EU-AI-Act: Die EU reguliert künstliche Intelligenz
Der EU-AI-Act schafft einen einheitlichen Rechtsrahmen für den Einsatz von künstlicher Intelligenz (KI) in der EU. Alle KI-Systeme werden in Risikoklassen eingestuft. Für alle Anwender und Anbieter von KI-Systemen ergeben sich je nach Einstufung Verbote oder Pflichten.
- Wie wirkt sich der EU-AI-Act auf Unternehmen aus?
- Was ist ein KI-Modell?
- Was ist ein KI-System?
- Was ist das Ziel des EU-AI-Act?
- Welche Risikoklassen gibt es und welche Regulierungsmaßnahmen gelten?
- Ab wann gilt der EU-AI-Act?
- Für welchen Anwendungsbereich gilt der EU-AI-Act?
- Welche Pflichten gelten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck?
- Wie wird der EU-AI-Act durchgesetzt?
- Welche Sanktionen gibt es bei Verstößen?
- Welche Unterstützung gibt es für KMU und Start-ups?
- Brauchen Unternehmen KI-Kompetenz? Wissenswertes für Arbeitgeber
- Verstößt die Nutzung von künstlicher Intelligenz gegen Urheberrechte?
- Wie sind KI-Systeme mit dem Datenschutzrecht vereinbar?
Wie wirkt sich der EU-AI-Act auf Unternehmen aus?
Im Folgenden wird aufgezeigt, was genau sich hinter der Regulierung des Einsatzes künstlicher Intelligenz in Europa verbirgt, welche Regelungen jeweils auf wen anzuwenden sind.
Drei Punkte vorab, die für alle Unternehmen Relevanz haben:
- Jedes Unternehmen muss überprüfen ob es Anbieter oder Anwender eines KI-System oder KI-Modells ist und eine Einteilung in die Risikoklassen vornehmen
- Am häufigsten werden Unternehmen von Transparenzpflichten betroffen sein. Beispiel: Es ist kenntlich zu machen, dass der Kunde mit einem Chatbot kommuniziert
- Alle Unternehmen müssen sich damit auseinandersetzen, ihren Mitarbeitern Kompetenzen im Umgang mit KI zu vermitteln. Maßnahmen sind KI-Richtlinien zum Umgang mit KI und Schulung der verwendeten Tools, sowie Anpassung von Datenschutzvereinbarungen.
Was ist ein KI-Modell?
Ein KI-Modell ist eine Anwendung, die auf spezifische Algorithmen trainiert ist, die ihr helfen, menschliche Intelligenz nachzuahmen, um Vorhersagen zu treffen, Muster zu finden und Entscheidungen zu treffen. Beispiel für KI-Modelle sind Chatbots, die interaktiv reagieren und Fragen beantworten, die ein Benutzer in ein Textfeld eingibt.
Das KI-Modell wird gerne auch als Herzstück der künstlichen Intelligenz beschrieben. Es bildet die technologische Basis für KI-Systeme.
Auszug aus den Erläuterungen des EU-KI-Act
Der Begriff "KI-Modelle mit allgemeinem Verwendungszweck“ sollte klar bestimmt und vom Begriff der KI-Systeme abgegrenzt werden, um Rechtssicherheit zu schaffen. Die Begriffsbestimmung sollte auf den wesentlichen funktionalen Merkmalen eines KI-Modells mit allgemeinem Verwendungszweck beruhen, insbesondere auf der allgemeinen Verwendbarkeit und der Fähigkeit, ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen. Diese Modelle werden in der Regel mit großen Datenmengen durch verschiedene Methoden, etwa überwachtes, unüberwachtes und bestärkendes Lernen, trainiert.KI-Modelle mit allgemeinem Verwendungszweck können auf verschiedene Weise in Verkehr gebracht werden, unter anderem über Bibliotheken, Anwendungsprogrammierschnittstellen (API), durch direktes Herunterladen oder als physische Kopie. Diese Modelle können weiter geändert oder zu neuen Modellen verfeinert werden. Obwohl KI-Modelle wesentliche Komponenten von KI-Systemen sind, stellen sie für sich genommen keine KI-Systeme dar.Damit KI-Modelle zu KI-Systemen werden, ist die Hinzufügung weiterer Komponenten, zum Beispiel einer Nutzerschnittstelle, erforderlich. KI-Modelle sind in der Regel in KI-Systeme integriert und Teil davon. Diese Verordnung enthält spezifische Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck und für KI-Modelle mit allgemeinem Verwendungszweck, die systemische Risiken bergen.Große generative KI-Modelle sind ein typisches Beispiel für ein KI-Modell mit allgemeinem Verwendungszweck, da sie eine flexible Erzeugung von Inhalten ermöglichen, etwa in Form von Text- Audio-, Bild- oder Videoinhalten, die leicht ein breites Spektrum unterschiedlicher Aufgaben umfassen können.
Was ist ein KI-System?
Das KI-System ist die Anwendung, die ein KI-Modell nutzbar macht. Mit Benutzeroberfläche, technischer Infrastruktur und zusätzlichen Funktionen liefert es ein Endprodukt. Beispiele für KI-Systeme sind u. a. Navigationssysteme, Assistenzsysteme, Spamfilter etc.
Der KI-Act (Art. 3) legt fest: Ein KI‑System ist ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.
Liegt ein KI-System vor, ist weiter zu entscheiden, in welche der vier Risikoklassen es fällt. Je höher das Risiko, desto strenger sind die Anforderungen an die Akteure, die ein KI-System anbieten oder nutzen. Zu den Anforderungen zählen Risikobewertungen, Dokumentationspflichten, Konformitätserklärungen und Überwachungspflichten.
Das Conformity-Tool des Europäischen Instituts für Innovation und Technologie (EIT) ist hilfreich, um schnell herauszufinden, unter welche Risikoklasse ein KI-System fällt: EU AI Act Conformity Tool
Was ist das Ziel des EU-AI-Act?
KI hat das Potenzial vielfältige Vorteile für Wirtschaft und Gesellschaft hervorzubringen. Als Beispiele können genannt werden:
- Verbesserung von Prognosen
- Optimierung der Ressourcennutzung
- Personalisierung von Dienstleistungen
Dieselben KI-Faktoren, die einen sozioökonomischen Nutzen erbringen, bergen aber auch neue Gefahren und Nachteile für unsere Gesellschaft. Beispielsweise neigen KI-Systeme, die auf unzureichenden Trainingsdaten basieren, dazu, Vorurteile zu übernehmen und dadurch diskriminierende Entscheidungen zu treffen. Die EU möchte deshalb sicherstellen, dass KI immer im Einklang mit den Werten, Grundrechten und Prinzipien der EU entwickelt wird.
Erklärte Position zum AI-Act des EU-Parlaments
Die Vorschriften sollen die Entwicklung, den Einsatz und die Nutzung von menschenzentrierten, vertrauenswürdigen KI-Systemen in der EU regeln und Gesundheit, Umwelt, Sicherheit, Grundrechte und Demokratie vor schädlichen Folgen schützen.
Welche Risikoklassen gibt es und welche Regulierungsmaßnahmen gelten?
| Risikoklasse | Regulierungsmaßnahmen | Beispiel für betroffene KI-Systeme |
Gilt ab |
|---|---|---|---|
| Unannehmbares Risiko | Verboten |
|
Februar 2025 |
| Hohes Risiko |
|
|
August 2026 |
| Begrenztes Risiko | Transparenzpflichten: Nutzer müssen informiert werden, dass sie mit einer KI interagieren. |
|
August 2025 |
| Minimales Risiko | Keine speziellen Anforderungen |
|
/ |
Ab wann gilt der EU-AI-Act?
Die EU-Staaten haben die Verordnung am 13. Juni 2024 verabschiedet und sie ist seit dem 1. August 2024 in Kraft. Grundsätzlich findet sie erst nach einer Übergangszeit von 24 Monaten – d. h. August 2026 – Anwendung.
Einige Vorschriften sind aber bereits früher anwendbar:
- KI-Systeme mit unannehmbarem Risiko sind bereits nach sechs Monaten verboten (Februar 2025)
- Vorschriften zu KI-Modellen mit allgemeinem Verwendungszweck greifen nach zwölf Monaten (August 2025)
Für welchen Anwendungsbereich gilt der EU-AI-Act?
Diese Akteure sind vom AI-Act betroffen:
- Anbieter (auch aus Drittländern), die KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen
- Nutzer von KI-Systemen, die sich innerhalb der EU befinden
- Anbieter und Nutzer von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das vom System hervorgebrachte Ergebnis innerhalb der EU verwendet, wird
Ausnahmen, die nicht vom Anwendungsbereich umfasst sind:
- KI-Systeme für ausschließlich militärische Zwecke
- Internationale Organisationen, die KI-Systeme im Bereich der Strafverfolgung in Zusammenarbeit mit der EU oder mindestens einem Mitgliedsstaat nutzen
- Forschungs- und Entwicklungsaktivitäten zu KI-Systemen
- Open-Source-Software unterliegt im Allgemeinen nicht der Regulierung, es sei denn, sie wird aufgrund ihrer Anwendung als verbotenes oder hochriskantes KI-System eingestuft
- Für Kleinunternehmen (in der Regel unter zehn Mitarbeitenden und Jahresumsatz unter zwei Millionen Euro) gelten Vereinfachungen (Art. 63 des AI-Act). Entsprechende Leitlinien werden noch ausgearbeitet.
Regelungsinhalte
Die Verordnung enthält:
- Vorschriften für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI‑Systemen in der Union
- Verbote bestimmter Praktiken im KI‑Bereich
- Besondere Anforderungen an Hochrisiko-KI‑Systeme und Pflichten für Akteure in Bezug auf solche Systeme
- Transparenzvorschriften für bestimmte KI‑Systeme
- Vorschriften für das Inverkehrbringen von KI‑Modellen mit allgemeinem Verwendungszweck
- Vorschriften für die Marktbeobachtung sowie die Governance und Durchsetzung der Marktüberwachung
- Maßnahmen zur Innovationsförderung mit besonderem Augenmerk auf KMU, einschließlich Start-up-Unternehmen
Welche Pflichten gelten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck?
KI-Modellen mit allgemeinem Verwendungszweck (General Purpose Artifical Intelligence, GPAI) unterliegen dann besonderen Pflichten, wenn sie ein systemisches Risiko bergen. Das ist der Fall, wenn Sie einen hohen Wirkungsgrad entfalten.
Für normale GPAI gilt (AI-Act Art. 53):
- Die Notwendigkeit des Erstellens und Aktualisierens technischer Dokumentationen
- Die Anforderung einer detaillierten Aufstellung über die Verwendung urheberrechtlich geschützter Trainingsdaten
- Anforderungen zur Kennzeichnung generierter Inhalte
Für GPAI mit erheblichen Auswirkungen (AI-Act Art. 55), worunter man “sehr leistungsstarke” Basismodelle, die systemische Risiken bergen können, versteht, gilt zusätzlich:
- Pflichten in Bezug auf die Überwachung schwerwiegender Vorfälle
- Modellbewertung
- Angriffstests
Wie wird der EU-AI-Act durchgesetzt?
Jedes EU-Land muss bis August 2025 eine nationale KI-Aufsichtsbehörde benennen. Diese Behörde hat neben der entsprechenden Überwachungsfunktion zusätzlich die Aufgabe, Innovation und Wettbewerb zu fördern. In Deutschland ist für die Rolle die Bundesnetzagentur vorgesehen, die Datenschutzbehörden werden als untergeordnete Stellen beteiligt.
Auf EU-Ebene werden die nationalen Aufsichtsbehörden im Ausschuss für künstliche Intelligenz vertreten. Zusätzlich befasst sich das Amt für künstliche Intelligenz (AI-Office) mit der Überwachung, Beaufsichtigung und Durchsetzung der Anforderungen des AI-Acts an KI-Modelle mit allgemeinem Verwendungszweck (GPAI).
Welche Sanktionen gibt es bei Verstößen?
Die Strafen für Verstöße gegen die Vorschriften werden entsprechend der Größe und dem Geschäftszweck des Unternehmens festgelegt.
- Anwendung verbotener KI-Systeme: Bis 35 Mio. EUR oder 7 Prozent des Umsatzes.
- Verstöße gegen Verpflichtungen des AI-Acts: Bis 15 Mio. EUR oder 3 Prozent des Umsatzes.
- Angabe falscher Informationen: Bis 7,5 Mio. EUR oder 1,5 Prozent des Umsatzes.
Welche Unterstützung gibt es für KMU und Start-ups?
Um europäische Start-ups und KMU bei der Entwicklung von AI-Act konformen KI-Systemen zu unterstützen, sollen sogenannte KI-Reallabore entstehen. Sie sollen eine Möglichkeit bieten, KI-Systeme unabhängig und unter Regulierungsaufsicht zu entwickeln und zu testen, bevor sie auf den Markt kommen. Die KI-Reallabore sollen alle relevanten Akteure – öffentliche und private, einschließlich notifizierter Stellen, Normungsorganisationen und Forschungseinrichtungen – einbeziehen und für KMU und Startups grundsätzlich kostenfrei sein.
Brauchen Unternehmen KI-Kompetenz? Wissenswertes für Arbeitgeber
Der EU AI-Act (Art. 4) setzt voraus, dass Arbeitgeber Ihre Beschäftigten mit KI-Kompetenz ausstatten und schulen.
Lesen Sie dazu auch unseren Artikel EU AI Act 2025: Vorschriften, Anforderungen und KI-Weiterbildung und nutzen Sie unsere KI-Weiterbildungsangebote.
Verstößt die Nutzung von künstlicher Intelligenz gegen Urheberrechte?
Diese Frage stellt sich in mehrerlei Hinsicht. Zunächst ist festzuhalten, dass KI erzeugte Werke grundsätzlich nicht unter den Schutz des Urhebergesetzes fallen. Dafür fehlt es an der “geistigen Schöpfung”.
Trotzdem ist Vorsicht geboten. Zum Anlernen von Trainingsdaten dürfen urheberrechtlich geschützte Werke nicht verwendet werden. Demzufolge sind auch Ergebnisse eines KI-Systems nicht verwendbar, wenn sie auf urheberrechtlich geschützten Werken beruhen.
Lesen Sie mehr in der FAQ des BMJ zu künstlicher Intelligenz und Urheberrecht sowie in unserem Artikel zum Urheberrecht.
Funfact: Besonders aufwändig gestaltete Prompts haben die Chance vom Urheberrecht als Sprachwerk gemäß § 2Abs. 1 Nr 1 UrhG geschützt zu sein.
Wie sind KI-Systeme mit dem Datenschutzrecht vereinbar?
Im Spannungsfeld von Künstlicher Intelligenz und Datenschutz können insbesondere Transparenz, Datenminimierung und Zweckbindung stehen.
Der EU-AI-Act hat insbesondere den Schutz von Persönlichkeitsrechten zum Ziel. Wie beschrieben sind z. B. Systeme, die social scoring ermöglichen, verboten. Das Datenschutzrecht mit einer ähnliche Schutzrichtung der persönlichen Daten eines Einzelnen, bleibt parallel bestehen. Wenn ein Unternehmen mit einem KI-Anbieter einen Vertrag schließt, dann ist dieser Auftragsdatenverarbeiter.
IHK-Newsletter
Bleiben Sie up to date zum Thema Recht und Steuern. Mit unserem kostenfreien Newsletter informieren wir Sie über aktuelle Themen und Veranstaltungen. Jetzt Rubrik ”Recht und Steuern” auswählen und Newsletter abonnieren.
Bleiben Sie up to date zum Thema Recht und Steuern. Mit unserem kostenfreien Newsletter informieren wir Sie über aktuelle Themen und Veranstaltungen. Jetzt Rubrik ”Recht und Steuern” auswählen und Newsletter abonnieren.