EU AI-Gesetz tritt in Kraft: Was Sie wissen müssen und wie Sie sich vorbereiten können
Am 2. Februar 2025 traten die Kapitel I und II des EU AI-Gesetzes in Kraft. Die beiden wichtigsten Bestimmungen, die in Kraft traten, betreffen verbotene KI-Praktiken und KI-Literacy. Dieser Artikel erklärt die Auswirkungen auf sowohl Anbieter (Entwickler) als auch Nutzer (außer für persönliche und nicht-professionelle Aktivitäten) von KI-Systemen und schlägt Schritte vor, die jetzt unternommen werden sollten, um die Compliance-Lücke zu schließen.
Unternehmen außerhalb der EU sollten beachten, dass der sogenannte „Brüsseler Effekt“ auf das Gesetz zutrifft. Das bedeutet, dass Nicht-EU-Unternehmen, die Systeme in der EU implementieren, EU-basierte Nutzer bedienen oder KI-Ausgaben innerhalb der EU nutzen, ebenfalls unter das Gesetz fallen.
Verbotene KI-Praktiken unter dem EU AI-Gesetz
Artikel 5 des EU AI-Gesetzes listet KI-Praktiken auf, die aufgrund ihrer potenziellen Risiken für die Werte und Grundrechte der EU als inakzeptabel gelten. Diese sollten zusammen mit den kürzlich veröffentlichten Entwurfshinweisen der Europäischen Kommission gelesen werden. Obwohl diese nicht rechtsverbindlich sind, werden sie voraussichtlich die Auslegung von Artikel 5 durch die Regulierungsbehörden und die Gerichte beeinflussen.
Das Gesetz verbietet die Markteinführung (durch Bereitstellung in einem kommerziellen Kontext, selbst wenn kostenlos, zur ersten Verteilung oder ersten Nutzung in der EU), die Inbetriebnahme (zur ersten Nutzung durch den entsprechenden Anbieter, einschließlich für interne Entwicklungen, oder durch einen Nutzer für den vorgesehenen Zweck) und die Nutzung von KI-Systemen in den folgenden Kontexten:
- Schädliche Manipulation oder Täuschung: Das Gesetz verbietet KI-Systeme, die subliminale, manipulative oder täuschende Techniken verwenden, die das informierte Entscheidungsverhalten von Personen beeinträchtigen und sie dazu führen, einen potenziell schädlichen Kurs einzuschlagen.
- Ausbeutung von Individuen: Dies ist verboten, wenn es dazu führt oder wahrscheinlich dazu führt, dass das Verhalten von Menschen auf potenziell schädliche Weise verzerrt wird.
- Soziale Bewertung: Die Verwendung von KI zur Klassifizierung oder Bewertung von Personen basierend auf ihrem sozialen Verhalten oder ihren Persönlichkeitsmerkmalen wird ebenfalls verboten, wenn dies zu nachteiliger oder ungerechtfertigter Behandlung führt.
- Predictive Policing: Das Gesetz verbietet die Vorhersage des Risikos, dass jemand ein Verbrechen begeht, basierend ausschließlich auf Profilierung oder der Einschätzung ihrer Persönlichkeitsmerkmale.
- Gesichtserkennung: KI-Systeme dürfen nicht verwendet werden, um eine Gesichtserkennungsdatenbank durch das ungezielte Scraping von Gesichtern zu erstellen.
Diese Verbote gelten unabhängig davon, ob die schädlichen Auswirkungen beabsichtigt waren. Zum Beispiel könnte ein Chatbot, der dazu gedacht war, gesündere Lebensstile zu fördern, dazu führen, dass Benutzer übermäßige körperliche Anstrengungen ohne Pausen empfehlen, was potenziell schädlich wäre.
Verständnis der Anforderungen an KI-Literacy im EU AI-Gesetz
Artikel 4 des Gesetzes verlangt von Anbietern und Nutzern, Maßnahmen zu ergreifen, um sicherzustellen, dass ihre Mitarbeiter und andere Personen, die im Namen von KI-Systemen arbeiten, ein „ausreichendes Niveau“ an KI-Literacy besitzen.
Da diese Anforderung für alle KI-Systeme gilt und nicht nur für solche, die als „hochriskant“ gelten, bleibt KI-Literacy ein nebulöses Konzept, trotz des Inkrafttretens von Artikel 4.
Die damit verbundenen Aufgaben können für Unternehmen überwältigend sein, da sie nicht nur ethische Fragen, sondern auch gesellschaftliche, wirtschaftliche und politische Implikationen der relevanten KI-Systeme umfassen.
Durchsetzung und praktische Schritte
Das Gesetz erwähnt keine Strafen für die Nichteinhaltung der Anforderungen an die KI-Literacy, aber falsche Berichterstattung über KI-Literacy könnte mit einer Geldstrafe von bis zu 7,5 Millionen Euro oder 1 % des Jahresumsatzes geahndet werden, je nachdem, was höher ist.
Verbotene KI-Praktiken werden die höchsten Geldstrafen unter dem Gesetz nach sich ziehen: bis zu 35 Millionen Euro oder 7 % des jährlichen globalen Umsatzes.
Die Durchsetzungsmechanismen treten am 2. August 2025 in Kraft. Organisationen sollten die Zwischenzeit nutzen, um Schritte zu unternehmen, um die Einhaltung von Artikel 4 (KI-Literacy) und Artikel 5 (Verbotene KI-Praktiken) sicherzustellen. Mögliche Maßnahmen umfassen:
- Inventarisierung aller KI-Systeme: Risiken und Vorteile bewerten und sicherstellen, dass die Verwendung der Systeme keine verbotenen Praktiken darstellt.
- Erstellung von KI-Literacy-Ressourcen: Schulungsprogramme und Richtlinien zur verantwortungsvollen Nutzung von KI entwickeln.
- Entwicklung von Schulungsprogrammen: Maßgeschneiderte Schulungen für relevante Mitarbeiter anbieten.
- Einrichtung von Richtlinien zur KI-Governance: Verantwortlichkeiten für die Entwicklung und Bereitstellung von KI-Systemen festlegen.
- Vertragliche Regelungen: Anbieter von KI-Systemen dazu verpflichten, angemessene Risikobewertungen durchzuführen.
- Sicherstellung von Transparenz und Verantwortlichkeit: Dokumentation der Verwendung von KI-Systemen innerhalb des Unternehmens.
Unternehmen, die jetzt in die Compliance mit dem EU AI-Gesetz investieren, werden wahrscheinlich gut positioniert sein, um sich in der internationalen Landschaft der KI-Regulierung zurechtzufinden.
