungsarbeit, wie er Ende 2024 aussah:

• Risikomanagement: ISO/IEC 23894 bereits veröffentlicht, aber eine „hausgemachte“ Europäische Norm für KI-Risikomanagement ist in Entwicklung (WI: JT021024), mit einem voraussichtlichen Abstimmungstermin am 30. September 2026. Diese Europäische Norm wird die Mängel der anderen beheben, insbesondere im Hinblick auf die Einhaltung des KI-Gesetzes.
• Governance und Qualität von Datensätzen: Sechs Arbeitsgegenstände sind in Bearbeitung, darunter sowohl ISO/IEC-Normen als auch Europäische Normen. Die noch in Erarbeitung/Genehmigung befindlichen Normen werden sich auf quantifizierbare Messgrößen für Datenqualität und statistische Eigenschaften während des gesamten Lebenszyklus des KI-Systems konzentrieren.
• Protokollierung: Zwei Arbeitsgegenstände laufen: ISO/IEC 24970 zum KI-Systemprotokollierung und das Europäische Artificial Intelligence Trustworthiness Framework (WI: JT021008).
• Transparenz und Information für Benutzer: Zwei CEN-CENELEC JTC 21 Arbeitsgegenstände sind geplant. ISO/IEC 12792 befindet sich bereits im Konsultationsprozess.
• Menschliche Aufsicht: Wird allein durch das Artificial Intelligence Trustworthiness Framework adressiert (WI: JT021008).
• Genauigkeitsspezifikationen für KI-Systeme: Sieben Arbeitsgegenstände sind in Bearbeitung, darunter sowohl ISO/IEC- als auch „hausgemachte“ Normen, die über grundlegende Leistungsmetriken hinausgehende Anforderungen festlegen werden.
• Robustheitsspezifikationen für KI-Systeme: CEN-CENELEC JTC 21 hat vier Arbeitsgegenstände an KI- und Europäische Normen vergeben.
• Cybersicherheitsspezifikationen für KI-Systeme: Mit (mindestens) zwei geplanten „hausgemachten“ Normen.
• Qualitätsmanagementsystem: Bezieht sich auf die Anforderungen von Art. 17 KI-Gesetz (Qualitätsmanagementsystem) und wird voraussichtlich mit 2 Normen abgeschlossen.
• Konformitätsbewertung für KI-Systeme: Mit einer voraussichtlichen Veröffentlichung von 5 Normen oder Dokumenten vervollständigt dieses Ergebnis die bestehende Arbeit mit den im EU-KI-Gesetz geforderten Spezifika.

Es ist jedoch erwähnenswert, dass einige Arbeitsgegenstände voraussichtliche Abstimmungstermine Mitte 2026 hatten, wodurch die ursprüngliche Frist für den Normungsauftrag um mehr als ein Jahr überschritten wurde.

Herausforderungen und Kritik

Die Europäische Kommission hat bereits Kritik an der Normungsarbeit von CEN-CENELEC geäußert, insbesondere hinsichtlich des Umfangs und der Anzahl der referenzierten Normen. Der Arbeitsstand unterstreicht den ehrgeizigen Charakter des Normungsprozesses zum KI-Gesetz und die Herausforderungen bei der Einhaltung der vorgegebenen Zeitpläne. Weitere Bewertungen werden im Sommer und Herbst 2025 erwartet.

german

Was ist die Kernabsicht von Standards zur Risikomanagement-Thematik?

Während sich das EU-KI-Gesetz auf seine Durchsetzung vorbereitet, setzen sich KI-Anbieter intensiv mit den darin enthaltenen Anforderungen an das Risikomanagement auseinander. Harmonisierte Standards stehen im Mittelpunkt dieser Verordnung und bieten einen Weg, Konformität herzustellen und rechtliche Unsicherheiten zu reduzieren. Aber was ist die Kernabsicht hinter diesen Standards, insbesondere beim Risikomanagement?

Compliance mit dem AI Act

Die Absicht besteht darin, die umfassenden, rechtsverbindlichen Anforderungen des KI-Gesetzes in umsetzbare, technisch definierte Verfahren zu übersetzen. Diese Standards zielen darauf ab:

• Schutz individueller Rechte gewährleisten: Den Schutz individueller Rechte durch einen produktzentrierten Ansatz zu betonen, der mit dem Fokus des KI-Gesetzes auf den Schutz von Gesundheit, Sicherheit und Grundrechten übereinstimmt.
• Einen klaren Rahmen bieten: Spezifikationen für ein auf KI-Systeme zugeschnittenes Risikomanagementsystem anzubieten.
• Das Testen verpflichtend machen: Das Testen von KI-Systemen gemäß Artikel 9 Absatz 6 und 9 Absatz 8 des KI-Gesetzes verpflichtend zu machen.

Die Bemühungen umfassen zwei Schlüsselstandards:

• ISO/IEC 23894: Dieser Standard gibt allgemeine Risikomanagement-Anleitungen in Bezug auf KI, ist jedoch durch seine organisationszentrierte Sichtweise und eine Definition von Risiko, die nicht mit Artikel 3 des KI-Gesetzes übereinstimmt, eingeschränkt.
• KI-Risikomanagement (WI: JT021024): Dies ist ein „eigens entwickelter“ Standard, der sich derzeit in der Entwicklung befindet, um speziell die Mängel bestehender Standards zu beheben, indem er einen produktzentrierten Ansatz bietet, der auf das KI-Gesetz abgestimmt ist. Die Fertigstellung wird voraussichtlich bis September 2026 erfolgen.

Organisationen, die die Einhaltung des KI-Gesetzes anstreben, müssen die Nuancen dieser Standards verstehen und sicherstellen, dass ihre Risikomanagementpraktiken den Schwerpunkt des Gesetzes auf individuelle Rechte und Sicherheit widerspiegeln.

Was ist der Zweck der Standardisierung in Bezug auf Governance und Datenqualität?

Standardisierung spielt eine entscheidende Rolle bei der Gewährleistung einer robusten Governance und hoher Datenqualität innerhalb von KI-Systemen. Technische Standards bieten einen klaren und zugänglichen Weg, um regulatorische Anforderungen zu erfüllen und rechtliche Unklarheiten zu beseitigen, wodurch die Wettbewerbsfähigkeit gestärkt und das Wachstum innerhalb des Binnenmarktes gefördert wird.

Der EU AI Act betont die statistische Validierung und die Vermeidung von Verzerrungen, wenn es um die Steuerung von Daten und die Gewährleistung ihrer Qualität geht. Die Anforderungen sind in Art. 10 des AI Act (Daten und Data Governance) detailliert beschrieben und befassen sich mit dem Umgang mit ungewollten Verzerrungen und der Gewährleistung der Datenqualität.

CEN-CENELEC JTC 21 legt in Zusammenarbeit mit ISO/IEC den Weg zur Herangehensweise an Data Governance mit KI fest:

• ISO/IEC/TS 12791 bietet technologische Unterstützung zur Behandlung unerwünschter Verzerrungen bei Klassifizierungs- und Regressionsaufgaben im maschinellen Lernen.
• ISO/IEC 8183 legt den Grundstein für das AI Data Life Cycle Framework.
• ISO/IEC 5259-1 – 5259-4 bietet eine Anleitung zur Datenqualität für Analytik und maschinelles Lernen (ML).

Der Weg wird mit „selbst erstellten“ Standards fortgesetzt:

• KI – Konzepte, Maßnahmen und Anforderungen für das Management von Bias in KI-Systemen (WI: JT021036)
• KI – Qualität und Governance von Datensätzen in KI (WI: JT021037)
• CEN/CLC/TR 18115 Data Governance und Qualität für KI im europäischen Kontext.

Darüber hinaus werden sich die noch in der Entwurfsphase befindlichen/zur Genehmigung vorliegenden Standards auf quantifizierbare Maße für Datenqualität und statistische Eigenschaften während des gesamten Lebenszyklus des KI-Systems konzentrieren. Besonders bedeutsam ist die Anforderung aus Art. 10 AI Act zur empirischen Validierung von Techniken zur Abschwächung von Verzerrungen und die Fähigkeit, die Wirksamkeit von Qualitätssicherungsmaßnahmen nachzuweisen.

Diese Betonung messbarer Ergebnisse stellt eine methodische Verlagerung von der deskriptiven zur präskriptiven Standardisierung dar, die von Organisationen die Implementierung überprüfbarer Kontrollen für Datenrepräsentativität, Korrektheit und Vollständigkeit erfordert.

Wie adressieren Standards die Anforderungen an die Aufzeichnungspflicht?

Der europäische AI Act schreibt die Aufzeichnungspflicht für KI-Systeme mit hohem Risiko vor, wobei der Schwerpunkt insbesondere auf der Rückverfolgbarkeit und der Erfassung von Ereignissen liegt, die die Systemleistung beeinträchtigen oder Risiken bergen könnten.

Die Standardlandschaft adressiert diese Anforderung durch zwei primäre Arbeitspunkte:

• ISO/IEC 24970 – AI System Logging: Dieser Standard, der derzeit in Zusammenarbeit mit ISO/IEC entwickelt wird, konzentriert sich auf die Definition von Anforderungen an Protokollierungspläne. Diese Pläne müssen ein Gleichgewicht zwischen umfassender Ereigniserfassung und betrieblicher Effizienz herstellen und unterschiedliche Systemarchitekturen und Leistungsanforderungen berücksichtigen. Beispielsweise haben Hochfrequenzhandelssysteme, bei denen die Protokollierung von Transaktionen auf Millisekundenebene entscheidend ist, andere Anforderungen als weniger zeitsensitive Anwendungen.
• Artificial Intelligence Trustworthiness Framework (WI: JT021008): Dieses Rahmenwerk bietet eine übergreifende Struktur, die den ISO/IEC-Standard ergänzt.

Der ISO/IEC-Standard wird detailliertere Spezifikationen liefern und die Notwendigkeit hervorheben, Anforderungen zu definieren, die systemspezifische Bedürfnisse berücksichtigen. Dies ist entscheidend für einheitliche Verifikationsmöglichkeiten über verschiedene KI-Anwendungen hinweg.

Hier sind die wichtigsten Datenpunkte für die Standards zur Aufzeichnungspflicht:

• Ziel: Rückverfolgbarkeit des Betriebs/der Leistung von KI-Systemen.
• Status: ISO/IEC-Standard in Entwurfsphase.
• Balance: Zwischen Ereigniserfassung und betrieblicher Effizienz.
• Flexibilität: Berücksichtigung sektorspezifischer Anforderungen, um zuverlässige Verifikationsmöglichkeiten zu gewährleisten.

Was sind die Hauptmerkmale von Standards in Bezug auf die Transparenz für Nutzer von KI-Systemen?

Es werden technische Standards entwickelt, um die Anforderungen von Artikel 13 des EU AI Act zu unterstützen, die sich auf Transparenz und die Bereitstellung von Informationen für die Nutzer konzentrieren. Die Standardisierungsbemühungen sollen das „Black Box“-Problem angehen, bei dem die internen Entscheidungsprozesse von KI-Systemen undurchsichtig sind.

Wichtige Standards in der Entwicklung

• ISO/IEC 12792 (Transparenz-Taxonomie von KI-Systemen): Dieser Standard legt Anforderungen an Transparenzartefakte fest, um sicherzustellen, dass zugehörige Informationen umfassend, aussagekräftig, zugänglich und verständlich für die Zielgruppen sind.
• Artificial Intelligence Trustworthiness Framework (WI: JT021008): Dieses Rahmenwerk bietet einen übergreifenden Rahmen für Vertrauenswürdigkeits- und Transparenzanforderungen.

Für ISO/IEC 12792 wird den europäischen regulatorischen Anforderungen besondere Aufmerksamkeit geschenkt. Diese Standards zielen darauf ab, die Ergebnisse von KI-Systemen für die Nutzer verständlich zu machen, indem sie festlegen, welche Informationen offengelegt werden sollen und wie zugänglich sie sein sollen.

Welche Rolle spielen Normen bei der Gewährleistung der menschlichen Aufsicht über KI-Systeme?

Normen spielen eine zentrale Rolle bei der Festlegung der Anforderungen aus Artikel 14 des EU-KI-Gesetzes, der sich auf die menschliche Aufsicht über KI-Systeme konzentriert. Diese Normen werden hauptsächlich durch den Artificial Intelligence Trustworthiness Framework (Arbeitsposten: JT021008) behandelt, der von CEN-CENELEC JTC 21 entwickelt wird.

Hier ist eine Aufschlüsselung der wichtigsten Aspekte:

Das übergeordnete Ziel ist die Gewährleistung einer wirksamen menschlichen Kontrolle über KI-Systeme in verschiedenen Betriebskontexten:

• In der Fertigung müssen Normen menschliche Eingriffe ermöglichen, ohne die Produktionseffizienz zu beeinträchtigen.
• Im Finanzwesen sind Aufsichtsmechanismen für algorithmische Systeme, die mit Geschwindigkeiten arbeiten, die über die menschliche Reaktionszeit hinausgehen, von entscheidender Bedeutung. Dies beinhaltet die Einrichtung von Überwachungsschnittstellen und Kontrollmechanismen sowie organisatorische Maßnahmen wie Schulungsprotokolle.

Konkret müssen diese Normen klare Kriterien für die Auswahl geeigneter Aufsichtsmaßnahmen festlegen, die auf die beabsichtigte Verwendung und die identifizierten Risiken eines KI-Systems abgestimmt sind.

Wichtige Erwägungen sind:

• Technische Maßnahmen: Überwachungsschnittstellen und Kontrollmechanismen.
• Organisatorische Maßnahmen: Schulungsprotokolle.
• Verifizierungsverfahren: Sicherstellung der Wirksamkeit der menschlichen Aufsichtsmechanismen.

Normen müssen auch überprüfbare Ergebnisse in Bezug auf die Systemaufsicht definieren. Natürliche Personen sollten in der Lage sein, die operative Kontrolle effektiv aufrechtzuerhalten und bei Bedarf einzugreifen, selbst bei immer komplexeren und schnelleren KI-Systemen.

Kurz gesagt, Normen zielen darauf ab, einen Rahmen zu schaffen, der sicherstellt, dass Menschen die sinnvolle Kontrolle und Interventionsfähigkeit über KI-Systeme behalten, unabhängig von ihrer Anwendung oder Komplexität.

Was ist der Fokus von Genauigkeitsspezifikationen in KI-Systemen?

Genauigkeitsspezifikationen innerhalb von KI-Systemen, wie sie in Artikel 15 Absatz 1 und 3 des EU-KI-Gesetzes gefordert werden, zielen nicht nur darauf ab, Leistungsbenchmarks zu erreichen. Der Fokus liegt darauf sicherzustellen, dass diese Messungen nachweislich angemessen und wirksam sind, um die regulatorischen Ziele des Gesetzes zu erreichen.

Das bedeutet in der Praxis Folgendes:

Definition angemessener Metriken und Schwellenwerte

Unternehmen können erwarten, dass Standards präzise Anweisungen zur Auswahl von Genauigkeitsmetriken und zur Festlegung klarer Schwellenwerte bieten. Erwarten Sie rigorose Testprotokolle und detaillierte Dokumentationspraktiken.

Benchmarking für den allgemeinen Gebrauch

Die entstehenden Standards legen Prozesse und Bewertungsrahmen für die Evaluierung von KI-Modellen anhand standardisierter Aufgaben fest, insbesondere in Bereichen wie dem allgemeinen Benchmarking, was die praktische Anwendbarkeit erheblich beeinflussen und regulatorische Unsicherheiten reduzieren kann.

Metriken und Risikominderung

Der Schlüssel wird, wenn sich diese Standards herausbilden, darin liegen, die Genauigkeitsmetriken nachweislich mit Risikominderungsstrategien zu verknüpfen. Dies beinhaltet die Auswahl, Messung und Validierung von Metriken basierend auf dem Verwendungszweck des KI-Systems und den identifizierten Risiken.

Derzeit hat das CEN-CENELEC JTC 21, das gemeinsame Komitee, das an KI-Standards arbeitet, sieben Arbeitspunkte für dieses Ergebnis zugewiesen. Dazu gehören mehrere Standards, die gemeinsam mit ISO/IEC entwickelt werden, sowie mehrere „hausgemachte“ Standards. Es wird erwartet, dass diese Standards Ende 2025 oder Anfang 2026 fertiggestellt werden.

Was sind die Schwerpunkte von Robustheitsspezifikationen für KI-Systeme?

Robustheitsspezifikationen für KI-Systeme sind ein wichtiger Schwerpunkt des EU AI Acts, der darauf abzielt, sicherzustellen, dass diese Systeme widerstandsfähig gegen verschiedene Arten von Risiken und Schwachstellen sind. Artikel 15 Absatz 1 und 4 des AI Acts legen die Anforderungen fest, die Standardisierungsbemühungen erfüllen müssen, um die Widerstandsfähigkeit von KI zu erhöhen.

CEN-CENELEC JTC 21, das mit der Entwicklung harmonisierter Standards beauftragt ist, hat vier Arbeitspunkte zugewiesen, um diese Robustheitsspezifikationen zu bearbeiten:

• Internationale Standards:
  • ISO/IEC 24029-2, -3, -5 – KI – Bewertung der Robustheit von neuronalen Netzen (teilweise vorläufig ohne prognostiziertes Abstimmungsdatum)
  • ISO/IEC/TR 24029-1 – KI – Bewertung der Robustheit von neuronalen Netzen (Veröffentlicht)
• „Hausgemachte“ Standards:
  • KI – Konzepte, Maßnahmen und Anforderungen für das Management von Bias in KI-Systemen (WI: JT021036) (in Ausarbeitung; prognostizierte Abstimmung: 3. Juni 2024)
  • Artificial Intelligence Trustworthiness Framework (WI: JT021008)

Um sich vollständig an die regulatorischen Anforderungen anzupassen, ist eine Anleitung erforderlich, die die ISO/IEC 24029-Serie ergänzt. Das Ziel ist die Festlegung praktischer Metriken, Schwellenwerte und Methoden, die auf spezifische Anwendungsfälle zugeschnitten sind. Daher erweitern die zusätzlichen Standards die Robustheitsüberlegungen über Tests und Messungen hinaus, um Designprinzipien einzubeziehen, insbesondere für Systeme, die sich nach der Bereitstellung weiterentwickeln.

Hier sind die wichtigsten Erkenntnisse hinter diesen Spezifikationen:

• Mehr als nur Testen: Die Standards müssen sich über reines Testen und Messen hinaus entwickeln, um Robustheitserwägungen direkt in Designprinzipien einzubetten.
• Designprinzipien und sich entwickelnde Systeme: Die Standards sollten Systeme berücksichtigen, die sich nach der Bereitstellung kontinuierlich weiterentwickeln.
• Praktische Metriken und Schwellenwerte: Es ist wichtig, praktische Metriken, Schwellenwerte und Methoden festzulegen, die auf spezifische Anwendungsfälle zugeschnitten sind.

german

Was ist der Zweck von Cybersicherheitsspezifikationen für KI-Systeme?

KI-Systeme, insbesondere solche, die durch den EU AI Act als hochriskant eingestuft werden, sind zunehmend anfällig für ausgeklügelte Cyberangriffe, die ihre Integrität, Zuverlässigkeit und Sicherheit gefährden können. In Anbetracht dieser wachsenden Bedrohung schreibt der EU AI Act Cybersicherheitsspezifikationen vor, um diese Systeme vor böswilligen Eingriffen zu schützen.

Der Zweck dieser Spezifikationen ist laut der laufenden Standardisierungsbemühungen ein vielfältiger:

Hauptziele

• Definition von Sicherheitsanforderungen: Festlegung klarer, objektiver Standards für die Umsetzung einer robusten Sicherheitsrisikobewertung und eines entsprechenden Minderungsplans, der speziell auf hochriskante KI-Systeme zugeschnitten ist.
• Behandlung KI-spezifischer Anfälligkeiten: Die Standards zielen darauf ab, proaktiv Aspekte im Zusammenhang mit KI-spezifischen Bedrohungen wie Data Poisoning, Model Poisoning, Model Evasion und Vertraulichkeitsangriffen zu erfassen – Bereiche, die von traditionellen Cybersicherheitsrahmenwerken oft übersehen werden.
• Definition technischer & organisatorischer Ansätze: Die Spezifikationen umfassen sowohl technische Maßnahmen als auch organisatorische Verfahren, die notwendig sind, um eine widerstandsfähige Sicherheitsposition für KI-Systeme aufzubauen.
• Festlegung von Verifikationsmethoden: Die Definition spezifischer Sicherheitsziele, die durch Tests erreicht und verifiziert werden sollen, ist von entscheidender Bedeutung, insbesondere auf Systemebene, wenn Minderungsmaßnahmen für Anfälligkeiten auf Komponentenebene möglicherweise nicht vollständig wirksam sind.

Während sich die Standardisierungslandschaft weiterentwickelt, beginnt die laufende Arbeit, KI-spezifische Bedrohungen zu behandeln, meist in Form von Leitlinien. Da jedoch ständig neue Bedrohungen und Gegenmaßnahmen entstehen, wird ein Hauptziel der neuen Standardisierung im Bereich der KI-Cybersicherheit darin bestehen, wesentliche Anforderungen für die Umsetzung einer Sicherheitsrisikobewertung und eines Minderungsplans für hochriskante KI-Systeme zu definieren.

Die Einhaltung dieser Cybersicherheitsspezifikationen bedeutet nicht nur das Abhaken eines Kästchens, sondern auch das Aufbauen von Vertrauen und die Gewährleistung des verantwortungsvollen Einsatzes von KI-Systemen, die tiefgreifende Auswirkungen auf Einzelpersonen und die Gesellschaft haben können. Unternehmen, die diese Anforderungen nicht erfüllen, riskieren erhebliche Geldstrafen (bis zu 35 Millionen Euro oder 7 % des globalen Umsatzes) und einen eingeschränkten Zugang zum EU-Markt.

Was ist die Hauptabsicht von Qualitätsmanagementsystemstandards?

Qualitätsmanagementsystemstandards, insbesondere im Kontext des EU AI Acts, zielen darauf ab, sicherzustellen, dass Anbieter von KI-Systemen bestimmte Qualitätsstandards einhalten. Bei diesen Standards geht es nicht nur um allgemeine Qualität; sie wurden speziell entwickelt, um die mit KI verbundenen Risiken zu adressieren und sicherzustellen, dass risikoreiche Systeme zuverlässig, robust und sicher für die Benutzer sind.

Hier ist, worauf die Absicht hinausläuft:

• Einhaltung von Vorschriften: Die Standards sind so konzipiert, dass sie die hochriskanten gesetzlichen Anforderungen des KI-Gesetzes operationalisieren. Das Erfüllen dieser Standards bietet eine Konformitätsvermutung, vereinfacht die Compliance und reduziert idealerweise den administrativen Aufwand für KI-Anbieter.

• Risikominderung: Die Standards betonen einen produktzentrierten Ansatz für das Risikomanagement mit dem Ziel, den Schutz individueller Rechte zu fördern.

• Marktzugang: Die Compliance rationalisiert das CE-Kennzeichnungsverfahren (conformit´e europ´eenne) und erleichtert den Zugang zum europäischen Markt.

• Schaffung gleicher Wettbewerbsbedingungen: Die Standards unterstützen die Schaffung gleicher Wettbewerbsbedingungen für die technische Konzeption und Entwicklung von KI-Systemen.

Der relevanteste Standard in diesem Bereich ist ISO/IEC 42001, ergänzt durch einen „hausgemachten“ Standard, AI – Quality Management System for Regulatory Purposes. Dieser letztere Standard baut auf mehreren ISO/IEC-Standards auf und konzentriert sich auf die Einhaltung von Vorschriften und die spezifischen Risiken, die durch das KI-Gesetz aus einem produktzentrierten Blickwinkel adressiert werden.

Wie Konformitätsbewertungsstandards den KI-Verordnungen unterstützen

Konformitätsbewertungsstandards sind entscheidend für die Navigation durch die komplexen Anforderungen des KI-Gesetzes. Diese Standards, die hauptsächlich von CEN-CENELEC JTC 21 entwickelt werden, zielen darauf ab, festzulegen, wie KI-Systeme bewertet werden können, um sicherzustellen, dass sie die Verpflichtungen des Gesetzes erfüllen. Dies beinhaltet die Definition von Anforderungen an Stellen, die Audits und Zertifizierungen von KI-Managementsystemen durchführen.

Die Rolle von ISO/IEC 42006 und 29119-11

Die bestehenden ISO/IEC 42006 (Anforderungen an Stellen, die Audits und Zertifizierungen von KI-Managementsystemen durchführen) und ISO/IEC 29119-11 (Testen von KI-Systemen) dienen als Ausgangspunkt. Es werden jedoch neue Standards benötigt, um KI-spezifische Schwachstellen und die Konformitätsbewertung anzugehen.

Bereiche mit Normen in Entwicklung

Zu den wichtigsten laufenden Bemühungen gehören:

• Kompetenzanforderungen: Entwicklung von Standards für die Kompetenzanforderungen von KI-Systemauditoren und -experten.
• KI-Konformitätsbewertungsrahmen: Schaffung eines Rahmens speziell für die Bewertung der KI-Konformität. (Arbeitselement: JT021038)
• Behebung KI-spezifischer Schwachstellen: Bewertung der technischen Lösungen zur Behebung KI-spezifischer Schwachstellen.

Die Bedeutung harmonisierter Normen

Sobald diese Normen harmonisiert sind (im Amtsblatt der Europäischen Union veröffentlicht), schaffen sie eine „Konformitätsvermutung“. Das bedeutet, dass KI-Systeme, die diese Normen einhalten, automatisch als mit den relevanten Anforderungen des KI-Gesetzes übereinstimmend gelten, was die Compliance vereinfacht und den Verwaltungsaufwand für KI-Anbieter reduziert.

Herausforderungen bei der Normenimplementierung und -bewertung

Es bleiben jedoch noch einige Herausforderungen bestehen:

• Ausrichtung: Diese Standards nutzen vorhandene Arbeiten, wie z. B. die ISO CASCO Toolbox, die eine Grundlage für allgemeine Prinzipien und Leitlinien zur Konformitätsbewertung bietet. Sie müssen jedoch auch definieren, wie diese Konformitätsbewertungsrahmen speziell an die besonderen Merkmale von risikoreichen KI-Systemen angepasst und angewendet werden sollten.
• Implementierungsverzögerung: Ein großes Problem ist der kurze Zeitraum, den Unternehmen haben werden, um diese Standards zu implementieren, nachdem sie fertiggestellt und veröffentlicht wurden (voraussichtlich Anfang 2026). Dies könnte nur 6-8 Monate betragen, bevor die Hochrisikoanforderungen des KI-Gesetzes gelten.
• Koordinierung: Es bedarf einer engen Koordinierung zwischen den parallelen Standardisierungsarbeiten, um sicherzustellen, dass die resultierenden Standards komplementär und zweckmäßig sind, um die Umsetzung des regulatorischen Rahmens zu unterstützen.

Letztendlich hängt der Erfolg des KI-Gesetzes von der Entwicklung und effektiven Umsetzung dieser Konformitätsbewertungsstandards ab. Die Akteure müssen sich aktiv engagieren, um sicherzustellen, dass die Standards praktikabel, umfassend und auf die regulatorischen Ziele abgestimmt sind.

german

Was sind die gängigen sektorübergreifenden Herausforderungen bei der Implementierung von KI-Standards?

In verschiedenen Branchen bestehen gemeinsame Schwierigkeiten bei der Einhaltung neuer KI-Standards. Wachstumsstarke KI-Startups in Hochrisikosektoren haben bereits begonnen, sich an den erwarteten Standards auszurichten, während jüngere Unternehmen aufgrund unklarer Zeitpläne und fehlender spezifischer Anleitungen Schwierigkeiten haben.

Ein Haupthindernis ist die interpretative Mehrdeutigkeit dieser Standards. Die Definition von Compliance kann unklar sein, insbesondere wenn Systeme verschiedene Komponenten integrieren oder auf Modelle von Drittanbietern angewiesen sind. Abweichende Geheimhaltungsgesetze zwischen den EU-Mitgliedsstaaten stellen eine weitere Komplexitätsebene dar und schaffen operationelle Konflikte für Sektoren wie Legal Tech. Darüber hinaus haben selbst Veteranen hochregulierter Sektoren wie dem Gesundheitswesen Schwierigkeiten, die Anforderungen des KI-Gesetzes mit bestehenden Vorschriften in Einklang zu bringen, insbesondere bei der Kombination von KI-Techniken wie Bildverarbeitung und Sprachanalyse.

Trotz der Erwartung, dass technische Standards selbst kostenlos sein werden, sind KI-Anbieter besorgt wegen erheblicher indirekter Kosten. Die Einhaltung kann jährliche Investitionen von schätzungsweise 100.000 bis 300.000 Euro jährlich erfordern, zuzüglich der engagierten Zeit von wichtigen Führungskräften. Selbst Anbieter, die nicht als „hochriskant“ gelten, könnten sich unter Druck gesetzt fühlen, freiwillig die Vorschriften einzuhalten, um ihre Haftung zu begrenzen, was möglicherweise übermäßige Kosten verursacht.

Die Analyse der befragten KI-Anbieter zeichnet ein differenziertes Bild davon, wie sich das KI-Gesetz auf Innovationen auswirkt, und unterscheidet zwischen etablierten und aufstrebenden Unternehmen. Die Tendenz zeigt, dass die Anpassung für Unternehmen in Sektoren, in denen es bereits Regulierungen gibt, wie z. B. im Gesundheitswesen, durch ihre bisherigen Erfahrungen mit ähnlichen Regelungen erleichtert wird. Für diejenigen, die keine Vorerfahrung mit Regulierungen haben, ist die Umsetzung der Compliance jedoch deutlich schwieriger.

Bezüglich der Integration von Rechtsrahmen berichten viele, dass Diskrepanzen zwischen den Rahmenbedingungen in der EU den Markteintritt in die EU bereits verzögern, wodurch die USA eine vernünftigere Option für den Anfang darstellen. Dies führt auch zu Problemen für bereits etablierte Rahmenbedingungen wie die DSGVO und wird durch widersprüchliche nationale und lokale Gesetze, die in den verschiedenen Mitgliedsstaaten variieren, weiter problematisiert.

Die meisten Unternehmen halten den August 2026 für unrealistisch. Dies wird dadurch unterstrichen, dass es schätzungsweise ein Jahr dauern wird, nur einen technischen Standard (z. B. ISO/IEC 27001) zu erfüllen. Selbst mit fachkundiger Unterstützung. Eine bessere Option wäre eine schrittweise Einführung, insbesondere für KMUs, um längere praktische Anpassungszeiten zu ermöglichen.

Asymmetrische Teilnahme am Standardisierungsprozess

Die Teilnahme an den Sitzungen des JTC 21, den Arbeitsgruppen und den Spiegelgremien der Mitgliedsstaaten schien im Vergleich zur Anzahl der Anbieter sehr gering zu sein. Die meisten kleinen und mittleren Anbieter räumten ein, dass sie aufgrund mangelnder Kenntnisse und Ressourcen „selten“ oder „unregelmäßig“ an Aktivitäten zur Standardisierung beteiligt sind. Die Standardisierung begünstigt große Unternehmen, und das Ungleichgewicht schafft ein unverhältnismäßiges Umfeld für kleinere Unternehmen, sagen mehrere Anbieter.

german

Wie beeinflusst die Komplexität der KI-Compliance den Markt?

Die Komplexität der KI-Compliance, insbesondere im Rahmen des EU AI Acts, wird die Marktlandschaft erheblich verändern. Neue Herausforderungen, die sich aus Unklarheiten in den Compliance-Grenzen, unterschiedlichen Geheimhaltungsanforderungen und komplexen Klassifizierungsregeln ergeben, erfordern ein detaillierteres Verständnis dafür, wie sich diese Faktoren auf verschiedene Akteure auswirken.

Zentrale Compliance-Herausforderungen

Hier ist eine Aufschlüsselung der wichtigsten Compliance-Herausforderungen, die von KI-Anbietern identifiziert wurden:

• Interpretative Unklarheiten: Die Definition von Compliance-Grenzen ist komplex, insbesondere wenn KI-Systeme mehrere Komponenten oder Modelle von Drittanbietern integrieren.
• Sektorale Divergenzen: Unterschiedliche Geheimhaltungsanforderungen in den EU-Mitgliedstaaten führen zu operativen Konflikten. Die Vereinbarkeit von Berufsgeheimnisgesetzen mit regulatorischen Protokollierungspflichten erweist sich als schwierig.
• Klassifizierungsunsicherheit: Unsicherheit darüber, wie die Risikoeinstufung in verschiedenen Fällen angewendet wird, was Bedenken hinsichtlich Dual-Use-Technologien hervorhebt.
• Integrationskomplexitäten: Die Anpassung der Anforderungen des AI Acts an bestehende Vorschriften kann schwierig sein, wenn Systeme mehrere KI-Modalitäten kombinieren, wie z. B. Bildverarbeitung und Sprachmodelle.
• Durchsetzungsunsicherheit: Unklarheit bezüglich der spezifischen Nachweise, die zur Demonstration der Compliance erforderlich sind, insbesondere in Bezug auf Bias-Tests und Modellrobustheit, verursacht Besorgnis.

Auswirkungen auf Unternehmen

Interviews legen eine besorgniserregende Sichtweise darauf nahe, wie sich der AI Act auf Innovationen auswirkt, wobei insbesondere eine Kluft zwischen etablierten und aufstrebenden Unternehmen hervorgehoben wird.

• Kostenbelastungen: Es werden erhebliche Kosten im Zusammenhang mit den Anforderungen des AI Acts erwartet, was Unternehmen zu Bedenken hinsichtlich indirekter Kosten veranlasst.
• Personalanforderungen: Die Compliance-Workflows des AI Acts können den Einsatz erheblicher, dedizierter Personalressourcen erfordern. Dies führt zu laufenden Betriebskosten, die über die anfänglichen Compliance-Investitionen hinausgehen.
• Innovationshemmnisse: KMUs befürchten, dass die Compliance-Anforderungen ihre Skalierungsfähigkeiten unverhältnismäßig beeinträchtigen.
• Wettbewerbsdruck: Die regulatorischen Belastungen der EU könnten gegenüber Jurisdiktionen wie den USA an Boden verlieren, wo geringere regulatorische Belastungen schnellere Innovationszyklen und mehr Flexibilität ermöglichen.

Andererseits scheinen Anbieter von Gesundheits- und Rechtstechnologien aufgrund ihrer Erfahrung mit bestehenden Rahmenbedingungen besser für die Anpassung gerüstet zu sein und sehen die Regulierung daher als potenziell vorteilhaft für das Marktvertrauen.

Es ist auch zu beachten, dass die Fragmentierung zwischen den Jurisdiktionen zu Verzögerungen bei Markteintritten in der EU führt.

Auswirkungen auf die Standardisierung

Es gibt ein Muster asymmetrischer Beteiligung am Normungsentwicklungsprozess. Der Normungsentwicklungsprozess könnte größere Unternehmen begünstigen.

Insgesamt haben diese Faktoren das Potenzial, die Standardisierung für den Durchschnittsakteur sehr schwierig zu machen.

Welche Ressourcen sind erforderlich, um die KI-Compliance zu erreichen?

Das Erreichen der KI-Compliance, insbesondere im Rahmen des EU AI Act, erfordert einen vielschichtigen Ansatz, der erhebliche Ressourcen und strategische Planung erfordert. Die Herausforderung besteht nicht nur darin, die Verordnung zu verstehen, sondern abstrakte Anforderungen in konkrete Praktiken umzusetzen.

Personal und Expertise

Ein Schlüsselbereich ist die Zuweisung von qualifiziertem Personal. Compliance-Beauftragte sind von entscheidender Bedeutung, aber zunehmend benötigen Organisationen KI-spezifische Legal-Tech-Expertise und ein tiefes Verständnis des Verhaltens von KI-Modellen. Technisches Personal muss KI-Risikomanagement-Tools, Qualitätssicherungssysteme und eine robuste Post-Market-Überwachung anpassen. Befragte Organisationen berichten, dass sie Personal speziell für die Einhaltung des KI-Gesetzes einsetzen. Der Grad der internen Expertise oder die Ressourcen, die für die Beschaffung externer Unterstützung aufgewendet werden, müssen in die Kosten der Ressourcen einkalkuliert werden.

Die Kosten für Fachwissen werden durch den aktuellen Stand der KI-Standardisierung noch verstärkt. Dies wird deutlich, wenn Organisationen mit der Definition von Compliance-Grenzen zu kämpfen haben, wenn sie mehrere Komponenten integrieren oder sich auf Modelle von Drittanbietern verlassen.

Finanzielle Überlegungen

Die Implementierung und Aufrechterhaltung von KI-Systemen, die dem KI-Gesetz entsprechen, wird Organisationen finanziell belasten. Zu den Kosten gehören dediziertes Compliance-Personal, die Zeit der Führungskräfte, die für Compliance-Angelegenheiten aufgewendet wird, und Zertifizierungskosten. Startups und KMU mit weniger als 20 Mitarbeitern werden durch die Kostenverteilung drastisch betroffen sein, wobei Schätzungen zufolge jährlich 100.000 € für die Aufrechterhaltung der Compliance aufgewendet werden müssen. Angesichts dieser Gemeinkosten geben KI-Anbieter voraussichtliche jährliche Compliance-Kosten von ca. 100.000 € für dediziertes Compliance-Personal und 10-20 % der Zeit des Gründers/der Geschäftsleitung für Standardangelegenheiten an.

Selbst Unternehmen, die auf die Implementierung und Aufrechterhaltung von Kosten vorbereitet sind, wie z. B. Medizintechnikunternehmen, schätzen, dass die Zertifizierungskosten 200.000 € übersteigen können, und Legal-Tech-Unternehmen geben geschätzte jährliche Kosten zwischen 200.000 und 300.000 € an.

Umgang mit Unklarheiten und Unsicherheiten

Eine weitere wichtige Ressource ist die Fähigkeit, in regulatorische und rechtliche Unterstützung zu investieren, um Unklarheiten proaktiv zu bewältigen. Angesichts unterschiedlicher Auslegungen der beruflichen Schweigepflicht im Vergleich zu den Protokollierungsanforderungen zwischen nationalen Gesetzen und EU-Gesetzen sind dies alles Bereiche, die in die Planung einbezogen werden müssen.

Unternehmen sollten auch Kosten für die Entwicklung und Implementierung klarer Überprüfungsprotokolle erwarten, um die Einhaltung der Vorschriften nachzuweisen. Um die Einhaltung der Vorschriften nachzuweisen, müssen Nachweise für die Arbeit in Bezug auf Bias-Tests und Modellrobustheit vorgelegt werden.

Welche Auswirkungen hat das KI-Gesetz auf Marktreputation und Innovation?

Die Auswirkungen des KI-Gesetzes auf Marktreputation und Innovation sind ein komplexes Thema, insbesondere für kleine und mittlere Unternehmen (KMU). Während etablierte Unternehmen in Sektoren wie dem Gesundheitswesen und der Legal Tech-Branche die Regulierung tendenziell als potenziellen Schub für das Marktvertrauen betrachten, äußern aufstrebende KI-Unternehmen Bedenken hinsichtlich Innovationshindernissen, die mit diesen neuen Standards verbunden sind.

Innovationshindernisse für KMU

• Skalierbarkeit: Die Mehrheit der KMU, die gemäß dem KI-Gesetz als risikoreich eingestuft werden, befürchten, dass die Compliance ihre Skalierbarkeit unverhältnismäßig beeinträchtigt.
• Unsicherheit bei der Risikoklassifizierung: Unternehmen sind mit Unsicherheit bezüglich der Risikoklassifizierung beim Übergang von Designunterstützung zu operativen Systemen konfrontiert.
• Wettbewerbsnachteil: Es besteht die Sorge, dass man gegenüber flexibleren Jurisdiktionen wie den USA, wo geringere regulatorische Belastungen schnellere Innovationszyklen ermöglichen, an Boden verliert.

Marktvertrauen und sektorale Vorbereitung

Unternehmen in bereits regulierten Sektoren, wie dem Gesundheitswesen, scheinen aufgrund ihrer Erfahrung mit bestehenden Rahmenbedingungen wie der Medizinprodukteverordnung (MDR) besser auf die Anpassung vorbereitet zu sein. Im Gegensatz dazu stehen Unternehmen in bisher unregulierten Sektoren vor größeren Anpassungsproblemen und haben Schwierigkeiten, KI-Standards ohne vorherige regulatorische Erfahrung zu interpretieren und umzusetzen.

Experimentierbeschränkungen

Vor allem junge Unternehmen sind frustriert über intransparente und bürokratische Bedingungen, die das Experimentieren einschränken.

Asymmetrische Beteiligung an der Normung

Die Interviewdaten zeigen ein Muster eingeschränkter Beteiligung am Normungsentwicklungsprozess von JTC 21, seinen Arbeitsgruppen und Spiegelgremien in den Mitgliedstaaten. Unter den befragten Anbietern berichtet nur ein geringer Teil von einer aktiven Beteiligung an KI-Standardisierungsbemühungen oder formellen Konsultationen, wobei die Beteiligung insbesondere bei kleineren Unternehmen bemerkenswert gering ist.

• Ressourcenbeschränkungen: Die meisten kleinen und mittleren Anbieter räumen ein, dass sie sich „selten“ oder „unregelmäßig“ an Standardisierungsaktivitäten beteiligen, und nennen Ressourcenbeschränkungen und Wissenslücken als Haupthemmnisse.
• Bevorzugung großer Akteure: Mehrere Befragte bezeichnen den Standardisierungsprozess als Bevorzugung größerer Konzerne und beschreiben die Diskussionen als „einseitig“. Mehrere Anbieter äußern die Sorge, dass dieses Ungleichgewicht zu Standards führen könnte, die unverhältnismäßige Barrieren für kleinere Marktteilnehmer schaffen.
• Mangel an Unterstützungsmechanismen: Während einige Unternehmen Interesse an einer zukünftigen Teilnahme bekunden, betonen sie die Notwendigkeit strukturierter Unterstützungsmechanismen.

Wie beeinflusst die Teilnahme an der Normung den Wettbewerb?

Die Teilnahme an der Normung kann für KI-Unternehmen ein zweischneidiges Schwert sein und die Wettbewerbslandschaft tiefgreifend beeinflussen, wie ein aktueller Bericht zeigt. Obwohl sie technisch erscheinen, haben diese Standards weitreichende Auswirkungen, insbesondere für Start-ups und KMUs, die sich mit dem KI-Gesetz der EU auseinandersetzen.

Strategische Vorteile der Teilnahme

Die aktive Beteiligung an der Normung bietet deutliche strategische Vorteile:

• Wissenstransfer: Die Teilnahme am Normungsprozess ermöglicht es Unternehmen, die technischen Nuancen der Compliance genau zu verstehen.
• Beziehungsaufbau: Die Teilnahme fördert wichtige Beziehungen, die über einfache Lobbyarbeit hinausgehen, und erleichtert die reibungslose technische Compliance im weiteren Verlauf.

Allerdings sind die Ausgangsbedingungen nicht gleich.

Die Asymmetrie des Einflusses

Normungsausschüsse werden häufig von größeren Unternehmen dominiert, darunter große US-amerikanische Technologie- und Beratungsunternehmen. Dies führt zu einer erheblichen Ungleichheit, da KMUs, Start-ups, die Zivilgesellschaft und die Wissenschaft unterrepräsentiert sind. Der Bericht hebt hervor, dass dieses Ungleichgewicht zu Folgendem führt:

• Wettbewerbsvorteile für große Unternehmen: Größere Unternehmen verfügen über die Ressourcen, um Normen zu ihrem Vorteil zu gestalten und sowohl Wissens- als auch Implementierungsvorteile zu erlangen.
• Bedenken hinsichtlich der EU-Werte: Der beträchtliche Einfluss von US-Unternehmen gibt Anlass zur Sorge um die angemessene Vertretung der EU-Werte, insbesondere in Bezug auf den Schutz der Grundrechte. Normen erfordern eine werteorientierte Abwägung dieser Rechte, die möglicherweise vom Europäischen Gerichtshof überprüft wird.
• Ausschluss von entscheidendem Wissen: Die begrenzte Teilnahme kleinerer Unternehmen bedeutet, dass wesentliches Wissen von den Normen ausgeschlossen wird, die den Marktzugang definieren werden, wodurch möglicherweise eine umfassende Sicherheit beeinträchtigt wird.

Das Problem läuft auf Ressourcen hinaus. Eine effektive Teilnahme erfordert erhebliche Investitionen, was es kleineren Organisationen erschwert, sie neben den operativen Kernaktivitäten zu priorisieren. Branchenverbände greifen oft ein, aber ihre Fähigkeit, die unterschiedlichen Interessen aller Beteiligten vollständig zu vertreten, ist begrenzt.

Der Weg nach vorn

Für einen fairen Wettbewerb ist ein integrativerer Normungsprozess entscheidend. Dies bedeutet die Einbeziehung unterschiedlicher Perspektiven und Fachkenntnisse, um sicherzustellen, dass die resultierenden Standards sowohl robust als auch gerecht sind. Es sind politische Interventionen erforderlich, um gleiche Wettbewerbsbedingungen zu schaffen und zu verhindern, dass Normen zu einem Markteintrittshemmnis für kleinere KI-Innovatoren werden.

Inwiefern schafft regulatorische Fragmentierung Compliance-Herausforderungen?

Regulatorische Fragmentierung stellt KI-Anbieter, insbesondere solche, die in mehreren Gerichtsbarkeiten tätig sind, vor erhebliche Compliance-Herausforderungen. Dies rührt von mehreren Hauptproblemen her:

Divergenz bei Geheimhaltungspflichten: Verschiedene EU-Mitgliedstaaten haben unterschiedliche Geheimhaltungsgesetze, was zu operationellen Konflikten für Sektoren wie Legal Technology führt. Dies erschwert die Etablierung konsistenter Compliance-Praktiken über Grenzen hinweg.

Klassifizierungsmehrdeutigkeit: Der Anwendungsbereich des KI-Gesetzes kann unklar sein, insbesondere für Unternehmen, die in mehreren Sektoren tätig sind. Dual-Use-Technologien, die sowohl regulierten als auch nicht-regulierten Zwecken dienen, schaffen Unsicherheit über die Risikoklassifizierung. Das Gleiche gilt für General Purpose AI (GPAI)-Modelle.

Überlappende regulatorische Rahmenbedingungen: Unternehmen sind aufgrund überlappender EU- und nationaler Gesetze mit operationellen Konflikten konfrontiert. Unterschiedliche Auslegungen ähnlicher Anforderungen in den Mitgliedstaaten erschweren die Umsetzung, ähnlich den früheren Erfahrungen mit PSD2.

Bereitschaft der EU-Regulierungsbehörden: Es bestehen Bedenken hinsichtlich der Bereitschaft der EU-Regulierungsbehörden, Zertifizierungen einheitlich zu verwalten. Verzögerungen und Inkonsistenzen im Zertifizierungsprozess könnten den Marktzugang beeinträchtigen, selbst für konforme KI-Systeme. Fragmentierte Interpretationen und Zertifizierungsprozesse stellen beachtliche Probleme für Startups dar, denen die Ressourcen fehlen, um sich in ihnen zurechtzufinden.

Wie wirken sich Umsetzungsfristen auf Unternehmen aus?

Das kommende EU-KI-Gesetz führt harmonisierte KI-Standards ein, aber es werden Bedenken hinsichtlich der Machbarkeit der Einhaltung der Compliance-Fristen laut, insbesondere für Startups und KMUs. Da die Entwicklung von Standards hinterherhinkt und wichtige Ergebnisse erst bis Anfang 2026 erwartet werden, bleiben lediglich 6-8 Monate, bevor die Compliance im August 2026 verpflichtend wird. Dieser komprimierte Zeitrahmen, insbesondere angesichts des potenziellen Volumens von rund 35 technischen Standards, wirft ernsthafte Fragen hinsichtlich der Anpassungsfähigkeit der Unternehmen auf.

Branchenstudien deuten darauf hin, dass Unternehmen in der Regel mindestens 12 Monate für die Einhaltung eines einzelnen Standards benötigen, was zu erheblichen Verzögerungen beim Marktzugang für Neuankömmlinge im KI-Bereich führt. Darüber hinaus sind größere Organisationen mit Vorerfahrung in regulierten Sektoren besser positioniert, was die Kluft zwischen großen Konzernen und innovativen Startups vergrößert. Startups und KMUs sind unverhältnismäßig benachteiligt und können Wettbewerbsvorteile verlieren, wenn sie nicht proaktiv reagieren können.

Kurze Umsetzungsfristen bergen ernsthafte Risiken:

• Finanzielle Strafen: Nichteinhaltung könnte zu Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes führen, was eine ernsthafte Bedrohung für kleinere Unternehmen darstellt.
• Beschränkungen des Marktzugangs: Compliance-Verzögerungen könnten den Zugang zum EU-Markt einschränken und konformen Unternehmen einen Vorteil verschaffen.
• Reputationsschäden: Negative Medienberichterstattung kann zu einem Verlust des Kundenvertrauens und zur Schädigung von Geschäftsbeziehungen führen.

Um diese Zeitknappheit zu beheben, werden mehrere Maßnahmen empfohlen:

• Gesetzgeberische Verschiebung: Der EU-Gesetzgeber muss die Umsetzungsfristen des KI-Gesetzes verschieben, um Organisationen ausreichend Zeit für die standardbasierte Compliance zu geben.
• Veröffentlichung von Standards: Die zügige Veröffentlichung nahezu endgültiger Standards könnte es Unternehmen ermöglichen, sich lange vor dem Stichtag der verbindlichen Fristen anzupassen.
• Transparenter Zugang: Die Einrichtung eines zentralen Online-Portals, über das Unternehmen die Entwicklung von Standards und Anforderungen verfolgen könnten, würde Transparenz schaffen und Feedback fördern.
• Serviceorientierter Ansatz: Das KI-Büro und die nationalen Behörden müssen einen kontinuierlichen, serviceorientierten Dialog mit den betroffenen Unternehmen führen.

german

Welche sektorspezifischen Auswirkungen hat die Implementierung horizontaler Standards?

Die Implementierung der horizontalen Standards des EU-KI-Gesetzes wird je nach der bestehenden regulatorischen Reife eines Sektors und der Art seiner KI-Anwendungen unterschiedliche Auswirkungen haben.

Gesundheitswesen und Medizintechnik

Während das Ausbalancieren von Datenschutz, Genauigkeit und Versorgungsqualität oft diskutiert wird, finden Organisationen mit bestehender regulatorischer Erfahrung im Gesundheitswesen praktische Lösungen, indem sie ihre Konformität mit der Medizinprodukteverordnung (MDR) nutzen. Dieser Sektor profitiert von den KI-Gesetz-Standards, die potenziell die Interoperabilität verbessern und KI-Tools nahtlos in bestehende Systeme integrieren, wobei der Fokus auf klinischer Genauigkeit und öffentlichem Vertrauen liegt.

Fertigung

Der Fertigungssektor erwartet eine enge Übereinstimmung zwischen technischen Standards und etablierten Rahmenwerken (ISO 9001, ISO 31000 und Industrie 4.0-Protokolle). Diese Integration bietet Chancen zur Verbesserung der Qualitätskontrolle und zur Standardisierung der Datenverarbeitung. Herausforderungen ergeben sich jedoch bei der Aufrechterhaltung einer umfassenden Dokumentation für KI-gesteuerte Entscheidungen – insbesondere in Hochgeschwindigkeitsproduktionskontexten. Darüber hinaus könnte eine umfangreiche Prüfung vor der Bereitstellung die Einführung von Echtzeit-Automatisierungslösungen verlangsamen, was kleinere Hersteller beeinträchtigen könnte, die mit den Compliance-Kosten zu kämpfen haben könnten.

Legal Tech

Legal-Tech-Firmen sind besorgt über die Ressourcenintensivität der Aufrechterhaltung von Audit-Trails für KI-Outputs, insbesondere bei der Handhabung sensibler Mandantendaten. Die Integration von Vorschriften, einschließlich der DSGVO, erfordert technische Aktualisierungen und eine sorgfältige Berücksichtigung der Data Governance. Diese Firmen sehen die Compliance jedoch als eine Chance, sich als führend im Bereich ethischer KI-Praktiken zu etablieren und das Vertrauen der Kunden in regulierten Märkten zu stärken.

FinTech

Der FinTech-Sektor befürchtet, dass übermäßig präskriptive Anforderungen etablierte Institutionen gegenüber Startups bevorzugen könnten. Diese Gesprächspartner ziehen Parallelen zu ihren Erfahrungen mit PSD2. Während die Standardisierung Vertrauen und Klarheit in Bereichen wie der Kundenauthentifizierung katalysieren kann, befürchten Unternehmen, dass komplexe Compliance-Anforderungen kleinere Firmen unverhältnismäßig belasten könnten, wie in früheren Finanzsektorvorschriften.

Mobilität (Automobil) und Verteidigung

Obwohl diese Sektoren möglicherweise teilweise außerhalb des Anwendungsbereichs des KI-Gesetzes liegen, werden sie dennoch Auswirkungen durch die High-Risk-KI-Anforderungen erfahren, die sich aus den harmonisierten Standards ergeben. KI-Anbieter im Mobilitätssektor sehen diese Standards als Verbesserung der Transparenz und Sicherheit, während sie gleichzeitig operative Belastungen auferlegen, insbesondere für komplexe Systeme, die Erklärbarkeit und Cybersicherheitsmaßnahmen benötigen. Der Verteidigungssektor, der aus Gründen der nationalen Sicherheit ausdrücklich ausgeschlossen ist, wird indirekten Druck durch Auswirkungen auf das Ökosystem und Dual-Use-Überlegungen erfahren, insbesondere in Bezug auf autonome Systeme, die in Umgebungen mit hohem Einsatz operieren.

Wie wirken sich KI-Standards als Spillover-Effekte auf verschiedene Sektoren aus?

Die Implementierung von KI-Standards, die vor allem durch den EU AI Act vorangetrieben wird, verursachtwellenartige Auswirkungen in verschiedenen Sektoren, selbst in solchen, die nicht direkt inden Anwendungsbereich der Verordnung fallen. Während Sektoren wie das Gesundheitswesen und das Finanzwesen mit der direkten Einhaltung zu kämpfen haben, spüren andere den indirekten Druck undantizipieren langfristige Auswirkungen. Lassen Sie uns aufschlüsseln, wie sich dies abspielt.

Mobilität & Automobil

Der Mobilitätssektor stellt einen faszinierenden Fall dar. Interviewdaten deuten darauf hin, dass Unternehmen KI-Standards als zweischneidiges Schwert betrachten. Einerseits sind verbesserte Transparenz und Sicherheit attraktiv. Andererseits werden erhebliche operative Belastungen erwartet, insbesondere bei komplexen Systemen, die eine fortschrittliche Erklärbarkeit und robuste Cybersicherheit erfordern. Eine wichtige Erkenntnis ist, wie weit das Label „hohes Risiko“ für KI gilt. Mobilitätsanbieter erkennen, dass scheinbar routinemäßige Prozesse, wie z. B. die Routenplanung, aufgrund ihrer dynamischen Natur und der Abhängigkeit von mehreren Datenpunkten unter diese Klassifizierung fallen können. Dies führt zu erheblichen betrieblichen und Compliance-Hürden.

Verteidigung

Der Verteidigungssektor, der aufgrund nationaler Sicherheitsbedenken weitgehend vom AI Act ausgeschlossen ist, erlebt indirekten Druck durch Ökosystemeffekte und „Dual-Use“-Überlegungen – Technologien mit sowohl zivilen als auch militärischen Anwendungen. Obwohl sie nicht direkt reguliert werden, beobachten Verteidigungsunternehmen den AI Act genau, da er sich auf die Verfügbarkeit von Open-Source-KI-Modellen und allgemeine KI-Standards auswirkt. Eine überraschende Erkenntnis? Der Sektor hält oft strenge Sicherheitsstandards ein, die mit zivilen Anwendungen vergleichbar sind, ein Faktor, der eine freiwillige Angleichung an die Anforderungen des AI Act fördern kann.

Die Integration von KI-Standards mit hohem Risiko, wie z. B. Erklärbarkeit, Risikomanagement und Transparenzrahmen, könnte die Sicherheit und Interoperabilität für KI-Verteidigungssysteme verbessern, insbesondere für autonome Systeme, die in risikoreichen Umgebungen wie städtischen Kampfzonen oder bei der Katastrophenhilfe eingesetzt werden. Die Interviewdaten deuten darauf hin, dass einige Unternehmen die freiwillige Übernahme einiger der KI mit hohem Risiko in Betracht ziehen, da sie davon ausgehen, dass dies eine größere zivil-militärische Zusammenarbeit ermöglicht und das Vertrauen in KI-Mensch-Kollaborationssysteme fördert.

Finanzielle und reale Herausforderungen

Diese sektorübergreifenden Auswirkungen führen zu unterschiedlichen Reaktionen. Einige Mobilitätsunternehmen erwägen alternative Märkte mit geringeren regulatorischen Belastungen und verweisen auf finanzielle und betriebliche Herausforderungen. Im Gegensatz dazu sehen Verteidigungsunternehmen potenzielle Wettbewerbsvorteile in der Einführung von Hochrisiko-Standards. Der gemeinsame Nenner? Beide Sektoren erkennen an, dass die Angleichung an diese Richtlinien für Transparenz und Interoperabilität trotz der anfänglichen Umsetzungshürden letztendlich von Vorteil ist.

Im Wesentlichen stehen auch Sektoren, die nicht direkt vom EU AI Act erfasst werden, vor der Herausforderung, strenge KI-Standards zu meistern. Da KI immer allgegenwärtiger wird, werden sich diese Spillover-Effekte wahrscheinlich ausweiten, die Abläufe verändern und möglicherweise den Wettbewerb auf dem Markt beeinflussen. Dies macht das Verständnis und die Anpassung an KI-Standards für Unternehmen unabhängig von ihrem Tätigkeitsbereich unerlässlich.

Wie kann der Implementierungszeitplan für das KI-Gesetz optimiert werden?

Das ehrgeizige Ziel der Europäischen Union, KI durch das EU-KI-Gesetz zu regulieren, steht aufgrund enger Implementierungszeitpläne, komplexer Stakeholder-Dynamiken und Implementierungskosten vor Herausforderungen. Laut Branchenerkenntnissen kann der Zeitplan wie folgt optimiert werden:

Anpassung der Implementierungsfristen

Das derzeitige Tempo der KI-Standardentwicklung gibt Anlass zur Sorge. Die Lücke zwischen der erwarteten Veröffentlichung der Standards (Anfang 2026) und der Compliance-Frist (August 2026) lässt lediglich 6-8 Monate für die Implementierung. Organisationen berichten, dass sie mindestens 12 Monate pro Standard benötigen. Mögliche Optionen sind:

• Gesetzgeberische Maßnahmen: Der EU-Gesetzgeber sollte eine Verschiebung der Implementierungsfristen in Erwägung ziehen, um sie an realistische Einführungszeitpläne anzupassen.
• Reduzierung des Standardumfangs: Verringerung der Anzahl und Komplexität der 35 technischen Standards, die derzeit entwickelt werden.
• Frühzeitige Veröffentlichung: Veröffentlichung nahezu endgültiger Standards in einem frühen Stadium, wobei jedoch eingeräumt wird, dass diese sich noch ändern können.
• Transparenzportal: Schaffung einer Online-Plattform für den kostenlosen Zugang zu Entwürfen von Standards und Bereitstellung eines Feedback-Systems, insbesondere für KMU.
• Laufender Dialog: Das KI-Büro und die nationalen Behörden sollten während der Implementierung in einen kontinuierlichen Dialog mit Unternehmen treten, ähnlich wie Finanzaufsichtsbehörden.

Senkung der Teilnahmebarrieren

Die Vertretung der Stakeholder in den Normungsausschüssen ist ungleichmäßig, wobei große Unternehmen oft dominieren. Nach dem Malamud-Urteil des Gerichtshofs der Europäischen Union (EuGH) müssen harmonisierte Normen für EU-Bürger kostenlos zugänglich sein. Weitere Strategien zur Verbesserung des Engagements sind:

• Expertennetzwerke: Die Europäische Kommission oder CEN-CENELEC sollten branchenspezifische Expertennetzwerke aufbauen, um die sektorspezifische Compliance zu steuern.
• Finanzielle Unterstützung: Einrichtung substanzieller Finanzierungsmechanismen auf EU- und Bundesebene zur Subventionierung der Beteiligung von KMU, unter Ausschluss großer Unternehmen, die über ausreichende Ressourcen verfügen. Konzentration der Finanzierung auf die tatsächlichen Personalkosten des Ausschussengagements.
• Mentorenprogramme: Einführung von Mentorenprogrammen, die Experten mit Vertretern von Start-ups und KMU zusammenbringen.
• Ausschusszugänglichkeit: Umwandlung der KI-Normungsausschüsse in transparente Gremien, die Informationen bereitstellen und die Beitrittsprozesse rationalisieren. Erfahrene Mitglieder können dann Neuankömmlinge anleiten.

Praktische Hilfe für die Implementierung

Bereitstellung pragmatischer Leitfäden für die Einhaltung des KI-Gesetzes, wobei sich das EU-KI-Büro und die nachfolgenden Behörden auf KMU konzentrieren:

• Pragmatische Leitlinien: Einrichtung regelmäßiger interpretativer Leitlinien, konkreter Implementierungstipps und direkter Unterstützung durch dedizierte Ansprechpartner, die speziell auf KMU zugeschnitten sind.
• Spezifische Leitliniendokumentation: Bereitstellung sektorspezifischer Leitliniendokumente, realer Beispiele und schrittweiser Implementierungsleitfäden sowie Bereitstellung konsistenter Branchen-Updates angesichts der KI-Entwicklungen.
• Operationelle Kommunikation: Um das Verständnis für Herausforderungen und Bedürfnisse zu ermöglichen und sicherzustellen, dass die Unterstützung den tatsächlichen Marktbedürfnissen entspricht, sollte ein praktisches Kommunikationssystem zwischen Regulierungsbehörden und wichtigen Branchen implementiert werden.
• Evaluierungsrahmen: Schaffung eines solchen Rahmens zur Messung des Fortschritts, zur Sicherstellung der Rechenschaftspflicht und zur Verfolgung von Verbesserungen anhand quantifizierbarer Kenngrößen.

Zusätzliche Überlegungen

Über die oben genannten Punkte hinaus könnten regulatorische Sandboxes gemäß Artikel 57 des KI-Gesetzes die Kommunikation und Zusammenarbeit zwischen der Community der Entwickler von KI-Systemen mit hohem Risiko und den EU-Regulierungsbehörden erleichtern.

Durch die Berücksichtigung der oben genannten Zeitbeschränkungen, des Ungleichgewichts bei der Standardisierung und der hohen Kosten für die Einhaltung der KI-Vorschriften werden die politischen Anpassungen für die Umsetzung des EU-KI-Gesetzes optimiert.

Wie kann die Beteiligung an der Entwicklung von KI-Standards verbessert werden?

Das ehrgeizige KI-Gesetz der EU hängt von technischen Standards ab, was deren effektive Entwicklung entscheidend macht. Die Beteiligung an Normenausschüssen ist jedoch stark auf größere Unternehmen ausgerichtet, oft mit signifikanter Vertretung von US-amerikanischen Tech-Giganten. Dieses Ungleichgewicht führt dazu, dass KMUs, Start-ups, die Zivilgesellschaft und die Wissenschaft unterrepräsentiert sind, was potenziell zu Standards führt, die ihre spezifischen Bedürfnisse und Herausforderungen nicht berücksichtigen.

Um gleiche Wettbewerbsbedingungen zu schaffen und eine breitere Beteiligung zu fördern, können mehrere umsetzbare Schritte unternommen werden:

Finanzielle Unterstützung

Einrichtung robuster EU- und nationaler Förderungsmechanismen, um die Teilnahme von KMUs und Start-ups an diesen Ausschüssen zu subventionieren. Diese Unterstützung sollte die tatsächlichen Kosten für die Abstellung von Personal für die Normungsarbeit decken, um sicherzustellen, dass sie es sich leisten können, einen sinnvollen Beitrag zu leisten.

Mentorenprogramme

Implementierung von Mentorenprogrammen, die erfahrene Normungsexperten mit Vertretern von KMUs und Start-ups verbinden. Dies würde unschätzbare Ratschläge und Unterstützung bieten und ihnen helfen, sich im komplexen Prozess zurechtzufinden.

Vereinfachung des Zugangs zu Ausschüssen

Überarbeitung der Zugänglichkeit von Normenausschüssen durch die Schaffung einer zentralen, benutzerfreundlichen Plattform mit transparenten Informationen und vereinfachten Zugangsprozessen. Ein „Normungsleitfaden“-System, bei dem erfahrene Mitglieder Neulinge unterstützen, würde den Onboarding-Prozess weiter erleichtern und eine aktivere Zusammenarbeit zwischen verschiedenen Interessengruppen fördern.

Es ist von entscheidender Bedeutung, dass sich die Industrie und insbesondere Unternehmen aus der Safe AI-Community aktiv an der Entwicklung von Standards beteiligen. Die aktive Zusammenarbeit zwischen großen und kleineren Unternehmen sollte von Normungsgremien gefördert werden, um eine vielschichtige kollaborative Normung zu fördern.

Durch die Beseitigung dieser praktischen Hindernisse können wir sicherstellen, dass die Entwicklung von KI-Standards inklusiver, ausgewogener und letztendlich effektiver ist, um verantwortungsvolle KI-Innovationen in der gesamten europäischen Landschaft zu fördern.

german

Wie kann die praktische Unterstützung für die Umsetzung von KI verbessert werden?

Für KI-Anbieter, die die Standardisierungsanforderungen des EU-KI-Gesetzes erfüllen wollen, ist eine vielschichtige Strategie unerlässlich, die sich auf zugängliche Leitlinien, finanzielle Unterstützung und gemeinschaftliche Ansätze konzentriert. Die folgenden Empfehlungen befassen sich mit den wichtigsten Herausforderungen, die durch Interviews mit Organisationen aus verschiedenen Sektoren ermittelt wurden.

Anpassung der Umsetzungsfristen und des Geltungsbereichs

Der derzeitige Zeitplan für die Umsetzung des KI-Gesetzes stellt eine konkrete Herausforderung dar. Technische Expertise muss in die Normenausschüsse integriert werden. Es besteht die Notwendigkeit, die Frist des Gesetzes um mindestens 12 Monate zu verlängern, damit mehr Unternehmen die Konformität erreichen können.

• Reduzierung des schieren Umfangs der als Ergebnisse vorgesehenen technischen Normen.
• Frühzeitiger Zugang zu nahezu endgültigen Entwürfen von Normen unter Berücksichtigung des Risikos nachfolgender Änderungen.
• Einrichtung eines zentralen Online-Portals mit kostenlosem Zugang zu Normentwürfen und einem niedrigschwelligen Feedbacksystem.
• Förderung des kontinuierlichen Dialogs zwischen dem KI-Büro, den nationalen Behörden und den betroffenen Unternehmen, in Anlehnung an serviceorientierte Regulierungspraktiken.

Abbau von Hindernissen für die Teilnahme an der Normung

Die Beteiligung von KMU an der Normung muss beispielsweise von der Europäischen Kommission finanziell unterstützt werden, da es KMU und Start-ups an Ressourcen mangelt. Förderung dessen, was Start-ups durch die Teilnahme an solchen Ausschüssen gewinnen können – direkter Einfluss auf die Gestaltung der Vorschriften, die ihre Technologien regeln.

• Einrichtung von Finanzierungsmechanismen auf EU- und nationaler Ebene zur Subventionierung der Teilnahme von KMU an Normungsausschüssen.
• Implementierung von Mentorenprogrammen, die erfahrene Normungsexperten mit Vertretern von Start-ups und KMU zusammenbringen, um Beratung und Unterstützung zu leisten.
• Überarbeitung der Zugänglichkeit von Normungsausschüssen durch eine zentrale, benutzerfreundliche Plattform, transparente Prozesse und klare Prioritäten.

Bereitstellung praktischer Hilfe für die Umsetzung

Im Folgenden werden einige pragmatische Leitfaden-Tools und Aktionspunkte aufgeführt, die die Einhaltung des KI-Gesetzes erleichtern werden, wobei der Schwerpunkt auf KMU liegt. Dazu gehören regelmäßige interpretative Leitlinien, konkrete Umsetzungstipps und direkte Unterstützung durch engagierte Ansprechpartner, die eine kontinuierliche Beziehung zur KI-Anbieter-Community pflegen.

• Die Europäische Kommission und die EU-Mitgliedstaaten sollten Programme für Start-ups vor der Umsatzgenerierung schaffen, um die Einhaltung des KI-Gesetzes zu gewährleisten.
• Die Europäische Kommission und das KI-Büro könnten praktische, branchenspezifische Leitlinien bereitstellen, um den Parteien zu helfen, festzustellen, ob sie unter die Kategorien des KI-Gesetzes für „hohes Risiko“ fallen.
• Im Hinblick auf die Effizienz sollten schwellenwertbasierte Anforderungen für die Normung stärker berücksichtigt werden. Auch ein einfacherer digitaler Zugang ist von entscheidender Bedeutung.

Strukturierte Einbeziehung von KMU in die Umsetzung

Das Beirat und das wissenschaftliche Gremium gemäß Art. 67 KI-Gesetz müssen Start-ups und KMU vertreten, um sicherzustellen, dass ihre Herausforderungen bei der Umsetzung berücksichtigt werden. Außerdem sollte es direkte Konsultationskanäle zwischen kleinen Unternehmen und den Regulierungsbehörden geben, die über die formalen Beratungsstrukturen hinausgehen.

Normenangleichung

Die Normungsgremien sollten alle bestehenden Industrienormen an das KI-Gesetz anpassen, um die Compliance zu rationalisieren. Die europäischen und internationalen KI-Normen sollten ebenfalls angeglichen werden, um die Compliance-Bemühungen der Organisationen zu rationalisieren.

• Es sollten frühzeitig Maßnahmen ergriffen werden, um sicherzustellen, dass die Industrien die künftigen Anforderungen befolgen.
• Die internationalen, europäischen und nationalen Normungsgremien müssen ihre Zusammenarbeit untereinander verstärken.

Wie kann die strukturierte Integration von KMUs in die KI-Implementierung verbessert werden?

Kleine und mittlere Unternehmen (KMUs), die KI-Systeme entwickeln und einsetzen, stehen bei der Einhaltung des EU-KI-Gesetzes vor besonderen Hürden. Die Herausforderungen resultieren aus knappen Implementierungsfristen, komplexen Stakeholder-Dynamiken und erheblichen Compliance-Kosten. Daher ist ein strukturierter Ansatz zur Integration von KMUs entscheidend, um Innovationen zu fördern und gleiche Wettbewerbsbedingungen zu gewährleisten.

Wesentliche Herausforderungen für KMUs:

• Zeitlich: Die Lücke zwischen der erwarteten Veröffentlichung harmonisierter Normen (Anfang 2026) und der Compliance-Frist (August 2026) lässt nur ein enges Zeitfenster für die Implementierung, das für die meisten KMUs unzureichend ist.
• Strukturell: Die begrenzte Teilnahme am Normenentwicklungsprozess (CEN-CENELEC JTC 21) hindert KMUs daran, Vorschriften mitzugestalten, die sich direkt auf ihre Geschäftstätigkeit auswirken.
• Operativ: Hohe Compliance-Kosten (geschätzt zwischen 100.000 und 300.000 € jährlich) und regulatorische Komplexität stellen eine unverhältnismäßige Belastung dar, insbesondere für kleinere Unternehmen.

Politische Empfehlungen für eine verbesserte KMU-Integration:

Um diese Herausforderungen zu bewältigen, können verschiedene politische Empfehlungen umgesetzt werden:

Anpassung der Implementierungsfristen

Der EU-Gesetzgeber sollte eine Verlängerung des Zeitrahmens für die Umsetzung des KI-Gesetzes in Erwägung ziehen, um den Engpass zu mildern, der durch Verzögerungen bei der Entwicklung harmonisierter Normen verursacht wird. Dies würde das Gleichgewicht wiederherstellen und es Unternehmen ermöglichen, ihren optimalen Compliance-Ansatz zu wählen, sei es durch harmonisierte Normen, gemeinsame Spezifikationen oder Gutachten.

Abbau von Teilnahmebarrieren

Der Zugang zu Normenausschüssen muss für kleinere KMUs und Startups finanziell besser unterstützt werden, um eine spezielle Unterstützung für Branchenanforderungen zu ermöglichen und sektorspezifische Compliance-Herausforderungen effektiv anzugehen.

Die Europäische Kommission oder CEN-CENELEC sollten branchenspezifische Expertennetzwerke auf EU-Ebene aufbauen, die gezielte Beratung für sektorspezifische Compliance-Herausforderungen bieten können.

Überarbeitung der Zugänglichkeit von Normenausschüssen über eine zentrale, benutzerfreundliche Plattform, Prozesse und Prioritäten.

Praktische Hilfestellung bei der Implementierung

Etablierung pragmatischer Leitfäden für die Einhaltung des KI-Gesetzes, mit besonderem Fokus auf KMUs. Dies würde mit der Verpflichtung des KI-Büros gemäß Art. 62 KI-Gesetz übereinstimmen, insbesondere im Hinblick auf standardisierte Vorlagen, eine zentrale Informationsplattform und Kommunikationskampagnen.

Schaffung von finanziellen Unterstützungsprogrammen für Startups ohne Umsatz, die die Einhaltung des KI-Gesetzes anstreben. Diese Programme würden eine direkte Finanzierung zur Deckung der Compliance-bezogenen Kosten bereitstellen, bevor Startups Umsatzerlöse erzielt haben.

Regulierungsbehörden, einschließlich des KI-Büros und der nationalen Behörden, sollten als Dienstleister fungieren und systematisch überwachen und analysieren, wie Organisationen technische Standards implementieren.

Strukturierte Integration von KMUs

Zügige Einrichtung und Besetzung des Beratungsforums und des wissenschaftlichen Gremiums gemäß Art. 67 KI-Gesetz. Diese Gremien müssen Startup- und KMU-Vertreter sowie branchenspezifisches Wissen einbeziehen.

Aufbau direkter Konsultationskanäle zwischen KI-Startups/KMUs und Regulierungsbehörden, unterstützt durch klare EU-weite Anlaufstellen, die über formelle Beratungsstrukturen hinausgehen.

Normenangleichung

Normungsorganisationen (insbesondere ISO/IEC und CEN-CENELEC) sollten branchenspezifische vertikale Normen mit Artikel 40 des KI-Gesetzes für risikoreiche KI-Systeme in Einklang bringen. Dieser Ansatz steht im Einklang mit der Feststellung, dass einige Sektoren, wie das Gesundheitswesen und die Fertigung, bereits bestehende regulatorische Erfahrungen nutzen, um KI-Herausforderungen zu bewältigen.

Die Compliance-Belastung kann durch die systematische Nutzung bestehender Normen zur Gewährleistung von Konsistenz und Interoperabilität reduziert und der Eintritt in internationale Märkte erleichtert werden.

Bei der Entwicklung und Implementierung harmonisierter Normen ist es entscheidend, eine negative Konformitätsvermutung zu vermeiden, die die Compliance-Belastung für Anbieter erheblich erhöhen kann.

Durch die Umsetzung dieser Empfehlungen können die politischen Entscheidungsträger eine strukturierte Integration von KMUs in die KI-Implementierung sicherstellen, Innovationen fördern und eine ethische KI-Entwicklung innerhalb der EU vorantreiben.

Wie sollten Standards angeglichen werden, um die Compliance zu erleichtern?

Um die Compliance zu optimieren und die Belastung für KI-Anbieter, insbesondere KMUs und Start-ups, zu verringern, ist es entscheidend, dass die Standardisierungsorganisationen branchenspezifische, vertikale Standards mit den horizontalen Anforderungen des EU AI Act (Art. 40) in Einklang bringen. Da Artikel 103 ff. diese Angleichung voraussichtlich vorschreiben wird, kann frühzeitiges Handeln die Branchen auf künftige Verpflichtungen vorbereiten.

Dieser Ansatz wird durch die Beobachtung gestützt, dass Sektoren wie das Gesundheitswesen und die Fertigung bereits ihr vorhandenes regulatorisches Fachwissen nutzen, um KI-bezogene Herausforderungen zu bewältigen. Die Angleichung europäischer und internationaler KI-Standards so weit wie möglich wird die Compliance-Bemühungen zusätzlich rationalisieren.

Wesentliche Aspekte der Standardangleichung:

Europäische und internationale Normungsgremien müssen enger zusammenarbeiten und gleichzeitig sicherstellen, dass diese Zusammenarbeit europäische Werte respektiert. Bei der Entwicklung und Umsetzung harmonisierter Normen ist es wichtig, eine negative Konformitätsvermutung zu vermeiden. Eine negative Konformitätsvermutung – bei der die Nichteinhaltung technischer Normen automatisch die Nichteinhaltung des AI Act bedeutet – muss unbedingt vermieden werden. Obwohl die Einhaltung von Normen die Demonstration der Einhaltung der Anforderungen des AI Act vereinfachen kann, muss ein gewisses Maß an Flexibilität erhalten bleiben, um den technologischen Realitäten Rechnung zu tragen und standardbasierte Marktzutrittsbarrieren zu vermeiden.

Hier sind einige Best Practices:

• Nutzung bestehender Standards: Systematische Nutzung bestehender Standards zur Förderung von Konsistenz und Interoperabilität, wodurch der Zugang zu breiteren internationalen Märkten erleichtert wird.
• Harmonisierung ist der Schlüssel: Dies gilt für Branchen, die am Rande des direkten Anwendungsbereichs des AI Act tätig sind, wie z. B. Verteidigung und Automobil.
• Anpassung bestehender Rahmenwerke: Anstatt völlig neue Vorschriften oder Standards zu schaffen, sollten bestehende Rahmenwerke sowohl auf Bundes- als auch auf EU-Ebene angepasst werden, um die Anforderungen der KI-Compliance zu berücksichtigen.

Durch die Förderung einer strategischen, zielgerichteten Standardisierung können politische Entscheidungsträger redundante Bemühungen vermeiden, die Konsistenz zwischen den Sektoren aufrechterhalten und eine rationalisierte und zugänglichere Compliance-Landschaft für alle Beteiligten fördern.

Letztendlich hängt der Erfolg von der Bewältigung eines komplexen Zusammenspiels aus technischen Spezifikationen, Stakeholder-Dynamiken und finanziellen Realitäten ab. Der Zeitplan für die Umsetzung erfordert eine sorgfältige Neukalibrierung, um allen Akteuren ausreichend Zeit zur Anpassung zu garantieren. Eine breitere Beteiligung ist unerlässlich, insbesondere für KMUs und Startups, um eine inklusivere und ausgewogenere Entwicklung von Standards zu gewährleisten. Durch gezielte Beratung, praktische Unterstützung und einen harmonisierteren Standardisierungsansatz kann der EU AI Act seine Ziele erreichen, Innovation zu fördern, gleichzeitig grundlegende Rechte zu wahren und ein verantwortungsvolles KI-Ökosystem zu fördern.