EU AI-Gesetz: Erste Regeln für verbotene KI-Systeme und KI-Kompetenz treten in Kraft
Das Künstliche Intelligenz-Gesetz der Europäischen Union (EU), das weltweit erste umfassende rechtliche Rahmenwerk für KI, trat am 1. August 2024 in Kraft. Das AI-Gesetz legt gestaffelte Fristen für die Compliance in den verschiedenen regulierten Bereichen fest.
Entwicklung
Die erste Compliance-Frist des AI-Gesetzes war der 2. Februar 2025. Ab diesem Datum gilt die Regelung für die verbotene Risikokategorie, die die Nutzung von KI-Systemen effektiv verbietet, die als „unacceptable risks“ (unvertretbare Risiken) eingestuft werden. Gleichzeitig wurden die KI-Gesetzesregeln zur Kompetenz an diesem Tag wirksam.
Blick in die Zukunft
Weitere Compliance-Fristen stehen in den nächsten Jahren bevor, zusätzlich zu den weiteren Leitlinien, die von der Europäischen Kommission (EK) zur Einhaltung des AI-Gesetzes herausgegeben werden. Die EK hat auch den Zweiten Entwurf des Codes für allgemeine KI veröffentlicht, um Klarheit und konsistente Compliance für allgemeine KI-Modelle zu gewährleisten.
Erste Compliance-Frist
Mit der ersten Compliance-Frist des AI-Gesetzes am 2. Februar 2025 traten folgende Bestimmungen in Kraft:
- Verbotene KI-Systeme: Die Anwendung der verbotenen Risikokategorie des AI-Gesetzes verbietet effektiv die Nutzung von KI-Systemen, die als „unvertretbare Risiken“ gelten. Dazu gehören Werkzeuge, die soziale Bewertungen durchführen, Personen manipulieren oder ausnutzen, Emotionen von Personen in Bereichen wie Arbeitsplätzen oder Bildungseinrichtungen erkennen, biometrische Identifizierung in öffentlichen Räumen in Echtzeit verwenden und ungesteuertes Scraping von Internet- oder CCTV-Daten für Gesichtsbilddatenbanken durchführen. Am 4. Februar veröffentlichte die EK Leitlinien zu verbotenen KI-Systemen und Praktiken, um eine effektive und einheitliche Anwendung des AI-Gesetzes in der EU zu gewährleisten.
- KI-Gesetzesregeln zur Kompetenz: Die Regeln zur Kompetenz verlangen von allen Anbietern und Nutzern von KI-Systemen (auch von solchen, die als niedrigrisiko oder risikolos eingestuft werden), dass das Personal ein ausreichendes Verständnis von KI hat, einschließlich ihrer Chancen und Risiken, um KI-Systeme effektiv und verantwortungsvoll zu nutzen. Unternehmen müssen geeignete KI-Governance-Politiken und Schulungsprogramme für ihr Personal entwickeln und implementieren.
Leitfaden: Zweiter Entwurf des Codes für allgemeine KI
Die EK hat einen Zweiten Entwurf des Codes für allgemeine KI (Code) veröffentlicht, der für Entwickler von allgemeinen KI-Modellen (d.h. KI-Systeme, die mehrere Aufgaben in verschiedenen Bereichen und Kontexten ausführen können) bestimmt ist. Dieser Entwurf, der mit Branchenvertretern entwickelt wurde, soll Klarheit über die Compliance-Anforderungen für die konsistente und effektive Anwendung des AI-Gesetzes in der EU bieten. Der Entwurf wird voraussichtlich bis Mai 2025 finalisiert.
Risiken der Nichteinhaltung / Durchsetzung
Die Verbote und Verpflichtungen des AI-Gesetzes gelten für Unternehmen, die KI-Systeme anbieten oder nutzen. Verstöße können erhebliche Strafen nach sich ziehen, die je nach Art der Nichteinhaltung bis zu 35 Millionen Euro oder 7% des globalen Jahresumsatzes betragen können. Für Anbieter von allgemeinen KI-Modellen kann die EK eine Geldstrafe von bis zu 15 Millionen Euro oder 3% des weltweiten Jahresumsatzes verhängen. Das KI-Büro, ansässig in Brüssel, wird die Verpflichtungen für Anbieter von allgemeinen KI-Modellen durchsetzen und die nationalen Behörden der EU-Mitgliedstaaten bei der Durchsetzung der Anforderungen des AI-Gesetzes unterstützen.
Nächste Compliance-Fristen
Die nächste bedeutende Compliance-Frist ist der 2. August 2025. Bis zu diesem Datum müssen die EU-Mitgliedstaaten nationale Behörden benennen, die für die Durchsetzung des AI-Gesetzes verantwortlich sind. An diesem Datum treten auch Regeln bezüglich Strafen, Governance und Vertraulichkeit in Kraft.
Am 2. August 2026 werden die meisten anderen Verpflichtungen des AI-Gesetzes wirksam, darunter Regeln für hochriskante KI-Systeme, die in kritischen Infrastrukturen, im Beschäftigungs- und Personalmanagement sowie im Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen eingesetzt werden. Spezifische Transparenzanforderungen für KI-Systeme werden ebenfalls an diesem Datum wirksam.
Bis zum 2. August 2027 müssen insbesondere Anbieter von allgemeinen KI-Modellen, die vor dem 2. August 2025 auf den Markt gebracht wurden, mit dem AI-Gesetz konform sein.
Unmittelbare Maßnahmen
Unternehmen müssen bewerten, ob und wie das AI-Gesetz auf ihre KI-Systeme oder allgemeinen KI-Modelle anwendbar ist, indem sie:
- Alle KI-Systeme oder allgemeinen KI-Modelle, die ein Unternehmen entwickelt oder bereitstellt, sowie deren beabsichtigte Anwendungsfälle identifizieren und dokumentieren;
- Alle KI-Systeme oder allgemeinen KI-Modelle gemäß der jeweiligen Risikokategorie und den Compliance-Anforderungen klassifizieren;
- Eine Compliance-Gap- und Risikoanalyse durchführen, um etwaige Compliance-Probleme oder -Herausforderungen zu identifizieren und zu beheben;
- Eine KI-Strategie und ein Governance-Programm entwickeln und implementieren, einschließlich eines Schulungsprogramms zur KI-Kompetenz für das Personal.
Drei zentrale Erkenntnisse
1. Nach der Compliance-Frist des 2. Februar 2025 zu verbotenen KI-Systemen und den KI-Gesetzesregeln zur Kompetenz müssen Unternehmen jetzt handeln, um zu bewerten, ob und wie das AI-Gesetz auf ihre KI-Systeme oder allgemeinen KI-Modelle anwendbar ist.
2. Angesichts der sich schnell entwickelnden Technologie und der regulatorischen Rahmenbedingungen sollten Unternehmen regelmäßige Audits durchführen, um ihre internen Governance-, Risiko- und Compliance-Programme für KI-Systeme zu überprüfen und zu aktualisieren.
3. Die Nichteinhaltung des AI-Gesetzes kann zu erheblichen Strafen führen, einschließlich der größeren Summe von bis zu 35 Millionen Euro oder 7% des globalen Jahresumsatzes eines Unternehmens.
