EU KI-Gesetz tritt in Kraft: Auswirkungen auf Compliance und Risiken

Der EU AI Act tritt in Kraft: Bedeutung für Compliance und Risiko

Am 2. Februar 2025 trat eine bedeutende Entwicklung des Europäischen Gesetzes über Künstliche Intelligenz (EU AI Act) in Kraft, wobei spezifische Bestimmungen nun rechtlich bindend sind. Die unmittelbarsten Verpflichtungen betreffen verbotene KI-Praktiken und KI-Kompetenzanforderungen, die einen Präzedenzfall für die KI-Governance in der EU schaffen. Diese Bestimmungen werfen entscheidende Fragen für Unternehmen, KI-Entwickler und Regulierungsbehörden in Bezug auf Compliance und Durchsetzung auf.

Bestimmungen, die jetzt in Kraft sind

Der EU AI Act führt ein risikobasiertes Rahmenwerk ein, das KI-Systeme in vier Kategorien klassifiziert: unzulässig, hochriskant, begrenztes Risiko und minimales Risiko. Ab Februar 2025 sind die folgenden Bestimmungen in Kraft:

• Verbotene KI-Praktiken: Bestimmte KI-Anwendungen sind aufgrund ihres Potenzials, grundlegende Rechte zu verletzen, ausdrücklich verboten. Dazu gehören:
• Subliminale Manipulation: KI-Systeme, die darauf ausgelegt sind, Individuen über ihr bewusstes Wahrnehmungsvermögen hinaus zu manipulieren, auf eine Weise, die schädlich sein kann.
• Ausbeutung verletzlicher Gruppen: KI, die Kinder, Menschen mit Behinderungen oder wirtschaftlich benachteiligte Personen auf eine Weise anspricht, die schädlich sein könnte.
• Soziale Bewertung: Die Verwendung von KI zur Einstufung von Individuen basierend auf Verhalten, sozioökonomischem Status oder persönlichen Eigenschaften, was zu diskriminierender Behandlung führt.
• Echtzeit-Biometrische Identifizierung in öffentlichen Räumen: Abgesehen von bestimmten, eng definierten Szenarien der Strafverfolgung ist die Verwendung von KI zur biometrischen Überwachung nun weitgehend verboten.
• KI-Kompetenzanforderungen: Unternehmen, die KI in hochriskanten Sektoren einsetzen, müssen sicherstellen, dass betroffene Personen verstehen, wie diese Systeme funktionieren, ihre Einschränkungen und wie sie automatisierte Entscheidungen anfechten können.

Wer muss sich anpassen?

Die in Kraft tretenden Bestimmungen gelten für KI-Entwickler, -Anwender und -Dienstleister, die innerhalb der EU tätig sind oder KI-basierte Dienste für EU-Bürger anbieten. Dazu gehören:

• KI-Entwickler: Unternehmen, die KI-Tools entwickeln, insbesondere in sensiblen Bereichen wie biometrischer Überwachung, prädiktiver Polizeiarbeit oder automatisierter Entscheidungsfindung.
• Unternehmen und öffentliche Organisationen: Diejenigen, die KI im Finanzwesen, Gesundheitswesen, Personalwesen, öffentlichen Dienstleistungen und in der Strafverfolgung einsetzen, müssen sich an die neuen Verpflichtungen anpassen.
• Nicht-EU-Unternehmen: Der extraterritoriale Anwendungsbereich des EU AI Act bedeutet, dass jedes Unternehmen, das KI-Dienste innerhalb der EU anbietet, ebenfalls compliant sein muss, ähnlich wie bei der Datenschutz-Grundverordnung (DSGVO).

Implikationen für die Compliance

Von den neuen Regeln betroffene Organisationen müssen umgehend folgende Schritte unternehmen:

• Durchführung von KI-Risikoanalysen: Unternehmen sollten ihre KI-Modelle prüfen, um sicherzustellen, dass sie den Verboten und Kompetenzanforderungen entsprechen.
• Implementierung von KI-Transparenzmaßnahmen: KI-Anwender müssen klare Informationen an Endnutzer bereitstellen, wie KI-Entscheidungen getroffen werden und welche Rechte sie haben, um diese anzufechten.
• Stärkung der internen Governance: Die Einrichtung von KI-Ethischkommissionen, Compliance-Teams und Risikominderungsstrategien ist unerlässlich.

Nicht-Compliance kann zu schweren finanziellen Strafen führen, mit Bußgeldern von bis zu 35 Millionen Euro oder 7% des globalen Jahresumsatzes, was die strenge Haltung der EU zur KI-Governance unterstreicht.

Herausforderungen, Risiken und rechtliche Unsicherheiten

Obwohl die Aktionsverbote klar sind, bleiben erhebliche Herausforderungen bestehen:

• Interpretations- und Durchsetzungslücken: Regulierungsbehörden müssen klären, wie „subliminale Manipulation“ oder „Ausbeutung von Verwundbaren“ bewertet und durchgesetzt werden.
• Auswirkungen auf Innovation: Die Einschränkungen bei der biometrischen Überwachung und KI-gesteuerten sozialen Bewertung könnten die KI-Entwicklung in den Sicherheits- und Finanztechnologiebereichen beeinträchtigen.
• Durchsetzungskapazität: Nationale Regulierungsbehörden könnten Schwierigkeiten haben, die Compliance effektiv zu überwachen, insbesondere da sich die KI-Technologie schnell weiterentwickelt.
• Abweichende globale Regulierungen: Das KI-Governance-Modell der EU unterscheidet sich von Ansätzen in den Vereinigten Staaten und China, was Compliance-Komplexitäten für multinationale Unternehmen schafft.

Was kommt als Nächstes?

Während die verbotenen KI-Praktiken und Kompetenzanforderungen nun verbindlich sind, werden weitere Bestimmungen für hochriskante KI-Systeme und allgemeine KI-Modelle schrittweise in den nächsten Jahren in Kraft treten. Organisationen müssen proaktiv bleiben, um rechtliche Updates zu überwachen und ihre KI-Governance-Strategien zu verfeinern. Die Aktivierung dieser Bestimmungen signalisiert das Engagement der EU für verantwortungsvolle KI-Entwicklung, bringt jedoch auch regulatorische Unsicherheiten mit sich. Während sich die Durchsetzungsmechanismen weiterentwickeln und rechtliche Interpretationen festigen, müssen Unternehmen im KI-Sektor agil bleiben, um sich an diese sich ändernde regulatorische Landschaft anzupassen.