EU AI Act: Was bedeutet die neue KI-Verordnung für Unternehmen?
Der EU AI Act regelt erstmals verbindlich den Einsatz von Künstlicher Intelligenz in Unternehmen. Er verpflichtet dazu, KI-Systeme einer Risikobewertung zu unterziehen und Mitarbeitende entsprechend zu schulen. Seit Februar sorgt das für Unsicherheit: Anbieter für Schulungen sprießen aus dem Boden, und Unternehmen fragen sich, was sie konkret tun müssen. Dieser Artikel fasst die wichtigsten Regelungen zusammen und zeigt, wie Sie Ihr Unternehmen rechtskonform aufstellen.
Inhalt:
Was ist der EU AI Act?
Der EU AI Act (dt. Verordnung über künstliche Intelligenz) ist die weltweit erste umfassende Regulierung über den Einsatz künstlicher Intelligenz in Rechtsform. Die seit 2019 entwickelte Verordnung wurde im Mai 2024 von den 27 Mitgliedsstaaten verabschiedet und trat am 1. August vergangenen Jahres in Kraft. Durch die Übergangsfristen traten die meisten Regelungen zum 2. Februar diesen Jahres in Kraft. Das Gesetz gilt für alle Unternehmen in Europa, die KI-Systeme nutzen, entwickeln, vertreiben oder KI-Produkte in die EU importieren, darunter auch KMUs (kleine und mittelständische Unternehmen) (vgl. Art. 2 KI-VO). Ziel des AI Act ist es, das Funktionieren des Binnenmarktes durch eine einheitliche Gesetzgebung innerhalb der Europäischen Union zu fördern und ein hohes Schutzniveau in Bezug auf Demokratie, Rechtsstaatlichkeit, Sicherheit, Umweltschutz und Gesundheit zu gewährleisten.
Welche Fristen gelten?
Übersicht der Fristen:
| Frist (seit Inkrafttreten) | Regelung |
|---|---|
| 6 Monate (bis. 2. Februar 2025) | Verbote unzulässiger KI-Anwendungen |
| 12 Monate (bis. 1. August 2025) | Regelungen für Hochrisikosysteme |
| 24 Monate (bis 1. August 2026) | Vollständige Anwendungen aller Bestimmungen |
Zunächst einmal kann der Panik entgegengehalten werden, dass das Gesetz in einem eher gemächlichen Tempo eingeführt wurde. Vom Tag des Inkrafttretens am 1. August 2024 galten zunächst sechs Monate Frist, bis das Verbot von unzulässigen KI-Anwendungen auch verbindlich für Unternehmen galt. Hierunter fallen beispielsweise Anwendungen, die unterschwellig das Bewusstsein von Personen beeinflussen oder ihre Vulnerabilität mutwillig ausnutzen (z.B. Alter oder Behinderung). Aber auch Social-Scoring-Systeme oder Anwendungen zur biometrischen Kategorisierung sind nicht mehr zulässig (vgl. Art. 5 KI-VO (1) a) ff). Ganze 12 Monate Zeit (also bis zum 1. August 2025) haben Unternehmen, um die Regelungen für Hochrisikosysteme umzusetzen, darunter fallen z.B. Systeme für den Betrieb kritischer Infrastruktur, Systeme im Strafvollzug oder Systeme im Personalmanagement. Zwei Jahre beträgt hingegen die Frist, bis absolut alle Bestimmungen vollständig angewandt werden.
Allen, die um sofortige Rechtsfolgen fürchten, kann ich hingegen beruhigen. Die Einführung des Gesetzes in der praktischen Umsetzung erfolgt in drei Stufen. In Phase 1 werden durch die jeweiligen Mitgliedsstaaten zunächst entsprechende Kontrollgremien und Aufsichtsbehörden geschaffen, beziehungsweise eingerichtet. In Deutschland wird vsl. die Bundesnetzagentur (BNetzA) die zuständige Stelle werden. Die beiden weiteren Phasen regeln die weitere Umsetzung.
Übersicht der Phasen:
Phase 1: Einrichtung von Kontrollgremien und Aufsichtsbehörden
Phase 2: Entwicklung technischer Standards und Zertifizierungen
Phase 3: Vollständige operative Regulierung
STAY CONNECTED
Jetzt kostenfrei den Newsletter abonnieren – erhalten Sie die neuesten KI-Trends und wertvolle Insights für Ihren Unternehmenserfolg direkt ins Postfach!
Welche Risikostufen gibt es?
Übersicht der Risikograde:
| Risikograd | Beispiele |
|---|---|
| Unannehmbares Risiko | Social Scoring, biometrische Echtzeitüberwachung |
| Hohes Risiko | Personalauswahl, Kreditwürdigkeit |
| Begrenztes Risiko | Chatbots, Emotionserkennung |
| Minimales Risiko | Spiele, Spam-Filter |
In Art. 3 der KI-VO wird Risiko als eine Kombination aus der Eintrittswahrscheinlichkeit und der Schwere des möglichen Schadens definiert. Dabei ist zu beachten, dass eine Risikobewertung immer in einem globalen Maßstab zu erfolgen hat. Konkret bedeutet dies, dass ein Unternehmen, welches Social Media Content mit ChatGPT erstellt einen weit geringeren Risikograd aufweist als ein Rüstungskonzern, der KI in der automatischen Zielerfassung einer Präzisionswaffe verbaut.
Die Anwendungen, die als unannehmbares Risiko klassifiziert sind, korrespondieren mit denen der unzulässigen KI-Anwendungen (vgl. Absatz “Welche Fristen gelten?„).
Was bedeutet die KI-Pflichtschulung für Unternehmen?
Zentral ist Artikel 4 der KI-VO, hier ist geregelt, dass Anbieter und Betreiber von KI-Systemen sicherstellen müssen, dass ihr Personal, das mit dem Betrieb oder der Nutzung von KI-Systemen befasst ist, ein ausreichendes Maß an KI-Kompetenz aufweist. Kurz: Jedes Unternehmen, egal wie groß, muss selbst bei sporadischer Nutzung von ChatGPT ihr Personal entsprechend schulen. Über Umfang, Form und Dokumentation existieren jedoch noch keine Vorgaben.
Welche KI-Anwendungen sind verboten?
Insbesondere Anwendungen zur unterschwelligen Beeinflussung von menschlichem Bewusstsein, Systeme, die die Schutzbedürftigkeit von Menschen ausnutzen, Social-Scoring-Anwendungen, sowie Systeme zur Gesichts- oder Emotionserkennung unter bestimmten Bedingungen (vgl. Art 5 KI-VO).
Wer muss eine KI-Schulung absolvieren?
Alle Mitarbeiter, die auch nur ab und an mit Künstlicher Intelligenz im Unternehmenskontext arbeiten, müssen eine entsprechende KI-Kompetenz aufweisen. Diese speist sich aus dem Nutzungskontext, der Erfahrung des Mitarbeiters, absolvierten Schulungen und dem Vorhandensein von unternehmensinternen Richtlinien.
Was muss eine KI-Schulung enthalten?
Hier gibt es noch keine detaillierte Vorschrift, jedoch wird landläufig davon ausgegangen, dass folgende Bereiche behandelt werden sollten:
- Grundlagen Künstlicher Intelligenz
- Rechtliche Bestimmungen
- Ethische und gesellschaftliche Aspekte der Nutzung von Künstlicher Intelligenz
- Technische Funktionsweise von KI-Systemen und die wichtigsten Tools
- Risikomanagement und -einstufung
Da es keine vorgeschriebenen Formate gibt, müssen Unternehmen eigene Konzepte entwickeln, dies kann beispielsweise. die Schulung durch einen Dienstleister in Kombination mit Unternehmensrichtlinien zur Nutzung umfassen.
Abb. 1: Das Europäische Parlament in Strasbourg verabschiedete am 14. Juni 2023 den finalen Vorschlag über das Gesetz, die Mitgliedsstaaten stimmten im Februar 2024 zu.
©Foto: European Parliament.
Welche Dokumentationspflichten gibt es?
Panik ist derzeit verfrüht, dazu ist vieles in der konkreten Umsetzung und Gestaltung des Gesetzes noch zu unklar, jedoch sollten sich alle Unternehmen damit beschäftigen, die auch nur sporadisch KI im Einsatz haben. Dies umfasst auch schon Firmen, die einen intelligenten Chatbot nutzen oder ChatGPT für ihre Pressemitteilungen verwenden.
Derzeit besteht hier noch keine Klarheit, die BNetzA wird aber vsl. im August 2025 entsprechende Leitlinien für Unternehmen veröffentlichen. Wichtig ist aber, dass Unternehmen nachweisen müssen, dass ihre Systeme und Mitarbeiter entsprechend der Verordnung genügen.
Welche Sanktionen drohen bei Verstößen?
Übersicht der maximalen finanziellen Strafen:
| Verstoß | Strafe |
|---|---|
| Verwendung verbotener Systeme | 35 Mio. € oder 7% des Jahresumsatzes |
| Verletzung von Vorschriften zu Hochrisikosystemen | 15 Mio. € oder 3% des Jahresumsatzes |
| Bereitstellung falscher Informationen an Behörden | 7,5 Mio. € oder 1% des Jahresumsatzes |
Die Verordnung regelt auch dezidiert die Sanktionen, die bei Verstößen gegen diese gelten. Dabei muss beachtet werden, dass diese kein Muss sind, sondern auch Verwarnungen und nichtmonetäre Maßnahmen explizit als Möglichkeit Erwähnung finden (vgl. Art. 99 KI-VO). Allerdings werden auch explizite finanzielle Strafen genannt. Dabei gilt, dass bei Verwendung verbotener Systeme Geldbußen bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes, je nachdem welche Summe höher ist, fällig werden können. Bei Verstößen in Bezug auf Hochrisikosysteme können bis zu 15 Millionen Euro oder 3% des weltweiten Jahresumsatzes fällig werden. Sollten Unternehmen Aufsichtsbehörden irreführende, falsche oder unvollständige Informationen bereitstellen, werden bis zu 7,5 Millionen oder 1% des weltweiten Jahresumsatzes fällig. Für KMUs oder Startups gilt abweichend in jedem Fall der jeweils niedrigere genannte Betrag (vgl. Art 99 KI-VO (6)).
Wo finde ich weitere Informationen?
Links:
Genauer Gesetzestext auf Deutsch auf der offiziellen Webseite des Amtsblatts der EU zum AI Act
AI Act Explorer, der eine gezielte Suche im Gesetzestext ermöglicht
Fazit
Panik ist derzeit verfrüht, dazu ist vieles in der konkreten Umsetzung und Gestaltung des Gesetzes noch zu unklar, jedoch sollten sich alle Unternehmen damit beschäftigen, die auch nur sporadisch KI im Einsatz haben. Dies umfasst auch schon Firmen, die einen intelligenten Chatbot nutzen oder Chat GPT für ihre Pressemitteilungen verwenden.
Fragen?
Wenn auch Sie sich fragen, wie Ihr Unternehmen KI rechtskonform und gewinnbringend nutzen kann und welche Schulungskonzepte für Sie sinnvoll sind, nehmen Sie gerne kostenfrei Kontakt auf.
Als Experte für KI-Nutzung und Digitalisierung unterstütze ich Ihr Unternehmen dabei, KI-Strategien zu entwickeln, Compliance-Anforderungen zu erfüllen und Mitarbeiter gezielt zu schulen.
Jetzt Kontakt aufnehmen und KI erfolgreich einsetzen!
Autor
Sebastian Schulze
Sebastian Schulze ist ein gefragter Keynote Speaker und Experte für Künstliche Intelligenz und Big Data. Mit über einem Jahrzehnt Erfahrung macht er komplexe Technologien für Unternehmen verständlich. Seine Expertise im Marketing hat Unternehmen zu beeindruckenden Umsatzsteigerungen verholfen. Er inspiriert sein Publikum mit fundiertem Wissen und praxisnahen Strategien. Neben seiner beruflichen Tätigkeit engagiert er sich als Reserveoffizier bei der Bundeswehr.
Kontakt & Buchung
Um Sebastian Schulze als Keynote Speaker zu buchen oder anzufragen, kontaktieren Sie uns gerne per E-Mail:
…oder nutzen Sie das Kontaktformular. Wir freuen uns über die Anfrage und melden uns in kürzester Zeit zurück.
Kontakt
Sebastian Schulze
Galgenberg 4
73230 Kirchheim