Blog
Der EU AI Act:
Herausforderungen und Auswirkungen auf Unternehmen
Von Markus Helfenstein am 28. Februar 2025
Die Einführung des EU AI Act stellt einen bedeutenden Schritt in der Regulierung von Künstlicher Intelligenz (KI) innerhalb der Europäischen Union dar. Unternehmen, die KI-Technologien einsetzen oder wie Ehrenmüller AI individuelle KI-Entwicklung vorantreiben, sehen sich nun mit neuen Anforderungen konfrontiert, die sowohl Herausforderungen als auch Chancen mit sich bringen. In diesem Artikel zeigen wir auf, welche Aspekte des AI Acts besonders relevant sind und wie sie sich auf die Praxis auswirken.
Die Notwendigkeit des EU AI Acts und seine Ziele
Die Regulierung von Künstlicher Intelligenz ist aus mehreren Gründen notwendig geworden. Ein Großteil der Unternehmen, die KI bereits im Praxiseinsatz haben, sieht sich durch rechtliche Unsicherheiten in der Anwendung behindert, während vierzig Prozent der Unternehmen rechtliche Unklarheiten als Hemmnis für den KI-Einsatz betrachten (Quelle: Bitkom). Anders als häufig von Kritikern des AI Acts behauptet, zeigt sich, dass gerade das Fehlen von Rechtssicherheit die Innovationskraft und das transformative Potenzial von KI verhindert wird.
Der AI Act verfolgt das Ziel, die Regeln für KI innerhalb der EU zu vereinheitlichen, um den Binnenmarkt zu stärken und Unternehmen klare Vorgaben zu bieten. Gleichzeitig soll die Regulierung den Schutz grundlegender Rechte wie Demokratie, Datenschutz und Sicherheit gewährleisten und eine menschenzentrierte sowie vertrauenswürdige KI fördern. Dabei soll Innovation nicht unnötig eingeschränkt werden, sondern vielmehr innerhalb eines sicheren und rechtlich stabilen Rahmens stattfinden.
Einer Studie zufolge benötigen nahezu siebzig Prozent der deutschen Unternehmen Unterstützung bei der Umsetzung der neuen Vorgaben. (Quelle: Bitkom) Da die Anforderungen für Unternehmen komplex sind und eine präzise Einordnung ihrer individuellen KI-Entwicklung notwendig ist, bieten wir von Ehrenmüller AI speziell entwickelte AI-Act-Schulungen an, um Unternehmen und ihre Teams gezielt auf die Umsetzung der AI-Act-Vorgaben vorzubereiten. Diese Schulungen helfen dabei, regulatorische Fallstricke zu vermeiden und die richtigen Maßnahmen für Compliance und Risikomanagement zu ergreifen.
Eine besondere Herausforderung besteht in der Definition dessen, was überhaupt als KI gilt. Während hochkomplexe neuronale Netzwerke zweifellos erfasst werden, betreffen die Regelungen auch adaptive Systeme, die autonom Entscheidungen treffen. Für Unternehmen, die auf individuelle KI-Entwicklung setzen, ist es nicht immer leicht, ihre Lösungen in die vorgesehenen Kategorien korrekt einzuordnen.
Risikoklassen und ihre Auswirkungen auf Unternehmen
Der AI Act verfolgt einen risikobasierten Ansatz, der KI-Systeme in verschiedene Kategorien einteilt.
Verbotene KI-Systeme sind solche mit besonders hohem Missbrauchspotenzial, die demokratische Prinzipien oder Grundrechte gefährden könnten. Sie sind grundsätzlich verboten. Dazu gehören beispielsweise Social-Scoring-Systeme, die Menschen auf Basis ihres Verhaltens bewerten und sanktionieren, sowie KI-gestützte Echtzeitüberwachung im öffentlichen Raum.
Als Hochrisiko-KI gelten Systeme, die potenziell erhebliche Auswirkungen auf die Sicherheit, Gesundheit oder Grundrechte haben. Unternehmen, die solche KI-Anwendungen entwickeln oder einsetzen, müssen umfangreiche Transparenz- und Sicherheitsvorgaben einhalten. Dazu zählen Konformitätsbewertungen, regelmäßige Tests sowie die Sicherstellung von Datensicherheit und Dokumentation. Beispiele für Hochrisiko-KI finden sich in sensiblen Bereichen wie dem Gesundheitswesen, der kritischen Infrastruktur, dem Justizsystem oder der automatisierten Bewerberauswahl.
Für KI-Systeme mit geringem Risiko sieht der AI Act lediglich Transparenzvorgaben vor. So müssen Nutzer darüber informiert werden, dass sie mit einer KI interagieren, etwa bei einem Chatbot im Kundenservice. Ebenso müssen Deep Fakes als solche gekennzeichnet werden.
KI-Systeme, die in keine der drei genannten Risikoklassen fallen, werden als KI-Systeme mit minimalem Risiko bezeichnet. Diese unterliegen keinerlei spezifischen regulatorischen Verpflichtungen.
Eine besondere Herausforderung ergibt sich aus der Abgrenzung zwischen diesen Kategorien. So kann ein einfaches Chatbot-System, das lediglich vorgefertigte Antworten liefert, als geringes Risiko eingestuft werden, während dasselbe System, wenn es personalisierte Entscheidungen trifft, unter die Hochrisiko-Kategorie fallen könnte. Unternehmen müssen daher genau prüfen, welche Anforderungen für ihre KI-Anwendungen gelten.
Die Verantwortung von Anbietern und Betreibern
Ein zentraler Aspekt des AI Acts ist die Klärung der Verantwortlichkeiten für den Einsatz von KI-Systemen. Die Regulierung unterscheidet dabei zwischen Anbietern und Betreibern, die jeweils unterschiedliche Pflichten erfüllen müssen.
Anbieter von KI-Systemen sind Unternehmen, die ein KI-System entwickeln und in den Verkehr bringen. Sie unterliegen strengen Anforderungen, darunter die Durchführung von Konformitätsbewertungsverfahren, die Sicherstellung der Datensicherheit und die Bereitstellung technischer Dokumentationen. Besonders für Hochrisiko-KI-Systeme sind Transparenzmaßnahmen, Risikomanagement und eine verpflichtende Registrierung in der EU-Datenbank erforderlich, bevor das System auf den Markt gebracht wird.
Betreiber von KI-Systemen hingegen setzen ein KI-System in eigener Verantwortung ein, ohne es selbst zu vertreiben. Sie unterliegen zwar weniger strengen Pflichten als Anbieter, müssen jedoch sicherstellen, dass das System im vorgesehenen Rahmen genutzt wird, die Qualität der Eingabedaten gewährleistet ist und die vorgeschriebene Überwachung erfolgt. Dabei kann eine Hochstufung zum Anbieter erfolgen, wenn wesentliche Änderungen an der KI vorgenommen werden. Dies betrifft insbesondere Fälle, in denen das Unternehmen durch umfangreiches Finetuning oder eine geänderte Zweckbestimmung ein neues, eigenständig reguliertes KI-System schafft.
Da viele Unternehmen KI-Technologien nicht nur nutzen, sondern durch individuelle Anpassungen oder externe Bereitstellung unbewusst in die Rolle eines Anbieters oder Betreibers rutschen können, ist eine sorgfältige Einordnung essenziell. Eine falsche Klassifizierung kann weitreichende regulatorische Folgen haben, darunter erhöhte Prüf- und Dokumentationspflichten sowie mögliche Sanktionen bei Nichteinhaltung der Vorschriften.
Anforderungen und Pflichten für Unternehmen
Mit dem AI Act werden zahlreiche Pflichten für Unternehmen eingeführt, insbesondere für jene, die Hochrisiko-KI-Systeme entwickeln oder betreiben. Seit Februar 2025 müssen alle verbotenen KI-Systeme entweder eingestellt oder so modifiziert worden sein, dass sie nicht mehr in diese Kategorie fallen.
Unternehmen, die Hochrisiko-KI-Systeme anbieten, müssen je nach Art des Systems bis August 2026 oder August 2027 ein umfassendes Risikomanagementsystem einrichten und pflegen. Sie sind verpflichtet, hochwertige und repräsentative Datensätze für das Training ihrer KI-Modelle zu verwenden und diese durch Governance-Systeme abzusichern. Darüber hinaus müssen sie technische Dokumentationen erstellen, um nachzuweisen, dass die Anforderungen der Verordnung erfüllt werden.
Auch Betreiber von Hochrisiko-KI-Systemen haben weitreichende Pflichten. Sie müssen sicherstellen, dass die Systeme bestimmungsgemäß genutzt und durch qualifiziertes Personal beaufsichtigt werden. Die Einhaltung von Datenschutzrichtlinien sowie die regelmäßige Überprüfung der Systemleistung gehören ebenso zu ihren Aufgaben wie die Zusammenarbeit mit Behörden und die Registrierung in der EU-Datenbank für Hochrisiko-KI.
KI-Systeme mit geringem Risiko unterliegen hingegen nur wenigen Vorschriften. Es müssen in erster Linie Transparenzpflichten erfüllt werden. Nutzer müssen darüber informiert werden, wenn sie mit einer KI interagieren, und KI-generierte Inhalte müssen eindeutig gekennzeichnet werden.
Darüber hinaus sind Unternehmen seit Februar 2025 dazu verpflichtet, ausreichend KI-Kompetenzen von allen Mitarbeitern nachzuweisen, die mit einem KI-System arbeiten. Dadurch soll ein grundlegendes Verständnis für die Chancen und Risiken der Technologie gewährleistet werden.
Gerne sind wir von Ehrenmüller auch beim Thema AI-Act-Schulungen Ihr kompetenter Partner.
Der Zeitplan und nächste Schritte für Unternehmen
Die Umsetzung des AI Acts erfolgt stufenweise. Bereits im August 2024 begann die Einführung der ersten Regelungen und die Einrichtung staatlicher Stellen zur Überwachung der Umsetzung. Sechs Monate später, im Februar 2025, müssen Unternehmen verbotene KI-Systeme abgeschaltet oder angepasst haben. Im August 2025 treten die Regelungen für General-Purpose-AI-Systeme (GPAI) in Kraft. Ein Jahr später, im August 2026 folgen die KI-Systeme mit geringem Risiko sowie ein Teil der Hochrisiko-Systeme. Die vollständige Regulierung aller Hochrisiko-KI-Systeme erfolgt bis August 2027.
Stufenweise Anwendung
Unternehmen sind daher gut beraten, sich frühzeitig auf die neuen Anforderungen vorzubereiten. Sie sollten ihre KI-Systeme genau analysieren und prüfen, in welche Risikokategorie sie fallen. Gleichzeitig müssen sie sicherstellen, dass sie alle erforderlichen Dokumentationen und Transparenzmaßnahmen umsetzen. Darüber hinaus sind Investitionen in die Schulung von Mitarbeitern und die Implementierung von Compliance-Mechanismen unerlässlich, um langfristig rechtskonform agieren zu können.
Der AI Act ist ein entscheidender Schritt für mehr Sicherheit und Vertrauen in Künstliche Intelligenz. Unternehmen stehen nun vor der Herausforderung, die neuen Anforderungen zu erfüllen, ohne ihre Innovationskraft zu verlieren. Mit einer vorausschauenden Planung und einer konsequenten Umsetzung der Regulierung können sie jedoch nicht nur Risiken minimieren, sondern sich auch Wettbewerbsvorteile in einem zunehmend regulierten Markt sichern. Die kommenden Jahre werden zeigen, wie sich der AI Act in der Praxis bewährt und welche weiteren Anpassungen notwendig sein werden.
Fit für den AI Act? Unsere Schulung zum EU AI-Act in der Praxis
In unserer eintägigen Inhouse-Schulung vermitteln wir einen fundierten Überblick über die Anforderungen des EU AI Acts und deren praktische Bedeutung. Sie erfahren, welche Auswirkungen die neuen Vorgaben auf die Entwicklung, Betrieb und Nutzung von KI-Systemen haben und wie diese effizient in die Praxis umgesetzt werden können. Die Schulung thematisiert insbesondere die Einordnung von KI-Systemen in die Risikoklassen des AI Act anhand konkreter Praxisbeispiele.
Schulungsaufbau:
- Grundlagen des EU AI Acts: Erläuterung der wichtigsten Regelungen,
Konzepte und Begriffe des AI Acts. - Risikoklassen und Anforderungen: Interaktive Einordnung von
KI-Projekten aus der Praxis in die Risikoklassen. - Praxisorientierter Einblick: Konkrete Auswirkungen auf den
Entwicklungsprozesse von hochriskanten KI-Systemen. - KI-Kompetenzen gemäß AI Act Artikel 4
Mehr erfahren: AI-Act-Schulung bei Ehrenmüller
Sie haben Interesse an einer Beratung oder Fragen zu unserem Angebot? Kontaktieren Sie uns gerne. Wir freuen uns von Ihnen zu hören.
Ich freue mich auf Ihren Anruf!
„In einem ersten Startgespräch nehme ich Ihre Anfrage auf und koordiniere die weiteren Schritte. Ich freue mich darauf, Sie kennenzulernen!“
Leah Soldner
Customer Relationship Managerin
Falls kein passender Termin über das Buchungssystem für Sie dabei ist, können Sie mich gerne kurz telefonisch kontaktieren. Wir finden einen zeitnahen Termin.
Bringen Sie Ihr Unternehmen auf die nächste Stufe!
Wir entwickeln KI-Systeme für den innovativen Mittelstand.