Besitzen Sie diesen Inhalt bereits,
melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.
Künstliche Intelligenz (KI) im Fokus - Teil 2: AI-Act-Implementierung & Compliance
Was bei der Implementierung der neuen KI-Verordnung zu beachten ist
Nachdem im ersten Teil der Serie „KI im Fokus“ die rechtlichen Grundlagen und generellen Anforderungen des AI Act dargestellt wurden, gibt Teil 2 einen Überblick über Schritte, die Unternehmen im Rahmen der Implementierung setzen müssen. Dabei stehen insbesondere das Risiko-Assessment und die Compliance-Anforderungen für hochriskante KI-Systeme im Vordergrund.
1. Umsetzungsfristen des EU AI Act
Die neue KI-Verordnung trat am in Kraft. Aufgrund der vorgesehenen Implementierungsfristen werden die meisten Bestimmungen jedoch erst im Laufe dieses oder des nächsten Jahres anwendbar. Konkret sieht der AI Act folgende Umsetzungsfristen vor:
Bereits seit (sechs Monate nach Inkrafttreten) sind die Bestimmungen für KI-Systeme, die fortan unter den neuen Regelungen verboten sind, anwendbar, sowie auch die Bestimmungen betreffend KI-Kompetenz gemäß Artikel 4 der KI-Verordnung.
Ab (zwölf Monate nach Inkrafttreten) werden insbesondere die Anforderungen für sogenannte „General Purpose AI“ (GPAI)-Modelle, also beispielsweise ChatGPT, anwendbar.
Darüber hinaus sind ab diesem Sommer auch die Bestimmungen betreffend KI Governance, dh zur Einrichtung eines KI-Gremiums, sowie eines Beratungsforums und eines wissenschaftlichen Gremiums auf EU-Ebene und zu den zuständigen nationalen Behörden, anwendbar.
Den wesentlichsten Umsetzungstermin stellt schließlich der dar - 24 Monate nach Inkrafttreten ist der AI Act gesamthaft anwendbar und somit sind bis dahin insbesondere die Anforderungen für hochriskante KI-Systeme umzusetzen, sowie auch die Transparenzpflichten für KI-Systeme mit minimalem Risiko.
Doch was bedeutet dies nun in der Implementierung und welche Compliance-Anforderungen kommen auf betroffene Unternehmen und Organisationen zu?
2. Unmittelbare To-dos für Ihr Unternehmen
Einige Maßnahmen für KI-Systeme sind bereits anwendbar. Um festzustellen, ob auch in Ihrem Unternehmen bereits Handlungsbedarf besteht, müssen zunächst die im Unternehmen eingesetzten KI-Systeme und KI-Anwendungen identifiziert werden. Dazu ist die Definition des AI Act, welche - wie in Teil 1 dieser Serie ausgeführt - erwartungsgemäß breit gefasst wurde, heranzuziehen.
2.1. Risiko-Assessment
Um dem risikobasierten Ansatz der KI-Verordnung, welcher zwischen inakzeptablem Risiko, hohem Risiko, oder minimalem (zB hinsichtlich Transparenzpflichten) bzw keinem Risiko unterscheidet, Rechnung zu tragen, sind die verwendeten KI-Systeme und KI-Anwendungen entsprechend zu kategorisieren.
Dabei kann beispielsweise ein standardisierter Fragebogen, welcher die Parameter des AI Act abbildet, herangezogen werden. Wichtig für die Einordnung sind insbesondere jene Tatbestände, die ein inakzeptables oder hohes Risiko ausweisen - diese werden im AI Act entsprechend aufgelistet. So sind beispielsweise folgende KI-Praktiken mit einem inakzeptablen Risiko verbunden und daher seit verboten:
Unterschwellige Beeinflussung oder manipulative Techniken, mit dem Ziel einer (wahrscheinlich) schadhaften Verhaltensänderung.
Umfassendes Social Scoring, das zu einer Schlechterstellung führen könnte.
Ableitung von Emotionen einer Person am Arbeitsplatz und in Bildungseinrichtungen.
Biometrische Kategorisierung von Personen zur Ableitung der ethnischen Zugehörigkeit, politischen Einstellungen, weltanschaulichen Überzeugungen etc.
Biometrische Echtzeit-Fernidentifikation zu Strafverfolgungszwecken an öffentlichen Orten (mit bestimmten Ausnahmen).
Während jene KI-Praktiken, die ein inakzeptables Risiko darstellen, im AI Act abschließend aufgezählt sind, gilt für KI-Systeme und KI-Anwendungen, die ein hohes Risiko darstellen, eine differenziertere Betrachtungsweise. Zunächst stellt der AI Act in Anhang III jene Bereiche fest, in denen ein Einsatz von KI als hochriskant anzusehen ist. Zu diesen Bereichen zählen (vereinfacht dargestellt):
bestimmte Aspekte von kritischen Infrastrukturen;
der Zugang zu und die Inanspruchnahme von wesentlichen privaten oder öffentlichen Dienstleistungen (zB Kreditwürdigkeitsprüfung, Risikoeinstufung bei Kranken- und Lebensversicherungen);
Strafverfolgung, Rechtspflege und demokratische Prozesse;
Verwaltung von Migration, Asyl und Grenzkontrollen;
Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit;
allgemeine und berufliche Bildung sowie
die Verwendung biometrischer Daten.
S. 66Zusätzlich sieht der AI Act einige Sonderbestimmungen und Ausnahmen vor, die entsprechend berücksichtigt werden müssen und weshalb eine Einzelfallbetrachtung der verwendeten KI-Systeme und KI-Anwendungen in diesen Bereichen wohl unumgänglich ist.
2.2. Compliance-Anforderungen
Wurde eine KI-Anwendung als hochriskant eingestuft, sind im Rahmen der Implementierung die entsprechenden Compliance-Anforderungen umzusetzen. Diese betreffen vor allem die Datenqualität und Daten-Governance - für Training, Validierung und Testen der Modelle, die technische Dokumentation, sowie Aufzeichnungspflichten zur Nachverfolgbarkeit, Transparenzvorgaben und Informationen zum Einsatz der KI-Modelle an die Betreiber, das Risikomanagement sowie die Genauigkeit, Robustheit und Cybersicherheit der Systeme. Darüber hinaus ist das Schlagwort „human in the loop“ im Rahmen der verpflichtenden menschlichen Aufsicht im AI Act verankert. Außerdem werden für die Anbieter und Betreiber von Hochrisiko-KI-Systemen bestimmte Pflichten festgelegt, beispielweise betreffend deren Qualitätsmanagement oder die verpflichtende Konformitätsbewertung und -erklärung.
3. Umsetzung als Bürokratiemonster oder Mehrwertstifter?
Während der AI Act sicherlich viele Organisationen und Unternehmen bei der Umsetzung vor große Herausforderungen stellt und zunächst als „Bürokratiemonster“ erscheinen mag, birgt die Implementierung doch auch Chancen. So sollten eine starke Daten-Governance und hohe Datenqualität nicht erst aufgrund des AI Act zum Zielbild ausgerufen worden sein und auch die weiteren Anforderungen in einem technisch geprägten Umfeld bereits zum Alltag gehören. Der AI Act erfordert nun erstmals eine systematische Erfassung der KI-Anwendungen und KI-Systeme, was durchaus als Anlass für ein größer angelegtes „Durchforsten“ der bestehenden Systemlandschaft und -architektur herangezogen werden könnte.
Im letzten Teil der Serie „KI im Fokus“ (CFOaktuell Heft 3/2025) beleuchten wir, wie im Rahmen von „AI by Design“ eine solche mehrwertstiftende Implementierung des AI Act möglich sein kann.
