Was ist das Kernziel der KI-Gesetzgebung?
Das Hauptziel des KI-Gesetzes der EU ist die Wahrung der Grundrechte und personenbezogenen Daten im Kontext künstlicher Intelligenz. Gleichzeitig zielt die Gesetzgebung darauf ab, Innovationen zu fördern und das Vertrauen in KI-Technologien in der gesamten Europäischen Union zu stärken.
Wichtige regulatorische Bedenken, die durch das KI-Gesetz behandelt werden:
- Ethische Überlegungen: Sicherstellung, dass KI-Systeme auf nichtdiskriminierende Weise entwickelt und eingesetzt werden, Förderung von Gleichheit und Unterstützung kultureller Vielfalt.
- Risikomanagement: Kategorisierung von KI-Systemen basierend auf ihrem Risikograd, wobei die Verpflichtungen und Anforderungen entsprechend ansteigen. Dies reicht von Systemen mit minimalem Risiko ohne spezifische Anforderungen bis hin zu Systemen mit unvertretbarem Risiko, die verboten sind.
- Transparenz: Forderung nach Transparenz bei der Nutzung von KI, insbesondere für Systeme, die synthetische Inhalte generieren oder mit Einzelpersonen interagieren.
Praktische Auswirkungen für Organisationen:
- Compliance-Projekte: Betrachtung der Einhaltung des KI-Gesetzes als ein Projekt ähnlich anderen in Bezug auf Risikobewertung, Prozessprüfungen und Governance-Bewertung.
- KI-Kompetenz: Sicherstellung eines ausreichenden Verständnisses von KI bei Mitarbeitern, die mit KI-Systemen arbeiten.
- Inventur und Klassifizierung: Führung eines aktuellen Inventars von KI-Systemen, klassifiziert nach den Risikokategorien des KI-Gesetzes.
- Rollenbewusstsein: Verständnis der Rolle der Organisation in der KI-Wertschöpfungskette (z. B. Anbieter, Anwender, Händler), da die Anforderungen je nach dieser Rolle variieren. Ein Anwender kann durch Modifikationen eines KI-Systems zu einem Anbieter werden, was unterschiedliche Anforderungen basierend auf dieser neuen Rolle auslöst.
german
Wie können sich Unternehmen auf die Erfüllung der Compliance-Anforderungen gemäß dem KI-Gesetz vorbereiten?
Das EU-KI-Gesetz, das nun in Kraft ist, stellt einen gestuften, risikobasierten Ansatz dar, der sich auf Unternehmen auswirkt, die KI-Systeme auf dem europäischen Markt einsetzen. Unternehmen müssen sich proaktiv auf eine stufenweise Implementierung vorbereiten und ihre Strategien an ihre spezifische Rolle in der KI-Wertschöpfungskette und das mit ihren KI-Systemen verbundene Risikoniveau anpassen.
Wichtige Schritte zur Vorbereitung
Unternehmen können die Einhaltung des KI-Gesetzes als ein Standard-Compliance-Projekt angehen und sich auf Prozesse und Governance konzentrieren. Hier ist ein Fahrplan:
- KI-Kompetenz: Stellen Sie sicher, dass die Mitarbeiter, die mit KI-Systemen interagieren, über ausreichende Kenntnisse verfügen.
- KI-Inventar: Erstellen Sie eine umfassende Liste aller KI-Systeme, die innerhalb des Unternehmens und seiner Tochtergesellschaften verwendet werden.
- Risikoeinstufung: Kategorisieren Sie KI-Systeme gemäß den Risikokategorien des KI-Gesetzes und berücksichtigen Sie dabei, dass es sich um rechtliche Definitionen handelt.
- Verbotene Systeme: Stellen Sie die Nutzung von KI-Systemen, die ein „unannehmbares Risiko“ darstellen, unverzüglich ein. Entfernen Sie solche KI-Systeme vom EU-Markt.
- Richtlinienimplementierung: Etablieren Sie robuste Richtlinien, um zukünftige KI-Systeme ordnungsgemäß zu bewerten.
Navigation durch die Zeitpläne
Die Implementierung des KI-Gesetzes umfasst gestaffelte Fristen, die jeweils spezifische Compliance-Verpflichtungen einführen. Hier ist eine vereinfachte Aufschlüsselung für interne Prüfer, die die Vorbereitung ihrer Organisation leiten soll:
- 2. Februar 2025: Beschränkungen für verbotene KI-Systeme beginnen. Anwender müssen die Nutzung einstellen und Anbieter diese vom EU-Markt entfernen.
- 2. August 2025: Vorschriften zu KI-Modellen für allgemeine Zwecke (GPAI) und öffentliche Verwaltung/Durchsetzung treten in Kraft. Anbieter von GPAI mit systemischem Risiko müssen die Kommission benachrichtigen und Compliance-Richtlinien implementieren. Sowohl Anbieter als auch Anwender benötigen geeignete Transparenzmechanismen.
- 2. August 2026: Der größte Teil des KI-Gesetzes findet Anwendung (außer Artikel 6 Absatz 1). Anbieter und Anwender sollten Risikobewertungs-, Risikomanagement- und Rechenschaftspflichtsysteme für risikoreiche Modelle einrichten und Transparenzrichtlinien für KI-Systeme mit begrenztem Risiko einführen.
- 2. August 2027: Artikel 6 Absatz 1 findet Anwendung. Die 2025 eingeführten GPAI-Maßnahmen werden auf alle Systeme ausgeweitet. Anbieter von KI-Komponentenprodukten (gemäß Kapitel 6 Absatz 1) müssen die Einhaltung der Verpflichtungen für risikoreiche KI sicherstellen.
Verpflichtungen basierend auf Risiko und Rolle
Die Compliance-Anforderungen variieren je nach Risikokategorie des KI-Systems und der Rolle des Unternehmens in der KI-Wertschöpfungskette. Zu den wichtigsten Rollen gehören Anbieter, Anwender, Händler, Importeur und bevollmächtigter Vertreter.
Interne Prüfer sollten die Compliance über die gesamte Wertschöpfungskette hinweg bewerten und besonders auf Veränderungen der Rollen achten. Ein Anwender kann zu einem Anbieter werden, wenn er ein KI-System erheblich modifiziert oder es unter seiner eigenen Marke vermarktet, wodurch strengere Compliance-Verpflichtungen ausgelöst werden.
Transparenz und Dokumentation
Anbieter und Anwender von GPAI-Systemen müssen KI-generierte Inhalte (z. B. Bilder, Deepfakes, Text) deutlich mit maschinenlesbaren Indikatoren kennzeichnen. Sie müssen den Anwendern auch Informationen über die Fähigkeiten und Einschränkungen des Modells zur Verfügung stellen und eine Zusammenfassung der für das Training verwendeten Inhalte öffentlich zugänglich machen.
Die technische Dokumentation des Modells, seines Trainings- und Testprozesses sowie die Ergebnisse seiner Bewertung müssen erstellt und auf dem neuesten Stand gehalten werden.
german
Welche Hauptpflichten und -anforderungen gelten für Unternehmen gemäß dem KI-Gesetz?
Das KI-Gesetz der EU führt einen abgestuften Ansatz zur Regulierung von KI ein, der Systeme nach Risikostufen kategorisiert: unannehmbar, hoch, begrenzt und minimal. Die Verpflichtungen für Organisationen variieren erheblich je nach dieser Klassifizierung und ihrer Rolle in der KI-Wertschöpfungskette als Anbieter (diejenigen, die KI-Systeme entwickeln und auf den Markt bringen), Anwender (diejenigen, die die KI-Systeme nutzen) oder andere Rollen wie Importeure und Händler.
Hauptpflichten nach Risiko
- KI-Systeme mit unannehmbarem Risiko: Diese sind vollständig verboten. Beispiele hierfür sind KI-Systeme, die das menschliche Verhalten manipulieren, um Schaden anzurichten, oder solche, die an Social Scoring oder biometrischer Identifizierung im öffentlichen Raum beteiligt sind.
- KI-Systeme mit hohem Risiko: Diese unterliegen den strengsten Anforderungen. Diese Kategorie umfasst KI, die in kritischer Infrastruktur, Bildung, Beschäftigung, Strafverfolgung und wesentlichen Dienstleistungen wie Versicherungen und Kreditwürdigkeitsprüfung eingesetzt wird. Zu den wichtigsten Verpflichtungen gehören:
- Einrichtung und Aufrechterhaltung eines Risikomanagementsystems über den gesamten Lebenszyklus des KI-Systems.
- Einhaltung strenger Datenverwaltungsstandards, um die Qualität sicherzustellen und Verzerrungen in Trainings-, Validierungs- und Testdatensätzen zu minimieren.
- Entwicklung einer umfassenden technischen Dokumentation vor der Bereitstellung.
- Führen detaillierter Aufzeichnungen (Protokolle) zur Rückverfolgbarkeit.
- Bereitstellung transparenter Informationen für Anwender, um die Ausgabe der KI zu verstehen und angemessen zu nutzen.
- Implementierung von Mechanismen zur menschlichen Aufsicht.
- Sicherstellung von Genauigkeit, Robustheit und Cybersicherheit.
- Einrichtung eines Qualitätsmanagementsystems zur Sicherstellung der fortlaufenden Einhaltung.
- Zusammenarbeit mit den Behörden und Nachweis der Einhaltung auf Anfrage.
- Durchführung einer Konformitätsbewertung und Erstellung einer EU-Konformitätserklärung.
- Anbringung der CE-Kennzeichnung, um die Konformität nachzuweisen, die vor dem Inverkehrbringen in der EU-Datenbank registriert werden muss.
- Durchführung einer Bewertung der Auswirkungen auf die Grundrechte.
- Etablierung verantwortlicher und geschulter Personen, um die ordnungsgemäße Verwendung von Aufsicht, Kompetenz und Autorität sicherzustellen.
- Durchführung einer Überwachung nach dem Inverkehrbringen anhand eines dokumentierten Plans.
- Meldung schwerwiegender Vorfälle an die Aufsichtsbehörden.
- KI-Systeme mit begrenztem Risiko: Diese unterliegen Transparenzanforderungen. Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren, insbesondere bei KI-generierten Inhalten. Dies gilt für KI-Systeme, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen.
- KI-Systeme mit minimalem Risiko: Für KI-Systeme, die ein minimales Risiko darstellen, sind keine spezifischen Anforderungen festgelegt.
Allgemeine KI-Modelle (GPAI)
Das KI-Gesetz befasst sich auch mit allgemeinen KI-Modellen (GPAI), die mit großen Datensätzen trainiert werden und eine Vielzahl von Aufgaben ausführen können. Anbieter von GPAI müssen die Transparenzpflichten einhalten und das Urheberrecht beachten. GPAI-Modelle werden nach Berechnung und Erfüllung der Anforderungen gemäß Art. 42a des KI-Gesetzes klassifiziert.
Pflichten nach Rolle
Anbieter (ob innerhalb oder außerhalb der EU) tragen die Hauptlast der Compliance. Sie sind dafür verantwortlich, dass ihre KI-Systeme alle relevanten Anforderungen erfüllen, bevor sie auf den EU-Markt gebracht werden. Wer nicht in der EU niedergelassen ist, muss einen bevollmächtigten Vertreter innerhalb der EU benennen.
Anwender müssen KI-Systeme verantwortungsvoll und gemäß den Anweisungen des Anbieters einsetzen. Dazu gehört die Zuweisung menschlicher Aufsicht, die Sicherstellung der Personalkompetenz und die Überwachung des Betriebs des KI-Systems.
Zeitplan für die Umsetzung
Das KI-Gesetz wird schrittweise eingeführt. Die folgenden Meilensteine sind die wichtigsten:
- 2. Februar 2025: Vorschriften für verbotene KI-Systeme gelten.
- 2. August 2025: Vorschriften, die für GPAI-Modelle und öffentliche Stellen gelten, die das KI-Gesetz durchsetzen, treten voraussichtlich in Kraft.
- 2. August 2026: Die meisten Bestimmungen des KI-Gesetzes gelten, mit Ausnahme von Artikel 6 Absatz 1.
- 2. August 2027: Artikel 6 Absatz 1 gilt und regelt die Klassifizierung von Produkten mit KI-Sicherheitskomponenten als hochriskant.
Organisationen müssen auch berücksichtigen, wie das KI-Gesetz mit bestehenden und kommenden EU-Rechtsvorschriften wie DORA und CSRD/CSDDD interagiert, insbesondere in Bezug auf Drittparteirisiken, Umweltauswirkungen und Cybersicherheitsbedenken.
Wie ändern sich die Pflichten und Anforderungen je nach Risikokategorie eines KI-Systems?
Als Technologiejournalist, der über KI-Governance berichtet, stecke ich bis zum Hals im EU AI Act. Hier ist die Aufschlüsselung, wie sich die Pflichten je nach Risikograd eines KI-Systems gemäß dem AI Act ändern:
Risikobasierte Stufen
Der AI Act verfolgt einen risikobasierten Ansatz, was bedeutet, dass die regulatorische Belastung mit dem potenziellen Schaden skaliert, den ein KI-System verursachen könnte. So funktioniert es:
- Unannehmbares Risiko: Diese KI-Systeme sind gänzlich verboten. Denken Sie an KI, die Menschen manipuliert, um Schaden anzurichten, diskriminierende Praktiken ermöglicht oder Datenbanken zur Gesichtserkennung erstellt. Die Liste befindet sich in Artikel 5, also schauen Sie nach!
- Hohes Risiko: Diese Kategorie ist mit den strengsten Anforderungen konfrontiert. Diese Systeme haben das Potenzial, erheblichen Schaden anzurichten, in Bereichen wie kritische Infrastruktur, Bildung, Beschäftigung, Strafverfolgung, Entscheidungen im Zusammenhang mit Versicherungen usw.
Hochrisikosysteme benötigen:
- Ein Risikomanagementsystem.
- Datengovernance und Qualitätskontrollen.
- Technische Dokumentation.
- Protokollierung (Logs).
- Transparenz und klare Informationen für die Anwender.
- Mechanismen der menschlichen Aufsicht.
- Standards für Genauigkeit, Robustheit und Cybersicherheit.
- Ein Qualitätsmanagementsystem.
- Aufbewahrung der Dokumentation für mindestens 10 Jahre
- Zusammenarbeit mit den zuständigen Behörden.
- Eine EU-Konformitätserklärung.
- CE-Kennzeichnung.
- Konformitätsbewertung vor dem Inverkehrbringen.
- Registrierung in der EU-Datenbank.
- Überwachung nach dem Inverkehrbringen.
- Meldung schwerwiegender Vorfälle.
- Grundrechte-Folgenabschätzung.
- Begrenztes Risiko: Bei KI-Systemen wie Chatbots liegt der Schwerpunkt hauptsächlich auf Transparenz. Benutzer sollten wissen, dass sie mit einer KI interagieren. Bei Inhalten wie synthetischem Audio, Bildern, Videos oder Text müssen Anbieter auch eine maschinenlesbare Kennzeichnung bereitstellen, die angibt, dass sie künstlich erzeugt wurden.
- Minimales Risiko: Dazu gehören Dinge wie KI-gestützte Videospiele oder Spamfilter. Es gibt keine spezifischen Anforderungen gemäß dem AI Act.
General Purpose AI (GPAI)
Der AI Act befasst sich auch mit GPAI-Modellen. Für Anbieter und Anwender sind Transparenzanforderungen definiert, und GPAI-Modelle mit systemischem Risiko unterliegen sogar noch strengeren Kontrollen.
Ein GPAI-Modell gilt als systemisches Risiko, wenn die für sein Training verwendete Rechenleistung größer als 10 25 FLOPs ist.
Wichtige Erkenntnisse für die Compliance
Für Legal-Tech-Experten, die Mandanten beraten, oder für Compliance-Beauftragte in Organisationen:
- Klassifizierung ist der Schlüssel: Verstehen Sie, wie der AI Act Systeme klassifiziert, und führen Sie gründliche Risikobewertungen durch. Die Methode der Risikoklassifizierung ist im AI Act vorgeschrieben.
- Dokumentation ist entscheidend: Führen Sie detaillierte Aufzeichnungen über Ihre KI-Systeme, deren Risikobewertungen und die Maßnahmen, die Sie zur Einhaltung ergreifen.
- Transparenz schafft Vertrauen: Seien Sie gegenüber den Nutzern offen, wenn sie mit KI interagieren.
- Bleiben Sie auf dem Laufenden: Der AI Act ist komplex und die Interpretationen werden sich weiterentwickeln. Beobachten Sie kontinuierlich die Anleitungen der Europäischen Kommission und anderer Aufsichtsbehörden.
Welche Unterscheidungen gibt es zwischen den verschiedenen Rollen, die durch den AI Act definiert werden, und ihren entsprechenden Verantwortlichkeiten?
Der AI Act definiert mehrere Schlüsselrollen in der KI-Wertschöpfungskette, jede mit unterschiedlichen Verantwortlichkeiten. Das Verständnis dieser Rollen ist entscheidend für Compliance und Risikomanagement. Diese Rollen können sich auch im Laufe der Zeit ändern, was zu neuen Verpflichtungen für die Organisation führt.
Schlüsselrollen und Verantwortlichkeiten
- Anbieter (EU): Entwickelt KI-Systeme oder General-Purpose-KI-Modelle und bringt sie auf den EU-Markt. Sie tragen die größte Compliance-Belastung gemäß dem AI Act.
- Anbieter (außerhalb der EU): Wenn sie sich außerhalb der EU befinden, können sie einen Importeur oder Händler einsetzen, um das KI-Modell auf dem EU-Markt zu platzieren.
- Nutzer: Verwendet das KI-System, beispielsweise indem er es Mitarbeitern zur Verfügung stellt oder es Kunden zugänglich macht. Ihre Verpflichtungen sind geringer, umfassen aber die Gewährleistung der ordnungsgemäßen Nutzung und die Einhaltung der Richtlinien des Anbieters.
- Bevollmächtigter: Eine Person innerhalb der EU, die vom Anbieter beauftragt wurde, in seinem Namen zu handeln und als Vermittler zwischen KI-Anbietern außerhalb der EU und europäischen Behörden/Verbrauchern fungiert.
- Händler: Hilft bei der Platzierung des KI-Modells auf dem EU-Markt.
- Importeur: Wird von Anbietern verwendet, um das KI-Modell auf dem EU-Markt zu platzieren.
Interne Auditoren müssen für jedes KI-System feststellen, welche Rolle ihr Unternehmen spielt, und sich bewusst sein, dass sich diese Rollen weiterentwickeln können. Ein Nutzer kann zu einem Anbieter werden, indem er wesentliche Änderungen am KI-System vornimmt oder es umfirmiert, was neue Compliance-Anforderungen auslöst.
Es ist auch wichtig, die gesamte Wertschöpfungskette bei der Bewertung des KI-Prozesses zu berücksichtigen; Auditoren müssen die Risiken der gesamten Wertschöpfungskette berücksichtigen.
Wie sieht der Zeitplan für die Umsetzung der Vorschriften innerhalb des KI-Gesetzes aus?
Die Vorschriften des KI-Gesetzes werden schrittweise eingeführt. Hier ist eine Aufschlüsselung der wichtigsten Termine, die Sie in Ihrem Compliance-Kalender markieren sollten:
- 1. August 2024: Das KI-Gesetz ist offiziell in Kraft getreten. Betrachten Sie dies als den Startschuss – es ist an der Zeit, Ihre KI-Governance-Strategie in Gang zu setzen.
- 2. Februar 2025: Die Vorschriften für verbotene KI-Systeme beginnen zu gelten. Das bedeutet, dass jede KI, die als „inakzeptables Risiko“ eingestuft wird (Verletzung grundlegender EU-Rechte und -Werte), verboten ist. Es ist an der Zeit, Ihre Systeme zu überprüfen und die Einhaltung sicherzustellen.
- 2. August 2025: Die Vorschriften für KI-Modelle für allgemeine Zwecke (GPAI) und die öffentliche Governance/Durchsetzung des Gesetzes treten in Kraft. Wenn Sie mit großen KI-Modellen arbeiten, müssen Sie mit verstärkter Kontrolle und Compliance-Anforderungen rechnen.
- 2. August 2026: Fast alle verbleibenden Teile des KI-Gesetzes treten in Kraft, mit Ausnahme von Artikel 6 Absatz 1. Dies umfasst den Großteil der Risikobewertungen, des Managements und der Rechenschaftspflichtrichtlinien, die Ihre Organisation für KI-Modelle mit hohem Risiko implementiert haben muss. Jetzt ist es an der Zeit, die KI-Verordnung anzuwenden und Transparenzrichtlinien für KI-Systeme mit begrenztem Risiko einzuführen.
- 2. August 2027: Artikel 6 Absatz 1 beginnt zu gelten. Dieser regelt die Einstufung von Produkten mit KI-Sicherheitskomponenten als hohes Risiko. Darüber hinaus werden die GPAI-Maßnahmen von 2025 nun auf alle relevanten Systeme angewendet.
- Hinweis: Anbieter von GPAI-Modellen, die bereits vor August 2025 in Gebrauch sind, müssen das KI-Gesetz bis/ab August 2025 einhalten.
german
Was muss die Interne Revision bei der Bewertung des KI-Prozesses berücksichtigen?
Interne Prüfer stehen nun vor der Herausforderung und Chance, KI-Systeme innerhalb ihrer Organisationen zu bewerten, insbesondere angesichts des EU KI-Gesetzes. Es geht nicht mehr nur um traditionelle finanzielle Risiken, sondern auch um Compliance, Ethik und gesellschaftliche Auswirkungen.
Wichtige Überlegungen für Interne Prüfer:
- Verständnis der KI-Landschaft: Prüfer müssen ein solides Verständnis für KI-Technologien entwickeln. Dies beinhaltet die verschiedenen Autonomiegrade in KI-Systemen, ihre Fähigkeit, Ausgaben zu generieren, und wie sie verschiedene Umgebungen beeinflussen. Hinterfragen Sie, wie die Organisation KI definiert und die Konsistenz über alle Geschäftsbereiche hinweg sicherstellt.
- Risikokategorisierung: Konzentrieren Sie sich darauf, wie die Organisation KI-Systeme gemäß den Risikokategorien des KI-Gesetzes (unvertretbar, hoch, begrenzt, minimal und allgemeine KI) einteilt. Es ist entscheidend zu verstehen, dass diese Kategorien rechtliche Definitionen darstellen und nicht nur interne Risikobewertungen.
- Rollen und Verantwortlichkeiten: Erkennen Sie die unterschiedlichen Rollen innerhalb der KI-Wertschöpfungskette (Anbieter, Anwender, Händler, Importeur usw.) und die damit verbundenen Verpflichtungen gemäß dem KI-Gesetz. Ermitteln Sie, wie die Rolle der Organisation für jedes KI-System die Compliance-Anforderungen beeinflusst. Beachten Sie, dass sich diese Rollen im Laufe der Zeit ändern können, was neue Verpflichtungen auslöst.
- Compliance als Projekt: Behandeln Sie die Einhaltung des KI-Gesetzes als ein Projekt mit definierten Phasen und Meilensteinen, um sicherzustellen, dass sich die Organisation geordnet vorbereitet. Passen Sie die übergeordneten Anforderungen an den spezifischen Kontext der Organisation an.
- Risikomanagement und Rechenschaftspflicht: Stellen Sie sicher, dass Risikobewertung, Risikomanagement und Rechenschaftspflichtsysteme für KI-Modelle mit hohem Risiko eingerichtet sind. Untersuchen Sie die Data-Governance-Praktiken für Trainings-, Validierungs- und Testdatensätze sorgfältig, wobei der Fokus auf Datenqualität und Minimierung von Verzerrungen liegt.
- Transparenz und Aufsicht: Bewerten Sie die Transparenzrichtlinien für KI-Systeme mit begrenztem Risiko und Garantien für menschliche Aufsicht. Stellen Sie sicher, dass Anbieter von GPAI-Systemen mit systemischem Risiko die Kommission benachrichtigen und über angemessene Compliance-Richtlinien verfügen. Untersuchen Sie Transparenzmechanismen für Anwender und Anbieter.
Darüber hinaus sollte die Interne Revision folgende Zeitleiste beachten:
- 2. Februar 2025 Stellen Sie sicher, dass geeignetes Schulungsmaterial zur KI-Kompetenz der Mitarbeiter verfügbar ist, dass ein Inventar der KI-Systeme vorhanden ist, diese risikoklassifiziert wurden, dass KI-Systeme mit inakzeptablem Risiko verboten wurden und dass Richtlinien vorhanden sind, um sicherzustellen, dass zukünftige KI-Systeme angemessen bewertet werden.
- 2. August 2025 Überprüfen Sie die Transparenzprotokolle von GPAI-Modellen. Stellen Sie sicher, dass die Organisation weiß, mit welchen Regulierungs- und Aufsichtsbehörden sie interagieren wird. Anbieter von GPAI-Modellen mit systemischem Risiko müssen die Kommission benachrichtigen.
- 2. August 2026 Auditieren Sie Richtlinien für angemessenes Risikomanagement, Risikobewertung und Rechenschaftspflichtsysteme für Modelle mit hohem Risiko sowie bewerten Sie Richtlinien für Transparenz.
- 2. August 2027 Stellen Sie sicher, dass die ab 2025 bereiten GPAI-Maßnahmen nun auf alle Systeme angewendet werden. Anbieter von Produkten mit KI-Komponenten müssen sicherstellen, dass ihre Produkte die Verpflichtungen für KI mit hohem Risiko erfüllen.
Welche konkreten Maßnahmen müssen Organisationen in Bezug auf KI ergreifen?
Da KI-Systeme immer weiter verbreitet sind, sehen sich Organisationen einer zunehmenden regulatorischen Kontrolle ausgesetzt, insbesondere mit der Durchsetzung des EU AI Act. Die spezifischen erforderlichen Maßnahmen hängen von ihrer Rolle (Anbieter, Anwender usw.) und der Risikoklassifizierung ihrer KI-Systeme ab.
Wichtige Handlungsfelder:
- KI-Kompetenz aufbauen:
Unternehmen müssen sicherstellen, dass das Personal, das mit KI-Systemen umgeht, über ein ausreichendes Maß an KI-Kompetenz verfügt, um die damit verbundenen Risiken zu verstehen und zu managen sowie die Einhaltung der Vorschriften sicherzustellen.
- Ein KI-Register führen:
Unternehmen sollten ein umfassendes Inventar aller in der Organisation und ihren Tochtergesellschaften verwendeten KI-Systeme erstellen und pflegen und diese auf der Grundlage der Risikoklassifizierungen des KI-Gesetzes (inakzeptabel, hoch, begrenzt, minimal, GPAI) kategorisieren.
- KI-Risikobewertungen durchführen:
Führen Sie gründliche Risikobewertungen aller KI-Systeme durch, wobei Sie sich an der im KI-Gesetz vorgeschriebenen Risikoklassifizierungsmethode orientieren und nicht nur an traditionellen Risikoanalysen.
- Risikomanagementsysteme implementieren (KI mit hohem Risiko):
Für KI-Systeme mit hohem Risiko ein Risikomanagementsystem einrichten, dokumentieren, pflegen und implementieren, um vernünftigerweise vorhersehbare Risiken während des gesamten Systemlebenszyklus zu managen.
- Daten und Data Governance sicherstellen (KI mit hohem Risiko):
Implementieren Sie robuste Data-Governance-Praktiken für Trainings-, Validierungs- und Testdatensätze, wobei Sie sich auf Datenqualität und Bias-Reduzierung konzentrieren.
- Technische Dokumentation vorbereiten (KI mit hohem Risiko):
Erstellen Sie eine umfassende technische Dokumentation, bevor das System in Betrieb genommen wird, wie im Anhang des KI-Gesetzes dargelegt.
- Aufzeichnungen führen (KI mit hohem Risiko):
Führen Sie detaillierte Aufzeichnungen über Ereignisse (Protokolle), um die Rückverfolgbarkeit der KI-Systemfunktion sicherzustellen.
- Transparenz und Bereitstellung von Informationen sicherstellen (KI mit hohem Risiko):
Stellen Sie den Anwendern transparente und verständliche Informationen über die Verwendung der KI-Ausgabe zur Verfügung.
- Post-Market-Monitoring implementieren (KI mit hohem Risiko):
Implementieren Sie einen Plan, der relevante Daten zur Leistung des KI-Systems für seine Lebensdauer sammelt.
- Menschliche Aufsicht gewährleisten (KI mit hohem Risiko):
Entwickeln Sie KI-Systeme mit Vorkehrungen für eine effektive menschliche Aufsicht durch natürliche Personen.
- Urheberrechtsgesetze beachten:
Urheberrechtsgesetze müssen gemäß den DSGVO-Anforderungen beachtet werden.
- Genauigkeit, Robustheit und Cybersicherheit gewährleisten (KI mit hohem Risiko):
Garantieren Sie hohe Standards an Genauigkeit, Robustheit und Cybersicherheit für eine konsistente KI-Systemleistung.
- Ein Qualitätsmanagementsystem implementieren (KI mit hohem Risiko):
Implementieren Sie ein QMS, um die Einhaltung des KI-Gesetzes sicherzustellen.
- Transparenz für KI mit begrenztem Risiko:
Informieren Sie Endbenutzer darüber, dass sie mit einem KI-System interagieren.
- KI-generierte Inhalte kennzeichnen:
Anbieter und Anwender müssen KI-Inhalte beispielsweise für Bilder und Videos kennzeichnen.
Unternehmen müssen die Konformität mit dem KI-Gesetz durch interne Kontrollen oder Bewertungen des Qualitätsmanagementsystems sicherstellen, wobei möglicherweise benannte Stellen beteiligt sind. Anbieter müssen eine EU-Konformitätserklärung erstellen und die CE-Kennzeichnung anbringen. Auch Anwender haben Verantwortlichkeiten, einschließlich der Sicherstellung einer verantwortungsvollen KI-Nutzung mit der erforderlichen Schulung, Kompetenz und Befugnis.
Wenn Anbieter Grund zu der Annahme haben, dass eine Nichtkonformität mit dem KI-Gesetz vorliegt, müssen sie Korrekturmaßnahmen ergreifen.
Was ist der zentrale Zweck des Fragebogens und der Umfrage?
Der in diesem Dokument detailliert beschriebene Fragebogen und die Umfrage dienen einem spezifischen und kritischen Zweck: die Erfassung der Landschaft der KI-Einführung und -Prüfung in Unternehmen, insbesondere im Kontext des EU AI Act. Diese Informationen sind entscheidend, um zu verstehen, wie gut Organisationen auf die Anforderungen des AI Act vorbereitet sind, und um potenzielle Lücken in ihren KI-Governance-Frameworks zu identifizieren.
Die Umfrage zielt darauf ab:
- Die Anwendung des AI Act innerhalb von Organisationen zu verstehen.
- Die aktuelle KI-Nutzung in verschiedenen Geschäftsprozessen zu bewerten.
- Die derzeitigen internen Prüfungsansätze für KI-Systeme zu evaluieren.
Umfragedetails und Teilnehmerprofil
Die Umfrage umfasste Antworten von über 40 Unternehmen, wobei ein bedeutender Teil (39 %) im Finanzsektor (Banken, Versicherungen) tätig ist und die große Mehrheit (70 %) ausschließlich oder auch in Europa operiert. Angesichts der Tatsache, dass 70 % der befragten Unternehmen kleine interne Revisionsteams (weniger als 10 Vollzeitäquivalente) hatten, wobei fast die Hälfte dieser Unternehmen keine spezialisierten IT-Prüfer beschäftigten, wird ein deutlicher Schwerpunkt auf die verstärkte Notwendigkeit der Stärkung der IT-Fähigkeiten innerhalb der genannten internen Revisionsfunktionen gelegt.
Wichtige umsetzbare Ergebnisse
- KI wird breit eingesetzt: Erhebliche 57 % der Unternehmen haben bereits KI-Systeme implementiert oder sind aktiv dabei, sie zu implementieren.
- KI-Kenntnislücke: Während die Mehrheit (85 %) der Befragten ein gutes oder angemessenes Verständnis von KI hat, versteht ein geringerer Prozentsatz (71 %) speziell die KI-Prüfung, und nur 56 Prozent spiegeln eine klare Sichtweise des EU AI Act wider, was auf einen allgemeinen Bedarf an verstärkten Schulungen zum EU AI Act hindeutet, damit die Revisionsabteilungen KI-Sicherstellungsprozesse effektiv durchführen können.
- Compliance-Bemühungen laufen: 60 % der vom AI Act betroffenen Unternehmen initiieren Projekte, um die Einhaltung der neuen regulatorischen Anforderungen sicherzustellen.
- Interne Revision nutzt KI wenig: Die Mehrheit (72 %) der internen Revisionsabteilungen nutzt KI-Systeme nicht aktiv in ihren Revisionsprozessen. Wenn KI eingesetzt wird, dann hauptsächlich für die Risikobewertung (33 %).
- Einführung generativer KI: 64 % der Unternehmen nutzen oder implementieren generative KI-Systeme, und 44 % haben interne Vorschriften, die deren Entwicklung und Nutzung regeln.
Diese Daten unterstreichen die Notwendigkeit für Organisationen, ihre Compliance-Bemühungen zu verstärken, angemessene Schulungen zum AI Act anzubieten und die Einbeziehung von KI in ihre internen Revisionsprozesse in Betracht zu ziehen. Für interne Revisionsprüfer unterstreicht die Umfrage die Bedeutung der Entwicklung von Rahmenwerken zur Bewertung und Prüfung des Einsatzes von KI innerhalb ihrer Organisationen, zur Erzielung von Vorteilen und zur effektiven Reduzierung von Risiken.
Was sind die wichtigsten Erkenntnisse zur KI-Einführung in Unternehmen basierend auf Umfrageergebnissen?
Eine aktuelle Umfrage wirft ein Licht auf den aktuellen Stand der KI-Einführung in Unternehmen, insbesondere im Kontext des EU AI Act. Die Ergebnisse zeigen eine weitverbreitete KI-Nutzung, verdeutlichen aber auch Bereiche, in denen Bedenken hinsichtlich der Compliance-Bereitschaft und der internen Auditfähigkeiten bestehen.
KI-Einführungsraten und Schwerpunkte
- Weitverbreitete Einführung: Ungefähr 57 % der befragten Unternehmen haben entweder bereits KI-Systeme eingesetzt (39 %) oder haben laufende Implementierungsprojekte (18 %).
- Bewusstsein für den AI Act erforderlich: Obwohl die Mehrheit der Unternehmen in Europa finanziell tätig ist und daher dem AI Act unterliegt (60 %), ist das Verständnis der Anforderungen des EU AI Act weiterhin gering (56 %). Dies erfordert gezielte Schulungsinitiativen innerhalb von Organisationen.
- Generative KI-Dynamik: Es besteht ein erhebliches Interesse an generativer KI, wobei 64 % der befragten Unternehmen diese Systeme entweder nutzen oder implementieren. Etwa 44 % dieser Unternehmen haben interne Vorschriften für den Umgang mit der Technologie eingeführt.
- Prozessunterstützung: Sowohl Standard- als auch generative KI-Systeme werden in erster Linie eingesetzt, um Folgendes zu unterstützen:
- Kundenservice, Vertrieb und Marketing.
- Business Intelligence und Analytics, Finanzen und Rechnungswesen.
- IT und Cybersicherheit (prominenter bei generativer KI).
Wichtige Compliance- und aufsichtsrechtliche Bedenken
- Standardisierungslücken: Ein erheblicher Teil der Unternehmen (72 %) nutzt KI nicht für interne Audits oder Aktivitäten.
- Interne Auditbereitschaft: Nur 28 % haben eine Standardtechnologiearchitektur für bestehende KI-Systeme definiert. Darüber hinaus haben 44 % eine interne Regulierungsstruktur zur Überwachung der Nutzung implementiert, aber 85 % haben ein gutes oder angemessenes Verständnis von KI gemeldet. Insgesamt gaben jedoch nur 56 % der Befragten an, ein gutes bis angemessenes Verständnis des AI Act zu haben. Dies deutet auf potenzielle Herausforderungen bei der Auditierung von KI-Systemen ohne eine robuste Struktur zur Einhaltung hin.
Praktische Implikationen für Compliance-Beauftragte
- Umschulungsgebot: Es scheint ein konsequenter Bedarf zu bestehen, gezielte KI-Schulungsaktivitäten für die EU-KI-Gesetzgebung zu planen und durchzuführen. Dies ist notwendig, um eine verantwortungsvolle und kompetente Nutzung zu fördern.
- Stärkung interner Audits: Die Fähigkeiten interner Auditoren für die Auditierung von KI werden entweder durch interne oder externe Schulungen verbessert. Es ist jedoch wichtig, diese Fähigkeiten zu verbessern, um die Vorschriften weiterhin ordnungsgemäss einzuhalten.
german
Was sind die wichtigsten Erkenntnisse aus der Umfrage bezüglich der Rolle der Internen Revision bei KI?
Eine aktuelle Umfrage beleuchtet den aktuellen Stand und die zukünftige Ausrichtung der Beteiligung der Internen Revision an KI, insbesondere im Kontext des EU AI Act. Die Ergebnisse zeigen sowohl Chancen als auch Herausforderungen für Revisoren auf, wenn sie sich in dieser sich entwickelnden Landschaft bewegen.
KI-Einführung und -Verständnis:
Zu den wichtigsten Erkenntnissen gehören:
- Begrenzte KI-Nutzung in der Revision: Eine deutliche Mehrheit (72 %) der Abteilungen für Interne Revision nutzt derzeit keine KI-Systeme für ihre Revisionsaktivitäten.
- Spezifische Anwendungsfälle: Unter denjenigen, die KI nutzen, ist die Risikobewertung die primäre unterstützte Aktivität (33 %).
- Verständnis von KI-Konzepten: Während die meisten Befragten angeben, ein gutes oder angemessenes Verständnis von allgemeinen KI-Konzepten (85 %) und der Prüfung von KI-Systemen (71 %) zu haben, ist das Verständnis des EU AI Act im Besonderen geringer (56 %). Dies signalisiert einen dringenden Bedarf an gezielten Schulungen.
Behebung von Qualifikationsdefiziten:
Die Umfrage unterstreicht die Notwendigkeit verbesserter Fähigkeiten innerhalb der Revisionsabteilungen:
- Kompetenzentwicklung: Revisionsabteilungen begegnen den Anforderungen an KI-Prüfungskompetenzen primär durch interne/externe Schulungen (57 %) und Wissensaustausch (29 %), wobei nur begrenzt dedizierte Einstellungen erfolgen (14 %).
- Kleine Revisionsteams: Eine beträchtliche Anzahl von Befragten (70 %) gibt an, dass ihre interne Revisionsfunktion weniger als 10 Vollzeitbeschäftigte (VZÄ) umfasst. Fast die Hälfte (48 %) verfügt nicht über spezialisierte IT-Revisoren. In Kombination mit der sich schnell entwickelnden Technologie unterstreichen diese Daten die Notwendigkeit, interne Revisionsteams mit IT-Kenntnissen zu stärken.
Der EU AI Act und Compliance:
Die Forschung liefert wichtige Einblicke in das Gesetz, Compliance-Pläne und die Rolle der Internen Revision:
- Anwendbarkeit des Gesetzes: 60 % der Unternehmen bestätigen, dass sie dem neuen AI Act unterliegen werden.
- Compliance-Projekte: Etwas mehr als die Hälfte (53 %) der relevanten Unternehmen hat entweder ein Compliance-Projekt zur Einhaltung der neuen Vorschriften initiiert oder plant, damit zu beginnen.
Generative KI-Einblicke:
Spezifische Einblicke in die Nutzung von Generativer KI umfassen:
- Akzeptanzraten: 64 % der Unternehmen nutzen entweder Generative KI-Systeme oder planen deren Implementierung.
- Interne Vorschriften: 44 % der Befragten haben interne Vorschriften speziell für Generative KI.
- Unterstützte Prozesse: Die häufigste Anwendung von KI und GenAI findet sich in den Bereichen Kundenservice, Vertrieb, Marketing und Business Intelligence, Analytics, Finance und Accounting.
Diese Ergebnisse unterstreichen die Notwendigkeit für Interne Revisionsfunktionen, proaktiv KI-Prüfungsrahmen zu entwickeln und ihr Verständnis des AI Act zu verbessern. Da Unternehmen um die Einführung von KI wetteifern, spielen Revisoren eine entscheidende Rolle bei der Sicherstellung einer verantwortungsvollen KI-Nutzung und Compliance.
