Risk & Cyber Insights 

Worum geht es im EU AI Act?

Der EU AI Act regelt die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen in der EU. Er beinhaltet unter anderem Leitlinien für den Umgang mit verschiedenen Kategorien von KI-Systemen, eingeteilt nach deren Risikopotenzial.

Wann tritt er in Kraft?

Die Verordnung wurde im 1. Halbjahr 2024 von allen 27 EU-Mitgliedsstaaten, durch das europäische Parlament und zuletzt durch den europäischen Rat beschlossen.

Die Verordnung wurde am 12. Juli 2024 im europäischen Amtsblatt veröffentlicht und gilt damit als final.

Wen betrifft der EU AI Act?

Der EU AI Act betrifft die überwiegende Mehrheit der KI-Systeme, die im Rahmen einer beruflichen Tätigkeit genutzt werden. Die Größe des Unternehmens spielt dabei keine Rolle – auch Ein-Personen-Unternehmen können vom EU AI Act betroffen sein. Ist dies der Fall, müssen sie auch die konkreten Anforderungen umsetzen.

Ob Ihr Unternehmen betroffen ist, hängt von der Art ab, wie Sie künstliche Intelligenz nutzen. KI-Systeme, die allein der wissenschaftlichen Forschung und Entwicklung dienen, sind von der Verordnung ausgenommen.
Anbieter von betroffenen KI-Systemen müssen außerdem deutlich höhere Anforderungen erfüllen als Betreiber.

Welche Sanktionen gibt es?

Die Strafen im EU AI Act sind hoch und können bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes betragen. Die Höhe der Strafe ist abhängig von der Risiko-Kategorie, in die das KI-System fällt,

Welche Kategorien von KI-Systemen werden im EU AI Act unterschieden?

Die Verordnung unterscheidet vier Kategorien von KI-Systemen: Verbotene AI-Praktiken, Hochrisiko-Systeme, Systeme mit Transparenzpflichten und KI-Modelle mit allgemeinem Verwendungszweck.
 

Verbotene KI-Praktiken dürfen z.B. bereits 6 Monate nach Inkrafttreten nicht mehr angewendet werden. Darunter fallen KI-Systeme zum Social Engineering oder zur Emotionserkennung.

Hochrisiko-Systeme werden in streng regulierten Bereichen verwendet (z.B. in der Luftfahrt oder bei Medizinprodukten). Ebenfalls in diese Kategorie fallen bestimmte, im Anhang III des EU AI Act angeführte Tätigkeiten, wie KI-Systeme in der kritischen Infrastruktur, der Bildung oder des Personalmanagements. Für diese KI-Systeme sind 24 bzw. 36 Monate nach Inkrafttreten des EU AI Acts die Pflichten gemäß der Verordnung zu erfüllen. Dazu gehören ein umfassendes Qualitätsmanagementsystem oder auch gewisse Registrierungspflichten.

Für die dritte Kategorie von KI-Systemen gelten die Transparenzpflichten bereits 12 Monate nach Inkrafttreten der Verordnung. Darunter fallen bspw. KI-Systeme, die direkt mit natürlichen Personen, wie Kund:innen, interagieren.

Die vierte Kategorie betrifft KI-Modelle mit allgemeinem Verwendungszweck, im Englischen bekannt als General Purpose AI. Für diese sind aufgrund ihrer vielfältigen Einsatzmöglichkeiten weitere Pflichten festgelegt. Sie hat für die meisten Unternehmen nur geringe Relevanz.

Welche Maßnahmen müssen Unternehmen setzen?

In einem ersten Schritt müssen Unternehmen erkennen, welche KI-Systeme in ihrem Unternehmen zurzeit im Einsatz sind und ob diese in eine der vom EU AI Act abgedeckten Kategorien fällt.

Weiters ist die eigene Rolle zu bestimmen – wurde das KI-System im eigenen Unternehmen entwickelt, fallen deutlich höhere Pflichten gegenüber Betreibern an.

Falls verbotene KI-Praktiken verwendet werden, müssen diese zeitnah gestoppt werden. Im Falle der anderen im EU AI Act abgedeckten Kategorien sind die jeweiligen Verpflichtungen, z.B. Transparenzpflichten, umzusetzen.

Ab einer gewissen Unternehmensgröße sollte auch die Einführung einer klaren Daten- bzw. KI-Governance geprüft werden um die Chancen und Herausforderungen rund um KI möglichst effizient zu meistern.

Der EU AI Act kann jedes Unternehmen betreffen, egal ob es sich um einen internationalen Finanzdienstleistungskonzern handelt, oder den Bäcker ums Eck. Relevant ist nur, ob und welche Art von KI ein Unternehmen einsetzt. Wer also einen Chatbot zum Kund:innensupport nutzt oder KI-basierte Software zur Automatisierung von Buchhaltungsaufgaben verwendet, muss sich mit den regulatorischen Vorgaben, wie dem EU AI Act, auseinandersetzen.