AI Act now: 
Umsetzung der 
KI-Verordnung

So gelingt der Einsatz von KI 

in Unternehmen – Teil 5

02. August 2024
Sebastian Bluhm
Ein blaues Bild mit grünen Elementen. Man sieht Maschinen, Röhren, Kabel und Dokumente, die zum Teil gestempelt werden.

Bevor es leichter wird, ist es meistens schwer. Das ist beim Sport nicht anders als bei der Einführung von KI. Denn bevor KI Prozesse automatisiert, beschleunigt und Ihr Leben dadurch erheblich erleichtert, gibt es einiges zu bedenken.

Mit dem AI Act, dem weltweit ersten umfassenden KI-Gesetz, das vor Kurzem in Kraft trat, kommt nun eine weitere Herausforderung hinzu. Nämlich die Frage: Ist Ihre KI rechtskonform? Das neue KI-Gesetz stellt Unternehmen vor erhebliche Aufgaben. Die darin vorgeschriebenen Mindeststandards machen es u. a. erforderlich, nicht nur die verwendeten Technologien genau zu kennen und ihren Einsatzzweck zu klassifizieren, sondern zudem auch für entsprechende Transparenz und Qualität zu sorgen.

Aber Achtung! In diesem Blog-Post gibt es weder Trost noch Mitleid. Stattdessen erhalten Sie, was Sie wirklich brauchen: Informationen, die Ihnen beim EU-konformen Auf- und Umbau Ihrer KI-Systeme helfen. Der AI Act, davon sind wir überzeugt, ist für Unternehmen eine riesige Chance. Worin sie besteht und wie Sie sie ergreifen, erfahren Sie in diesem Blog-Post.

AI Act aktueller Stand: was jetzt wichtig ist

Es ist beschlossene Sache: Mit 523 Stimmen dafür, 46 dagegen und 49 Enthaltungen billigten die Abgeordneten des Europäischen Parlaments das weltweit erste umfassende KI-Gesetz. Was damit jetzt auf Unternehmen und ihre KI-Systeme zukommt, ist aber vielen Entscheider:innen noch unklar. Denn KI muss ab sofort nicht nur gemäß Ihren unternehmerischen Zielsetzungen funktionieren; sie muss zudem auch rechtlichen Anforderungen entsprechen. Zur ohnehin schon komplexen Abwägung von strategischen, mathematischen, technischen und wirtschaftlichen (Detail-)Fragen kommt also eine entscheidende Dimension hinzu: die juristische. Eine wohlüberlegte und strategische Vorgehensweise bei der Einführung und beim Einsatz von Künstlicher Intelligenz ist damit wichtiger und anspruchsvoller denn je.

Was Manager:innen jetzt wissen sollten

Bestehende KI-Systeme müssen dem KI-Gesetz entsprechend angepasst oder umgebaut werden. Neue KI-Modelle werden die neuen Regularien während der Entwicklung einkalkulieren müssen. Es gibt also viel zu tun. Aber was genau? Informationen und Wissen in allen relevanten Bereichen sind der Schlüssel zur erfolgreichen Umsetzung des AI Acts. Im Folgenden erhalten Sie die wichtigsten Facts im Überblick.

Was ist der AI Act?

Der EU AI Act, auch KI-Verordnung genannt, ist das erste umfassende KI-Gesetz der Welt. Es zielt darauf ab, in Umgang, Nutzung und Entwicklung von künstlicher Intelligenz Sicherheit zu gewährleisten, grundlegende Rechte zu schützen und Innovationen zu fördern.

Ab wann gilt das KI-Gesetz?

Das Gesetz trat am 01.08.2024 in Kraft. Die verschiedenen Bestimmungen werden nun über 24-36 Monate anwendbar. Diese sogenannte „Übergangsphase“ ist vorgesehen, um Behördenstrukturen aufzubauen und Unternehmen die Anpassung an die neuen Regeln zu ermöglichen.

Für wen gilt die KI-Verordnung?

Als Faustformel gilt: Wer in der EU KI unternehmerisch entwickelt oder anwendet – ob eigene oder fremde –, ist vom AI Act betroffen. Das heißt, auch wenn Sie die KI-Software anderer Anbieter in Ihrem Unternehmen nutzen, gilt die KI-Verordnung für Sie. Aber Achtung: Was heißt hier eigentlich KI?

Was gilt als KI?

Was als KI gilt, ist eine Frage der Definition. Und da hat die KI-Verordnung ihre ganz eigene: Innerhalb der Regulierung wird Künstliche Intelligenz als Software beschrieben, die Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen erzeugt. Dabei kann sie auf Machine Learning oder Deep Learning, aber auch auf statistischen Ansätzen, Bayessche Schätz-, Such- und Optimierungsmethoden basieren. Eine sehr breite Definition, wenn man bedenkt, dass Unternehmen Statistik etwa nicht erst seit gestern nutzen.

Also Achtung: Selbst Software/Systeme, die Sie nicht unter dem Label Künstliche Intelligenz installiert und/oder entwickelt haben, könnte/n also darunter fallen. Sofern Sie nicht genau wissen, welche Technologien Sie im Einsatz haben, kommen Sie um eine baldige Analyse nicht herum.

Ihre neuen Pflichten

Die KI-Verordnung umfasst Regeln für Entwicklung, Bereitstellung und Nutzung von KI-Systemen, kategorisiert nach Risikograd. Je höher das Risikopotential, desto umfassender die Regulierung. Im Klartext bedeutet das: strengere Regeln für Hochrisiko-Systeme, weniger strenge für Systeme mit niedrigen Risiken, Verbote für bestimmte Anwendungen. Zudem verlangt die Verordnung Mindeststandards z. B. für:

  • Risikomanagement
  • Datenqualität und Daten-Governance
  • Dokumentation
  • Transparenz
  • Möglichkeiten der menschlichen Aufsicht
  • Protokollierung
  • Genauigkeit
  • Robustheit
  • Cybersicherheit

Die Evaluierung des Risikograds eines KI-Anwendungsfalls erfolgt dabei nicht durch eine externe Prüfstelle, sondern obliegt Ihrer Verantwortung. Bei dieser sogenannten ”Konformitätsbewertung” ist Sorgfalt angebracht. Denn der von Ihnen zu erbringende Nachweis, dass die verwendete KI der neuen Regulatorik entspricht, muss einer eventuellen späteren externen Prüfung standhalten. Die Evaluierung gibt Ihnen darüber hinaus eine solide Arbeitsthese zur Ableitung kommender Pflichten und weiterer Aufgaben.

Zäsur oder Chance? Beides!

So verschieden die Aufgaben zur Anpassung an die Regularien für Unternehmen ausfallen werden – die Ausgangslage ist für alle gleich. Der AI Act ist der Startschuss zu einem neuen Wettrennen. Wer den Schuss jetzt nicht gehört hat, für den kann es teuer werden. Geldbußen von bis zu 35.000.000 EUR oder bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres drohen Unternehmen bei Nicht-Einhaltung der Anforderungen der KI-Verordnung. Langfristig entscheidender aber wäre die verpasste Gelegenheit, sich durch frühzeitige Einhaltung vom Wettbewerb zu differenzieren.

So sichern Sie Ihre Investition ab

Haben Sie in den letzten Jahren in Künstliche Intelligenz investiert, so haben Sie bereits Unternehmenswerte, Wettbewerbsvorteile und automatisierte Prozesse geschaffen, die vom AI Act betroffen sind. Umso wichtiger ist es, frühzeitig Klarheit darüber zu gewinnen, inwieweit die neuen Regulierungen diese Investitionen gefährden könnten. Die Evaluierung entsprechender Anpassungen und Maßnahmen sollte besser heute als morgen erfolgen. Dadurch halten Sie Ihren Vorsprung und Ihre Unternehmenswerte auch langfristig aufrecht.

Schnell sein lohnt sich

Momentum ist auch hier ein entscheidender Faktor. Wer in Ihrer Branche wird zuerst von sich behaupten können, eine EU-konforme, transparente, zuverlässige und sichere KI einzusetzen oder gar entwickelt zu haben? Die CE-Kennzeichnung für Ihr KI-System schafft Vertrauen und trennt die Spreu vom Weizen. Nutzen Sie die Chance, die das KI-Gesetz Ihnen bietet. Gehen Sie allein und sichtbar voran, anstatt in der Masse unsichtbar nachzuziehen.

Was Sie jetzt schon tun können

  • Informieren: Kennen Sie Ihre neuen Rechte und Pflichten!
  • Bestandssysteme prüfen: Achtung, auch Bestandssysteme fallen tlw. unter die neue Definition von KI und müssen ggf. im Rahmen der KI-Verordnung überarbeitet oder gar ersetzt werden.
  • Risikograd bestimmen: Evaluieren Sie Ihre KI-Modelle nach Risikograd und definieren Sie eine Arbeitsthese zur Ableitung kommender Aufgaben.
  • Maßnahmen planen: Leiten Sie Anpassungen an Systemen, Prozessen, Governance und Zuständigkeiten frühzeitig in die Wege.
  • Aktiv werden: Compliance-Maßnahmen müssen umgesetzt und eingehalten werden. Ihre Daten müssen relevant, repräsentativ, fehlerfrei und vollständig sein und dürfen keinen (auch unbeabsichtigten) Bias enthalten.
  • Chancen nutzen: Zeigen Sie sich als modernes, innovatives und verantwortungsvolles Unternehmen – bis in die Führungsspitze. Die CE-Kennzeichnung für Ihr KI-System schafft Vertrauen und sichert Ihnen die Vorreiterrolle, intern und extern.

Fazit

Ja, der AI Act stellt Unternehmen vor neue Herausforderungen. Unternehmen müssen die KI-Verordnung kennen, verstehen und umsetzen. Die Abwägung zwischen verschiedenen KI-Ansätzen wird zukünftig noch komplexer und kommt nicht ohne eine holistische Betrachtung aller relevanten Faktoren aus. Aber das KI-Gesetzt bietet ebenso viele Chancen: Zeit und Wissen werden zu entscheidenden Faktoren. Spätestens in zwei bis drei Jahren ist der EU AI Act vollständig anwendbar. Für “schnelle Anpassungen” wird es dann zu spät sein. Wer sich frühzeitig vorbereitet, profitiert viel und riskiert: nichts. Die KI-Verordnung kommt so oder so. Wer jetzt den Kopf nicht in den Sand, sondern in die EU-konforme Umsetzung seiner KI-Projekte steckt, wird als Vorreiter viel gewinnen.

AI Act Audit

Auch uns hat der AI Acts vor eine neue Herausforderung gestellt: Denn wer seine KI EU-konform auf- oder umbauen will, braucht beides: technisches Know-how und juristische Beratungen. Aber woher nehmen …? Bei PLAN D entwickelten wir deshalb ein neues Beratungsangebot, das Unternehmen exakt das bietet, was sie zur Umsetzung der KI-Verordnung benötigen: Rechtssicherheit und technische Umsetzung aus einer Hand.

In Kooperation mit Taylor Wessing Germany, der führenden Kanzlei für IT- und Datenschutzrecht, bündeln wir unsere Expertisen deshalb zu einem einzigartigen AI Act Audit. In einem zweistufigen Prozess führen wir durchs Dickicht der Regularien, analysieren KI-Anwendungen und übersetzen rechtliche Auflagen in konkrete individuelle To-do-Liste – fertig zur EU-konformen Umsetzung.

Unser Webinar mit Taylor Wessing

Im Webinar vom 20.06.2024 beantworten Fritz Pieper von Taylor Wessing und Sebastian Bluhm von PLAN D die aktuell drängesten Fragen des jeweils anderen. Was gilt rechtlich als KI? Was bedeutet die KI-Verordnung für meinen KI-Projektplan? Wer haftet: Dienstleister oder Auftraggeber? Hier erfahren Sie es.

Sie wollen mehr erfahren?