Der EU AI Act: Wie Unternehmen, die KI nutzen, neue Gebühren vermeiden können
Der EU AI Act stellt einen bedeutenden regulatorischen Rahmen dar, der alle Organisationen betrifft, die KI-Systeme innerhalb der EU vermarkten, nutzen oder davon profitieren. Der Gesetzesentwurf trat am 1. August 2024 in Kraft und wird am 2. August 2026 vollständig wirksam. Ähnlich wie die Allgemeine Datenschutzverordnung (GDPR), fordert der EU AI Act von Unternehmen, die Nutzung von KI in ihren Betriebsabläufen zu identifizieren, zu überwachen und zu klassifizieren.
Die Risikokategorien des EU AI Act
Der EU AI Act unterteilt KI-Systeme in vier Risikokategorien: minimal, begrenzt, hoch und unannehmbar. Jede Kategorie bringt eigene Anforderungen mit sich. Systeme mit unannehmbarem Risiko, wie soziale Bewertungssysteme oder manipulative KI, die verwundbare Gruppen anvisiert, sind strikt verboten. Hochrisikosysteme, die beispielsweise in kritischen Infrastrukturen, Beschäftigung, Gesundheitswesen und Strafverfolgung eingesetzt werden, unterliegen strengen Anforderungen, einschließlich:
- Prüfungen der Konformität vor dem Markt
- Laufende Überwachung
- Pflicht zur Registrierung in einer EU-Datenbank
Diese Anforderungen gelten auch für Unternehmen, die außerhalb der EU ansässig sind, sofern ihre KI-Systeme für EU-Nutzer zugänglich sind oder deren Ergebnisse innerhalb der EU verwendet werden.
Folgen der Nichteinhaltung
Die Nichteinhaltung der Vorschriften kann zu Geldstrafen von bis zu 35 Millionen Euro oder 7 % des globalen Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Dies entspricht der Schwere der Strafen, die im Rahmen der GDPR verhängt werden können.
Herausforderungen für Unternehmen
Unternehmen stehen vor neuen Compliance-Herausforderungen, die Folgendes umfassen:
- Governance und Risikomanagement: Unternehmen müssen robuste Governance-Strukturen etablieren, die Entwicklung und Implementierung von KI-Systemen dokumentieren und ein fortlaufendes Risikomanagement sicherstellen.
- Transparenz und menschliche Aufsicht: Hochrisikosysteme erfordern klare Dokumentation, Mechanismen für menschliche Aufsicht und Funktionen zur Erklärbarkeit.
- Datenqualität und Sicherheit: Unternehmen müssen sicherstellen, dass die Daten, die zur Schulung und zum Betrieb von KI-Systemen verwendet werden, genau, repräsentativ und sicher sind.
- Kontinuierliche Überwachung: Compliance ist kein einmaliges Unterfangen; sie erfordert eine fortlaufende Überwachung und Berichterstattung während des gesamten Lebenszyklus des KI-Systems.
Wie Unternehmen compliance bleiben können
Governance-Plattformen und Compliance-Partner konzentrieren sich darauf, Unternehmen, von großen Unternehmen bis hin zu Startups, dabei zu helfen, KI zu überwachen, zu identifizieren und sicherzustellen, dass sie gemäß den neuen Anforderungen des EU AI Act entwickelt wird.
Einige der angebotenen Dienstleistungen umfassen:
- KI-Systeminventar und -überwachung: Automatisierte Tools zur Erkennung, Kategorisierung und Verfolgung aller KI-Systeme innerhalb der Infrastruktur eines Unternehmens.
- Compliance-Bewertungen: Branchenspezifische Bewertungen und Fahrpläne zur Sicherstellung der Übereinstimmung mit den Anforderungen des Gesetzes, einschließlich Wirkungsanalysen.
- Aufbau von KI-Schutzvorrichtungen: Implementierung von Schutzvorrichtungen, die bereit sind, die Anforderungen des EU AI Act zu erfüllen.
- Schulung und Bildung: Maßgeschneiderte Programme zur Schulung von Teams in verantwortungsvoller KI-Entwicklung und regulatorischen Verpflichtungen.
Ist Ihr Unternehmen vom EU AI Act betroffen?
Der erste Schritt vor der Zusammenarbeit mit einem Compliance-Partner besteht darin, zu überprüfen, wie der EU AI Act Ihr Unternehmen oder Ihre Abteilung betreffen könnte. Es ist entscheidend, klare Risikobereiche zu identifizieren und mit einem Compliance-Partner oder einer Governance-Plattform zusammenzuarbeiten, um die Compliance-Vorbereitung vor der Frist sicherzustellen.
