KPMG Klardenker Logo
Was der EU AI Act für Unternehmen bedeutet

KI-Gesetz: Was der EU AI Act für Unternehmen bedeutet

Auswirkungen der neuen EU-Regulatorik auf den Einsatz von künstlicher Intelligenz.

23.05.2024 | ca. 7 Minuten Lesezeit
Andreas Fachinger
Andreas Fachinger
Jana Seibert
Jana Seibert
Daniel Glöckner
Daniel Glöckner

Künstliche Intelligenz (KI) hat in den vergangenen Jahren Einzug in viele Unternehmen gehalten. So werden Techniken zu Data Analytics oder Machine Learning eingesetzt, um beispielsweise Zeit und Kosten zu sparen oder Geschäftsprozesse zu automatisieren. Spätestens die jüngste Veröffentlichung von ChatGPT hat das Thema KI einem breiten Publikum zugänglich gemacht. Von der KI generierte falsche Informationen oder Urheberrechtsfragen zeigen aber mögliche Risiken auf. Die Sicherheit und Freiheit, also Grundrechte der Menschen, dürfen durch KI-Systeme nicht eingeschränkt werden. Ein pflichtbewusster Umgang mit dieser Technologie ist ebenso wichtig wie ein rechtlicher Rahmen.

Regeln für KI: Was künftig erlaubt ist – und was nicht

Die Notwendigkeit der Regulierung wurde bereits von vielen Ländern erkannt. So haben die USA diverse Regelungen zum KI-Risikomanagement vorgesehen, inklusive einer „Executive Order“. China adressiert KI-Systeme mit allgemeinem Verwendungszweck mit entsprechenden administrativen Maßnahmen. Die EU widmet dem Thema eine eigene Strategie für künstliche Intelligenz, inklusive „Data Act“ (Anforderungen an Daten), „Data Governance Act“ (Anforderungen an Datenaustausch) und AI Act (Deutsch „KI-Verordnung“, Anforderungen an Systeme, auch KI-Gesetz genannt).

Im Mai 2024 haben die EU-Länder den EU AI Act endgültig verabschiedet und beschlossen. Die Verordnung gilt als das erste KI-Gesetz weltweit. Die Verordnung tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft und ist – bis auf einige Ausnahmen – 24 Monate nach ihrem Inkrafttreten uneingeschränkt anzuwenden. Ausnahmen gelten für KI mit unakzeptabel hohem Risiko (sechs Monate nach Inkrafttreten), Verhaltenskodizes (neun Monate), Regeln für KI mit allgemeinem Verwendungszweck (Englisch „General Purpose AI“, zwölf Monate) und Verpflichtungen für KI mit hohem Risiko (36 Monate nach Inkrafttreten).

AI Act der EU – diese vier Risikokategorien gibt es:

  1. Unakzeptabel hohes Risiko: Anwendungen oder KI-Systeme, die soziales Verhalten bewerten, Menschen beeinflussen oder ihre Schwächen ausnutzen und damit zu einer Benachteiligung oder Bedrohung dieser führen. Der Einsatz dieser Technologien ist verboten (mit Ausnahmen zu Strafverfolgungszwecken).
  2. Hohes Risiko: Anwendungen, die nicht explizit verboten sind und ein hohes Risiko hinsichtlich der Grundrechte, Sicherheit und Gesundheit natürlicher Personen darstellen. Der Einsatz dieser Technologien ist durch umfangreiche Anforderungen im AI Act geregelt.
  3. Mittleres Risiko: KI-Systeme, die mit natürlichen Personen interagieren, müssen die betroffenen Personen darüber informieren (sogenannte „Transparenz- und Informationspflichten“).
  4. Geringes Risiko: Unternehmen die KI-Systeme einsetzen, welche nicht explizit den Anforderungen des AI Acts unterliegen, werden freiwillige Verhaltenskodizes nahegelegt, die den Einsatz von KI adäquat regeln sollen. Zusätzlich wird Unternehmen generell auferlegt, Mitarbeitende hinsichtlich KI zu schulen (Englisch „AI Literacy“).

KI-Systeme mit allgemeinem Verwendungszweck und die Modelle, auf denen sie beruhen (Englisch „Foundation Models“), müssen bestimmte Transparenzanforderungen erfüllen, darunter die Einhaltung des EU-Urheberrechts und die Veröffentlichung detaillierter Zusammenfassungen der für das Training verwendeten Inhalte. Weitere Anforderungen gelten für leistungsfähigere Modelle mit „systemischem Risiko“: Diese müssen gesondert evaluiert und überwacht werden, in engem Austausch mit der EU.

Während die EU strengere Vorschriften für die künstliche Intelligenz vorsieht, sind amerikanische Tech-Konzerne wie Microsoft, Google und Meta, aber auch chinesische Wettbewerber weiterhin Innovationstreiber in diesem Bereich. Das liegt nicht zuletzt daran, dass diese oft nach dem Motto „Innovate first, regulate second“ handeln (können). Kritiker:innen befürchten, dass durch eine strenge Auslegung des AI Acts Unternehmen weniger Anreize haben werden, auf diese Technologien zu setzen, was zu einem empfindlichen Nachteil im globalen Wettbewerb führen könnte. Dem versucht die EU mit entsprechenden Maßnahmen zur Innovationsförderung und Ausnahmen für Forschung und Open Source entgegenzuwirken. Daneben sollen aber auch Verbraucherrechte gestärkt werden durch die Möglichkeit Beschwerden einzureichen und aussagekräftige Erklärungen einzufordern.

Haben Sie zu Fragen rund um das Thema „AI Governance“? Sprechen Sie uns gerne an. Weitere Informationen finden Sie hier.

Welche Auswirkungen hat der AI Act auf europäische Unternehmen?

Der AI Act führt zu weitrechenden Folgen für Unternehmen und Nutzer:innen. Im Vordergrund stehen umfangreiche administrative Anforderungen, wie zum Beispiel ein effektives Risikomanagement oder auch die Sicherstellung von Qualität, (technischer) Dokumentation und proaktiver Information. Wichtig sind dabei auch die Überwachung und rechtzeitiges Eingreifen während des Betriebs. Zudem möchte die EU Innovation fördern durch Testlabore, die von nationalen Behörden eingerichtet werden, um KI zu entwickeln und zu trainieren, bevor sie auf den Markt kommt.

Auch wird die operative, technische Umsetzung eine große Rolle spielen – und diese ist nicht durch den AI Act geregelt. Diese kann anspruchsvoll und mit entsprechenden Kosten verbunden sein. Die unspezifischen Anforderungen lassen einerseits Fragen offen und führen auch mit Blick auf eventuelle Sanktionen zu Unsicherheiten. Andererseits bieten die allgemeinen Formulierungen für Unternehmen auch Gestaltungsspielraum.

So können Unternehmen auf die EU-Regeln zur künstlichen Intelligenz reagieren

Es gibt einige Möglichkeiten und Schritte, wie sich Unternehmen und Nutzer:innen auf die neue Regulierung vorbereiten können:

In jedem Fall sollten sich Unternehmen bewusst sein, dass eine neue Regulierung per se nichts Schlechtes ist. Die Übergangsfrist räumt – ähnlich wie zur EU-Datenschutz-Grundverordnung (DSGVO) – ausreichend Zeit für die Umsetzung und das Testen von Anwendungen ein.

Unser Apell: Sehen Sie den Gesetzgeber nicht als Gegner an. Viele Punkte im Regelwerk der EU müssen ihre Praxistauglichkeit noch beweisen. Nutzen Sie Ihr firmeninternes und -externes Netzwerk sowie verschiedene Austauschformate und Kommunikationskanäle, um konstruktiv über die operative Gestaltung des AI Acts zu diskutieren. Vor allem ist es wichtig, sich jetzt mit dem Thema auseinanderzusetzen.

Governance für künstliche Intelligenz: Diese Fragen sollte sich Ihr Unternehmen jetzt stellen:

  • Gibt es eine KI-Strategie im Unternehmen und welche Rolle sollen KI-Systeme im Unternehmen spielen?
  • Gibt es bereits eine interne Governance-Verordnung für künstliche Intelligenz und orientiert diese sich an den Eckpunkten des EU AI Acts?
  • Wurde bereits eine „AI Governance“ Taskforce gebildet und ist diese interdisziplinär zusammengesetzt?
  • Liegt im Unternehmen eine Aufstellung der KI-Systeme vor?
  • Werden entsprechende Entwicklungsstandards (z.B. MLOps) eingesetzt? Und welche der regulatorischen Anforderungen werden bereits jetzt durch diese abgedeckt, welche gilt es noch zu integrieren?

Diese Spielregeln für den Einsatz künstlicher Intelligenz sollten Sie außerdem beachten:

  • Nehmen Sie für Ihre KI-Systeme eine Risikokategorisierung nach Vorbild des EU AI Acts vor. Systeme mit unakzeptabel hohem Risiko sollten unmittelbar abgeschaltet und etwaige Risiken effektiv adressiert werden (ggf. unter Einbeziehung der Abteilungen für Recht & Außenkommunikation).
  • Evaluieren Sie vorab, welche KI-Systeme eventuell doch kein „signifikantes Risiko“ darstellen, da sie entweder kein erhebliches Risiko eines Schadens für Gesundheit, Sicherheit oder Grundrechte natürlicher Personen bergen; oder das Ergebnis der Entscheidungsfindung nicht wesentlich beeinflussen – hierfür sieht der AI Act weitere Ausnahmen vor. Diese greifen aber nicht, wenn ein „Profiling“ natürlicher Personen durchgeführt wird.
  • Binden Sie die Vorgaben des AI Acts in die Prozesse und Anwendungsfälle ein, in denen künstliche Intelligenz zum Einsatz kommt. Alle Beteiligten (Führungskräfte, Software-Entwickler:innen, Anwender:innen und Prüfer:innen) sollten frühzeitig in die Gestaltung der Prozesse mit einbezogen werden. Übersetzen Sie organisatorische Maßnahmen sinnvoll ins Technische (Stichwörter „Explainable AI“ und „AI Monitoring“) und sorgen Sie durch kluge Schnittstellen dafür, dass die Prozesse möglichst ineinandergreifen.
  • Eine von Ihnen eingerichtete AI Governance Taskforce kann im Unternehmen durch Kommunikation und Steuerung (intern wie extern) für eine sinnvolle Auslegung des regulatorischen Rahmens sorgen.
  • Kontrollieren Sie in regelmäßigen Abständen den operativen Ablauf. Dies umfasst auch entsprechende Eskalations- und Meldeprozesse.

Lesen Sie zu dem Thema auch unsere Studie „KI-Risiken im Blick“. Die Studie gibt Empfehlungen für eine AI Governance, die eine verantwortungsvolle Nutzung der neuen Technologie sicherstellt – jetzt herunterladen.

Generative KI in der deutschen Wirtschaft

Generative künstliche Intelligenz ist aus zahlreichen Unternehmen der deutschen Wirtschaft nicht mehr wegzudenken. Wo stehen Unternehmen bei der Implementierung und welche weiteren Schritte planen sie? Erste Insights aus der Studie.

Studie herunterladen