Der EU AI Act ist da – und wir zeigen euch, wie man damit richtig durchstartet!

Der EU AI Act:

Was jetzt gilt, wenn du mit KI arbeitest

Der EU AI Act ist keine Zukunftsvision mehr, sondern geltendes Recht. Im Juni 2024 ist der AI Act in Kraft getreten, und die Verpflichtungen gelten gestaffelt: Verbotene Systeme gelten ab Anfang 2025, Pflichten für allgemeine KI (General-Purpose AI, GPAI) ab Mitte 2025, und die Vorschriften für Hochrisiko-Systeme sowie Konformitätsbewertungen ab 2026. Ganz egal, ob du im Marketing, HR, Kundenservice oder der Produktentwicklung arbeitest, denn fast überall kommen inzwischen KI-Tools zum Einsatz. ChatGPT, Copilot, Firefly (Adobe) oder andere Helfer sind längst fester Bestandteil unseres Arbeitsalltags.

Aber: Die Zeiten, in denen man einfach drauflos genutzt hat, sind vorbei. Jetzt gibt es Regeln. Und die gelten nicht nur für große Tech-Konzerne, sondern auch für Start-ups, Mittelständler, Projektteams und Einzelpersonen, die KI beruflich einsetzen.

Was ist eigentlich

Künstliche Intelligenz?

Im Kern geht es darum, dass Maschinen Dinge tun, die wir normalerweise mit menschlicher Intelligenz verbinden – zum Beispiel Texte schreiben, Entscheidungen vorbereiten, Bilder generieren oder Sprache verarbeiten. Was genau darunter fällt, hängt vom jeweiligen Tool ab und vom Risiko, das mit dem Einsatz verbunden ist. Genau hier setzt der EU AI Act an.

Allgemeine KI

(General-Purpose AI)

Allgemeine KI, auch bekannt als General-Purpose AI (GPAI), bezieht sich auf KI-Systeme, die für eine Vielzahl von Aufgaben und Anwendungen eingesetzt werden können. Diese Systeme sind nicht auf eine spezifische Aufgabe beschränkt, sondern können flexibel in verschiedenen Kontexten genutzt werden. Beispiele für GPAI sind große Sprachmodelle wie ChatGPT, die für Übersetzungen, Textgenerierung, Beantwortung von Fragen und vieles mehr verwendet werden können. GPAI-Systeme sind in der Regel vielseitig einsetzbar und können an verschiedene Anwendungsfälle angepasst werden.

Der EU AI Act enthält spezifische Bestimmungen für GPAI-Modelle, insbesondere für solche, die systemische Risiken bergen. Diese Modelle müssen strenge Anforderungen erfüllen, darunter:

– Bewertung und adversarische Tests: Anbieter von GPAI-Modellen müssen ihre Modelle regelmäßig bewerten und adversarische Tests durchführen, um potenzielle Risiken zu identifizieren und zu mindern.

– Meldung von Vorfällen: Ernsthafte Vorfälle, die im Zusammenhang mit der Nutzung von GPAI-Modellen auftreten, müssen an das AI Office gemeldet werden.

– Cybersicherheitsmaßnahmen: GPAI-Modelle müssen ausreichende Cybersicherheitsmaßnahmen erfüllen, um sicherzustellen, dass sie vor Angriffen und Missbrauch geschützt sind.

Risikogruppen statt Pauschalverbote

Der Gesetzgeber unterscheidet vier Risikogruppen: Verbotene KI, Hochrisiko-KI, begrenzte Risiko-KI und minimale Risiko-KI.

Zu den verbotenen Systemen gehören etwa Tools, die Social Scoring betreiben, also versuchen, aus sozialen Netzwerken Informationen über Menschen zu ziehen, ohne deren Wissen. Oder Deepfakes, die so realistisch sind, dass man sie kaum von echten Aufnahmen unterscheiden kann.

Hochrisiko-KI umfasst Systeme, die für wichtige Entscheidungen eingesetzt werden: etwa bei der Diagnose schwerer Krankheiten, der Auswahl von Bewerbenden oder der Bonitätsprüfung. Hier gelten besonders strenge Anforderungen, inklusive Risikomanagement, Nachvollziehbarkeit, Sicherheitsstandards und menschlicher Kontrolle.

Ob ein konkretes Tool wie ChatGPT unter begrenztes Risiko fällt, hängt vom konkreten Anwendungsfall ab. GPT-4 in einer Bewerberplattform wäre beispielsweise Hochrisiko. Als reines Text-Tool zur Kreativunterstützung ist es wohl eher „geringes“ oder „begrenztes Risiko“.

Und dann gibt es noch das minimale Risiko: Tools wie Grammarly oder DeepL, die Inhalte korrigieren oder übersetzen, aber keine Entscheidungen vorbereiten oder Informationen neu erzeugen.

Was muss gekennzeichnet werden?

Sobald du KI-Inhalte weiterverwendest, die Dritten oder der Öffentlichkeit gegenüber verwendet werden, greift die Kennzeichnungspflicht. Das betrifft Texte, Bilder, Videos, Audio, Visualisierungen oder Empfehlungen. Es reicht also nicht, wenn du dir im Workshop nur einen Satz von ChatGPT generieren lässt und diesen im Protokoll stehen lässt, ohne Hinweis. Auch das muss gekennzeichnet werden, wenn es nach außen geht. Die Formulierung kann schlicht sein, zum Beispiel: „Dieser Text wurde mit Unterstützung eines KI-Tools erstellt.“ Oder: „Bildmaterial mithilfe von Künstlicher Intelligenz erzeugt.“

Für rein interne Notizen ohne Außenwirkung gibt es (noch) keine eindeutige Regelung – hier wäre eine „Best Practice“-Empfehlung präziser.

Entscheidend ist: Die Kennzeichnung muss direkt sichtbar sein und auch für Systeme auslesbar.

Was bedeutet das für Unternehmen?

Es braucht klare Strukturen. Die Nutzung von KI darf kein Zufallsprodukt mehr sein. Es muss definiert werden, welche Tools eingesetzt werden dürfen, wie mit KI-Inhalten umgegangen wird, wie Kennzeichnung funktioniert, wer intern zuständig ist und wie der Datenschutz berücksichtigt wird. Besonders bei Hochrisiko-KI, etwa im HR-Bereich bei automatisierter Bewerberbewertung, kommen technische Dokumentationspflichten und Konformitätsprüfungen dazu.

Wer das ignoriert, geht ein echtes Risiko ein. Bei Verstößen gegen den AI Act drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist.

AI Regulatory Sandboxes

Jeder Mitgliedstaat muss mindestens einen regulatorischen Sandbox für KI auf nationaler Ebene bis zum 2. August 2026 einrichten. Diese Sandboxes bieten eine kontrollierte Umgebung, in der Unternehmen KI-Systeme unter Aufsicht testen können, um die Einhaltung der Vorschriften zu gewährleisten. Die Sandboxes sind besonders nützlich für Unternehmen, die innovative KI-Lösungen entwickeln und testen möchten, ohne sofort alle regulatorischen Anforderungen erfüllen zu müssen. Sie ermöglichen es Unternehmen, ihre Systeme in einer realen Umgebung zu testen und gleichzeitig Feedback von Regulierungsbehörden zu erhalten.

Die Sandboxes bieten mehrere Vorteile:

– Innovationsförderung: Unternehmen können neue KI-Technologien und -Anwendungen in einer sicheren Umgebung testen und weiterentwickeln.

– Regulatorische Unterstützung: Unternehmen erhalten Unterstützung und Anleitung von Regulierungsbehörden, um sicherzustellen, dass ihre KI-Systeme den Anforderungen des EU AI Act entsprechen.

– Risikominimierung: Durch die kontrollierte Testumgebung können potenzielle Risiken und Probleme frühzeitig identifiziert und behoben werden, bevor die Systeme auf den Markt kommen.

Die Einrichtung von AI Regulatory Sandboxes ist ein wichtiger Schritt, um die Innovation im Bereich der KI zu fördern und gleichzeitig sicherzustellen, dass die entwickelten Systeme sicher und ethisch verantwortungsvoll eingesetzt werden.

Unterstützung und Leitlinien

Die Europäische Kommission hat den AI Pact ins Leben gerufen, eine freiwillige Initiative, die Unternehmen dabei unterstützen soll, sich frühzeitig mit den wichtigsten Verpflichtungen des AI Act vertraut zu machen und diese umzusetzen. Dies soll den Übergang zum neuen regulatorischen Rahmen erleichtern.

Warum das Ganze?

Weil KI nicht nur Chancen bringt, sondern auch Verantwortung. Nutzer haben ein Recht darauf zu wissen, ob Inhalte von einem Menschen oder einer Maschine stammen. Und Unternehmen müssen sicherstellen, dass KI nicht unkontrolliert eingesetzt wird. Der EU AI Act will Sicherheit schaffen, für alle, die mit KI arbeiten oder mit ihren Ergebnissen in Kontakt kommen.

gezeichnete sandsurfing Figur in Beduinenkleidung

Was Unternehmen jetzt konkret klären sollten:

– Welche Tools nutzt ihr überhaupt?

Macht eine vollständige Übersicht. Was ist aktiv im Einsatz, offiziell und inoffiziell?

– In welche Risikogruppe fallen eure Tools?

Klassifiziert alle genutzten KI-Systeme, das ist die Grundlage für alle weiteren Maßnahmen. Das könnt ihr ganz einfach über die EU-Website für jedes einzelne Tool prüfen.

– Wie kennzeichnet ihr Inhalte?

Definiert klare, einheitliche Hinweise für Text, Bild, Audio und Video. Und sorgt dafür, dass alle sie nutzen.

– Wo dokumentiert ihr die KI-Nutzung?

Legt fest, wer was mit welchem Tool erstellt hat und wo das gespeichert wird.

– Wer darf welche Tools nutzen?

Legt Rollen, Freigaben und Grenzen fest. Nicht jede:r braucht Zugriff auf alles.

– Sind eure Tools datenschutzkonform?

Klärt, welche Daten eingegeben werden, wie sie verarbeitet werden und ob das DSGVO-konform ist.

– Sind eure Mitarbeitenden geschult?

Schulungen, Awareness-Formate und klare Guidelines sind Pflicht.

– Wer ist Ansprechperson bei Fragen?

Benennt intern eine zuständige Person oder ein kleines Team für KI-Fragen.

– Nutzt ihr Hochrisiko-KI?

Dann gelten weitere Pflichten: technische Dokumentation, Risikomanagement, Registrierung.

– Prüft ihr regelmäßig, was sich ändert?

Tools entwickeln sich weiter. Auch eure Regeln müssen regelmäßig auf den Prüfstand.

Zusammenarbeit und Harmonisierung

Fred 009_Sailing Crew hanseatisch zuverlässig ohne Foto

Der EU AI Act zielt darauf ab, ein harmonisiertes regulatorisches Umfeld für KI in der gesamten Europäischen Union zu schaffen. Dies soll sicherstellen, dass KI-Systeme sicher und ethisch eingesetzt werden und das Vertrauen der Nutzer in diese Technologien gestärkt wird. Die Zusammenarbeit zwischen den Mitgliedstaaten und der Europäischen Kommission ist entscheidend, um dieses Ziel zu erreichen.

Zukünftige Entwicklungen

Da sich die KI-Technologie schnell weiterentwickelt, wird der EU AI Act regelmäßig überprüft und aktualisiert, um sicherzustellen, dass er den neuesten technologischen Entwicklungen und Herausforderungen gerecht wird. Unternehmen sollten sich auf kontinuierliche Anpassungen und Updates der Vorschriften einstellen.

Fazit: Nicht warten, sondern starten

Der EU AI Act ist kein Denkmodell, sondern Realität und ja, er bringt neue Pflichten mit sich. Aber vor allem bringt er Struktur in ein Thema, das bislang oft wild gewachsen ist. Wer KI einsetzt, sollte das nicht nur technisch, sondern auch rechtlich und ethisch sauber tun. Jetzt ist der richtige Zeitpunkt, um intern Prozesse aufzusetzen, Awareness zu schaffen und Verantwortung zu übernehmen.

KI ist gekommen, um zu bleiben, der AI Act hilft uns dabei, den richtigen Umgang damit zu finden.

Nützliche Links:

Hier ein Einblick dazu wie wir mit KI arbeiten
Offizielle Seite der Europäischen Kommission zum EU AI Act: Hier findest du umfassende Informationen und offizielle Dokumente zum EU AI Act.
EU Artificial Intelligence Act – High-level Summary: Eine Zusammenfassung der wichtigsten Punkte des EU AI Act.
European Parliament – EU AI Act: Informationen des Europäischen Parlaments zum EU AI Act.
EU AI Act Compliance Checker: Ein Tool zur Überprüfung der Compliance mit dem EU AI Act.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analyse	11 Monate	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt.Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Analyse" zu speichern.
cookielawinfo-checkbox-externe-medien	11 Monate	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "externe Medien" zu speichern.
cookielawinfo-checkbox-necessary	11 Monate	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies der Kategorie "Notwendig" zu speichern.
viewed_cookie_einstellungen	11 Monate	Das Cookie wird vom GDPR Cookie Consent Plugin gesetzt und wird verwendet, um zu speichern, ob der Nutzer der Verwendung von Cookies zugestimmt hat oder nicht. Es speichert keine persönlichen Daten.