Quick Navigation
Für Sie erreichbar.
E-Mail: info@bskp.de
Kontaktformular

Bleiben Sie auf dem Laufenden.
Newsletteranmeldung
BSKP Logo Untertitel

Wonach suchen Sie ?

ÜBER­BLICK ZUM AI-ACT

Ratgeber Recht

Mit dem „Arti­fi­ci­al Intel­li­gence Act“ (AI-Act) ver­sucht die Euro­päi­sche Uni­on durch regu­la­to­ri­sche Über­wa­chungs­an­for­de­run­gen für KI-Sys­te­me mög­li­che Risi­ken wie der Dis­kri­mi­nie­rung, Ein­schrän­kun­gen zur frei­en Mei­nungs­äu­ße­rung, dem Miss­brauch per­so­nen­be­zo­ge­ner Daten sowie die Pri­vat­sphä­re des Ein­zel­nen und der Men­schen­wür­de vorzubeugen.

Der AI-Act wird für alle Unter­neh­men im EU-Raum gel­ten. Die Euro­päi­sche Uni­on hat sich für den Ansatz der Risi­ko­ana­ly­se ent­schie­den: Unter­neh­men, wel­che ein KI-Sys­tem ver­wen­den, sind dazu ver­pflich­tet, das damit ein­her­ge­hen­de Risi­ko zu bewer­ten, zu doku­men­tie­ren und gegen­über der zustän­di­gen Behör­de des jewei­li­gen Mit­glieds­staa­tes eine Mit­tei­lung vor­zu­neh­men. Da es sich um eine Ver­ord­nung han­delt, gilt die­se unmit­tel­bar in jedem Mit­glieds­staat der Euro­päi­schen Uni­on und bedarf kei­nes natio­na­len Umsetzungsaktes.

Die EU nimmt eine Kate­go­ri­sie­rung der KI-Sys­te­me in unter­schied­li­che Risi­koklas­sen vor. Aus­ge­hend von der Risi­koklas­se wer­den an die Unter­neh­men spe­zi­fi­sche Anfor­de­run­gen for­mu­liert, wel­che von die­sen bei Ver­wen­dung eines sol­chen KI-Sys­tems ein­zu­hal­ten sind:

 

  1. Unan­nehm­ba­res Risiko

Dies sind Sys­te­me, die auto­ma­tisch ver­bo­ten sind. Unter­neh­men kön­nen sol­che KI-Sys­te­me nicht ein­set­zen, bereit­stel­len, in den Ver­kehr brin­gen oder ver­wen­den, z.B.

  • bio­me­tri­sche Iden­ti­fi­ka­ti­ons­sys­te­me in Echtzeit
  • geziel­tes Aus­le­sen von Gesich­tern und Erstel­len von Daten­ban­ken zur Gesichtserkennung
  • Sys­te­me, die Rück­schlüs­se auf mensch­li­che Emo­tio­nen zum Zweck des Social Scoring oder der kogni­ti­ven Ver­hal­tens­ma­ni­pu­la­ti­on zulas­sen (am Arbeits­platz und in Bildungseinrichtungen)

 

  1. Hohes Risi­ko

Hoch­ri­si­ko-KI-Sys­te­me erfor­dern unter­neh­mer­sei­ti­ge Pflich­ten als Anbie­ter und Betrei­ber, wie Doku­men­ta­ti­on und Auf­be­wah­rung oder Benen­nung eines Bevoll­mäch­tig­ten etc. Fol­gen­de Sys­te­me gel­ten als hochriskant:

  • Ent­schei­dun­gen über den Zugang oder die Zuwei­sung natür­li­cher Per­so­nen zu Ein­rich­tun­gen der all­ge­mei­nen und beruf­li­chen Bildung
  • Bewer­tung von Schü­lern sol­cher Einrichtungen
  • Per­so­nal­be­schaf­fung, Per­so­nal­ent­schei­dun­gen hin­sicht­lich Beför­de­run­gen oder Kün­di­gung von Arbeits­ver­hält­nis­sen und Arbeitsanweisungen
  • Über­wa­chung und Bewer­tung der Leis­tung und des Ver­hal­tens von Arbeitnehmern
  • Prü­fun­gen, z.B. Kreditwürdigkeit

 

  1. Begrenz­tes Risiko

Bei die­sen KI-Sys­te­men wie z.B. Chat­bots sind ledig­lich Trans­pa­renz- und Infor­ma­ti­ons­pflich­ten zu erfül­len. Der Nut­zer soll wis­sen, dass er mit einem KI-Sys­tem inter­agiert. Von einem KI-Sys­tem gene­rier­te Audio‑, Video- und Foto­auf­nah­men müs­sen gekenn­zeich­net sein.

 

  1. Mini­ma­les Risi­ko / Kein Risiko

Bei die­ser Kate­go­rie bestehen kei­ner­lei Ver­pflich­tun­gen. Bei­spie­le wären Emp­feh­lungs­sys­te­me oder Spam-Filter.

 

Die EU-Kom­mis­si­on der­zeit davon aus, dass die meis­ten Sys­te­me in die bei­den zuletzt beschrie­be­nen Kate­go­rien fal­len. Die meis­ten Appli­ka­tio­nen ver­wen­den kei­ne per­so­nen­be­zo­ge­nen Daten oder tref­fen Vor­her­sa­gen mit Ein­fluss auf Menschen.

 

Rol­len, die der AI-Act vorsieht

Eine wei­te­re Unter­schei­dung hin­sicht­lich der Pflich­ten wird die Rol­le sein: Ist man Anbie­ter, Nut­zer oder ande­rer Beteiligter?

Sank­tio­nen

  • Ein­satz ver­bo­te­ner KI-Sys­te­me: Geld­bu­ßen bis 35 Mio. € oder 7 % des Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Geschäftsjahres
  • Ver­stö­ße gegen Pflich­ten oder Trans­pa­renz­pflich­ten: Geld­bu­ßen bis 15 Mio. € oder 3% des Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Geschäftsjahres
  • Falsch­an­ga­ben an Behör­den: Geld­bu­ßen bis 7,5 Mio. € oder 1 % des Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Geschäftsjahres

 

Gül­tig­keit der Verordnung

  • Seit 2. August 2024: Ver­ord­nung ist in Kraft getre­ten und wird suk­zes­si­ve zur Anwen­dung gebracht
  • Ab 2. Febru­ar 2025: Ver­bo­te­ne KI-Sys­te­me → Geld­bu­ßen bei Verstößen
  • Ab 2. August 2025: Regeln für KI-Model­le mit all­ge­mei­nem Verwendungszweck
  • Ab 2. August 2026: Ver­ord­nung grund­sätz­lich anwendbar
  • Ab 2. August 2027: Vor­schrif­ten für Hoch­ri­si­ko-KI-Sys­te­me (gilt nur für Anhang I des AI-Act)

 

Hin­weis

Für die meis­ten Anbie­ter und Betrei­ber wird der 2. August 2025 rele­vant sein, da zu die­sem Stich­tag sicher­ge­stellt sein soll­te, dass die vor­ge­se­he­nen Pflich­ten ein­ge­hal­ten wer­den. Hin­sicht­lich der Anbie­ter von Hoch­ri­si­ko-KI-Sys­te­men wird man Pro­zes­se defi­nie­ren müs­sen für das sys­te­ma­ti­sche Iden­ti­fi­zie­ren, Bewer­ten und den Umgang mit gefun­de­nen Risi­ken. Dies kann zu Anpas­sun­gen der Sys­te­me füh­ren, um Pro­to­kol­lie­run­gen oder Funk­tio­nen zu ermög­li­chen, wodurch der Nut­zer der Anwen­dung wider­spre­chen kann.

 

Unse­re Emp­feh­lun­gen für Unternehmen

  • Ana­ly­sen der KI-Sys­te­me auf Kon­for­mi­tät durchführen
  • Richt­li­ni­en und Ver­hal­tens­ko­dex im Umgang mit KI-Sys­te­men implementieren
  • Anpas­sung der inter­nen Pro­zes­se an die Vor­ga­ben des AI-Acts
  • fort­lau­fen­de Über­prü­fung, ob die Anfor­de­run­gen des AI-Acts bereits durch vor­han­de­ne Regu­la­ri­en (Über­prü­fungs­zy­klen, tech­no­lo­gi­sche Anpas­sun­gen an Ent­wick­lun­gen und regu­la­to­ri­sche Ände­run­gen, fort­lau­fen­de Schu­lun­gen) erfüllt wer­den oder ent­spre­chen­der Hand­lungs­be­darf besteht
  • Auf­bau eines unter­neh­mens­in­ter­nes Know­hows zu Daten­stra­te­gien und Risi­ko­ma­nage­ment (Not­fall- und Eskalationsprozesse)
  • Test von KI-Sys­te­men in Sand­box-Umge­bun­gen vor Ein­satz in der Praxis

 

Quel­le: Vor­schrif­ten für künst­li­che Intel­li­genz (AI-Act)

 

Wei­te­re Nachrichten …