So setzt du den EU AI Act um, folgst der KI-Verordnung und gehst Bußgeldern aus dem Weg.
💡 Das Wichtigste zusammengefasst
Deine Mitarbeiter arbeiten mit ChatGPT, Copilot, Claude oder anderen KI-Tools?
Du planst KI-Tools zu implementieren, eigene Systeme zu entwickeln oder deine IT experimentiert bereits mit Large Language Modellen?
Dann wird der EU AI Act bzw. die KI-Verordnung für dich 2025 mehr als relevant.
In diesem Beitrag gebe ich dir meinen aktuell bestmöglichen Überblick, was du als Anwender und Unternehmen unbedingt wissen solltest, wie du Strafen vermeidest und der KI-Verordnung Folge leisten kannst.
Denn eigentlich geht es im Kern um eine sinnhafte, ethische, risikobewusste Nutzung.
Ich finde daher, dass wir die KI-Verordnung nicht als Problem, sondern als Chance sehen sollten, KI intern wesentlich strukturierter voranzutreiben und einzusetzen.
Alle Informationen basieren dabei auf dem mir verfügbaren Informationsstand 10-2024 und wurden zusammen mit Hochschuldozentin und zertifizierten AI-Act-Officer Ina Schöne erstellt.
Fragen EU AI Act und wie sich die KI-Verordnung im Unternehmen auswirkt?
Unverbindliche Erstberatung zum EU AI ActDie EU AI Act wurde am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht und regelt, wie wir in der EU KI-Systeme einstufen und wie Unternehmen bei der Nutzung umgehen sollen.
So steht in der Verordnung Folgendes ganz oben:
Zweck dieser Verordnung ist es [...] ein einheitlicher Rechtsrahmen insbesondere für die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und die Verwendung von Systemen künstlicher Intelligenz (KI-Systeme) in der Union im Einklang mit den Werten der Union festgelegt wird, um die Einführung von menschenzentrierter und vertrauenswürdiger künstlicher Intelligenz (KI) zu fördern und gleichzeitig ein hohes Schutzniveau in Bezug auf Gesundheit, Sicherheit und der in der Charta der Grundrechte der Europäischen Union („Charta“) verankerten Grundrechte, einschließlich Demokratie, Rechtsstaatlichkeit und Umweltschutz, sicherzustellen, den Schutz vor schädlichen Auswirkungen von KI-Systemen in der Union zu gewährleisten und gleichzeitig die Innovation zu unterstützen. Quelle
Du siehst also, wir möchten einen guten Umgang sicherstellen.
Warum betone ich das?
Manch einer mag sich aktuell beschweren, dass andere Länder viel schneller in der Entwicklung sind oder die EU schon jetzt den Anschluss verloren hat.
Aber dies ist keineswegs der Fall.
Wir mögen vielleicht etwas langsamer sein, aber dafür auch bedachter. Und dabei ist auch eines klar, die EU und Deutschland müssen ihren eigenen KI-Weg gehen.
Hierzulande entstehen seit Jahren tolle KI-Systeme, KI-Tools und Anwendungen, die ihren ganz eigenen Weg gehen.
Sei es eine private KI, die es Unternehmen ermöglicht, KI sicher intern zu hosten und zu verwalten, um interne Daten wirklich dem Unternehmen zugänglich und nutzbar zu machen bis hin zum KI-Service-Bot, der so trainiert wurde, dass Unternehmen ihn rechtskonform und robust einsetzen können.
Daher können wir den EU AI Act als Chance verstehen, uns mit KI zu entwickeln, keinen Schnellschüssen zu erliegen und Sicherheit für Entwickler und Anwender zu gewährleisten.
Die Risikokategorien im AI Act sollte eigentlich jeder kennen, denn sie geben die Regeln für verschiedene KI-Systeme vor, welche Anforderungen je nach System greifen und welche KI-Systeme verboten sind.
Der EU AI Act definiert diese vier Risikokategorien für KI-Systeme:
Das gesamte PDF zum EU AI Act und die 144 Seiten kannst du hier und hier finden.
Außerdem kannst du unseren CustomGPT nutzen, um mit dem PDF zu interagieren und dir Informationen zu extrahieren. Aber sei vorsichtig mit den generierten Ergebnissen und prüfe die Seitenverweise und Quellenangaben.
Eine leicht verdauliche Zusammenfassung der KI-Verordnung und den AI Act Explorer findest du auch auf der Seite des Artificial Intelligence Acts, betrieben vom Future of Life Institut durch Max Tegmark. Ich empfehle dir bei Interesse auch sein Buch Leben 3.0. Dieses Werk geht auf viele Facetten von KI und den Einfluss auf unser Leben in der Zukunft, Anekdoten und eventuelle Zukunftsszenarien ein.
Falls du dich fragst, ob der AI Act für dich gelten wird, ist die Antwort recht simpel. Wann immer du KI im Unternehmen im Einsatz hast, musst du den Anforderungen der KI-Verordnung folgen.
Der EU AI Act unterscheidet dabei zwischen verschiedenen Rollen im Zusammenhang mit KI-Systemen:
Anbieter (Provider)
Betreiber (Deployer)
Anwender (User)
Lass uns kurz auf eine der wohl meist verbreitetsten KI-Systeme blicken. Und warum das für dich und dein Unternehmen schnell relevant sein kann, weil du dann gemäß KI-Verordnung als Betreiber giltst.
Im EU AI Act wird der Begriff "Betreiber" als eine natürliche oder juristische Person, Behörde oder Einrichtung definiert, die ein KI-System für berufliche Zwecke in eigener Verantwortung verwendet. Ein Betreiber entwickelt das KI-System also nicht weiter, sondern setzt es für eigene berufliche Zwecke ein.
Wichtige Merkmale eines Betreibers sind:
Er nutzt das KI-System für eigene Zwecke, ohne es als eigenes Produkt anzubieten.
Die Verantwortung für die Nutzung liegt vollständig beim Betreiber, insbesondere wenn es um den beruflichen Einsatz des Systems geht.
Typische Beispiele könnten also sein:
Im Vergleich zu Anbietern haben Betreiber weniger umfangreiche Pflichten nach dem AI Act, sind jedoch für die regelkonforme Nutzung des KI-Systems verantwortlich.
Da keine strengen Verpflichtungen für begrenzte Risiko-Systeme wie ChatGPT bestehen, ist eine umfassende technische Dokumentation nicht sofort erforderlich. Trotzdem solltest du ab dem 2. August 2025, die Transparenz- und Nutzungsvorgaben erfüllen, wenn du ChatGPT beruflich einsetzt. Kapitel V (einschließlich der Transparenzpflichten für begrenzte Risiko-KI-Systeme) tritt ab dem 2. August 2025 in Kraft.
Der EU AI Act bzw. die KI-Verordnung ist bereits in Kraft getreten und gilt ab dem 2. August 2026. Alle Fristen der KI-Verordnung kannst du im Artikel 113: Inkrafttreten und Anwendung finden.
Allerdings gelten die Kapitel I und II für alle ab dem 2. Februar 2025. Kapitel III Abschnitt 4, Kapitel V, Kapitel VII und Kapitel XII sowie Artikel 78 gelten ab dem 2. August 2025, mit Ausnahme von Artikel 101. Artikel 6 Absatz 1 und die entsprechenden Verpflichtungen in dieser Verordnung gelten ab dem 2. August 2027.
Was bedeuten die Fristen der KI-Verordnung im Detail?
Ab dem 2. Februar 2025: Gelten etliche allgemeine Bestimmungen und Verbote bspw. im HR und Recruiting. Ab Februar treten durch die KI-Verordnung dann Regelungen zu verbotenen KI-Praktiken in Kraft, beispielsweise das Verbot von KI-Systemen zur Emotionserkennung am Arbeitsplatz ohne medizinische oder sicherheitsrelevante Gründe.
Ab dem 2. August 2025: Werden Regelungen für allgemeine KI-Modelle und Vorschriften für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck wirksam. Auch Einrichtungen von Behörden und Stellen für die Konformitätsbewertung von KI-Systemen treten in Kraft. Außerdem werden Bußgelder bei Verstößen gegen die bis dahin geltenden Regelungen, mit Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes inkrafttreten.
Ab dem 2. August 2026: Ab hier werden die meisten verbleibenden Bestimmungen der Verordnung wirksam, einschließlich der Vorgaben für Hochrisiko-KI-Systeme und Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme.
Ab dem 2. August 2027: Die Regelungen und Vorschriften zur Einstufung bestimmter Hochrisiko-KI-Systeme, insbesondere solche, die als Sicherheitsbauteil von Produkten dienen, werden anwendbar.
Persönlich denke ich, dass ein erhöhtes Risiko für Strafen derzeit eher im zivilrechtlichen Spektrum liegen wird. Wenn du als Unternehmen bspw. KI einsetzt, um Bewerber zu filtern, kann Bias in ATS-Systemen (Applicant Tracking Systems) zu Verzerrungen führen. Solche Methoden könnten demnach Probleme nach sich ziehen. Es ist daher wichtig, die eigenen KI-Anwendungsbereiche, Use Cases oder ATS-Systeme zu prüfen und zu bewerten.
Im Kern bedeutet es, dass du bei der Verwendung von KI eine transparente Dokumentation zügig sicherstellen solltest. Denn Kapitel 1 und 2 regeln im Kern den Geltungsbereich, die Nutzung von Systemen und was verboten ist.
Beispielsweise geht es um verbotene Praktiken im KI-Bereich, wie manipulative oder täuschende Techniken, Hochrisikosysteme oder das Ausnutzen von Schwachstellen. Ziel ist es, den Missbrauch von KI-Systemen zu verhindern, der das Vertrauen, die Sicherheit und die Grundrechte der Bürger gefährden könnte.
Wenn du ChatGPT im Unternehmen im Einsatz hast, solltest du ab dem 2. August 2025 die Transparenz- und Nutzungsvorgaben erfüllen.
Wusstest du, dass die Strafen der KI-VO richtig wehtun können?
Satte 35 Millionen Euro oder bis zu 7 % des weltweiten Jahresumsatzes – und das gilt für den gesamten Konzern, können die Folge sein.
Ein paar Beispiele gefällig, wie so ein Bußgeld ausgelöst werden kann?
Insbesondere das Marketing, HR, der Vertrieb, aber auch das Management spielen nur allzu gern mit KI-Tool wie ChatGPT umher.
Auch könnte deine HR-Abteilung vielleicht unwissentlich verbotene KI-Praktiken im HR- oder Recruiting-Bereich einsetzen.
Dementsprechend könnte bei einem Audit herauskommen, dass
Der EU-AI-Act ist für Unternehmen daher von großer Bedeutung, denn er schafft einen umfassenden rechtlichen Rahmen für den Einsatz und die Entwicklung von künstlicher Intelligenz in Europa. Auch dürfen nur KI-Systeme, die die Anforderungen des AI Act erfüllen, in der EU in Verkehr gebracht oder betrieben werden. Das bedeutet, dass dein Unternehmen ohne rechtskonforme KI-Lösungen ganz schnell ein Problem bekommen kann.
Meine Frage an der Stelle: weißt du, welche KI-Tools dein Unternehmen im Einsatz hat bzw. welche Hersteller KI integriert haben, wie Kundendaten verarbeitet werden? Falls nein, wird es höchste Zeit, dich diesem Problem anzunehmen.
Wie unser strukturierter Prozess aussieht, zeigen wir dir in einem kurzen Gespräch.
Schlussendlich geht es auch um deine Reputation und Kundenvertrauen. Durch den Einsatz von KI, die den EU-Richtlinien entspricht, kannst du dein Unternehmen bedenkenlos als starken und transparenten Geschäftspartner platzieren, der durch Transparenz, Sicherheit und Datenschutz hervorsticht.
Da der Fall des KI-Anbieters hier den Rahmen sprengen würde, möchte ich mich im ersten Schritt auf dich als Betreiber konzentrieren.
Sollte dein Unternehmen in die Richtung Anbieter denken, nimm bitte folgende Punkte auf (oder komm hier auf uns zu):
Zurück zum Betreiber: Also immer dann, wenn du KI-Tools beruflich einsetzt.
Die grundsätzliche Frage, die du dir spätestens jetzt stellen solltest, ist: Wo stehen wir und wo wollen wir mit KI hin? Welche Rolle nimmt KI bei uns ein, wie sieht unsere Strategie aus?
Denn viele Unternehmen sind die letzten 2 Jahre entweder planlos gestartet, haben keine internen Guidelines oder wissen noch sehr wenig zu den Möglichkeiten von KI im Mittelstand.
Wir gehen daher immer einen strukturierten Ansatz, indem wir auf Basis einer einheitlichen Denkweise und Wissensaufbaus, die individuelle KI-Roadmap und Dokumentation vorantreiben.
Wenn du als Betreiber ChatGPT oder ein ähnliches KI-System beruflich nutzt, ist die Umsetzung des AI Acts einfacher, aber dennoch wichtig.
Die aktuell wichtigsten Schritte sind:
Als Betreiber eines KI-Systems wie ChatGPT hast du weniger strenge Pflichten als Anbieter oder Entwickler, aber es ist wichtig, Transparenz sicherzustellen, Datenschutz zu beachten und die KI korrekt und verantwortungsvoll einzusetzen.
Der EU AI Act legt auch fest, wer welche Informationen über KI-Systeme und Modelle wie generative KI offenlegen muss. Für KI-generierte Inhalte wie Bilder und Texte ist dies im Artikel 50, in den Transparenzverpflichtungen geregelt.
Was bedeutet das konkret:
Ausnahmen: Wann muss ich KI-Texte und Bilder nicht kennzeichnen?
Immer dann, wenn die KI-generierten Inhalte einer menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen wurden und eine natürliche oder juristische Person die Verantwortung für die Veröffentlichung trägt, entfällt die Kennzeichnungspflicht.
Außerdem gilt die Kennzeichnungspflicht nicht, wenn die Inhalte zur Aufdeckung, Verhütung oder Verfolgung von Straftaten verwendet werden und gesetzlich zulässig sind.
Je nach Unternehmen solltest du die Kennzeichnungspflichten also einhalten, interne Regelungen festlegen und dieses Wissen bei der Nutzung von KI-Inhalten zugänglich machen.
Denn insgesamt tragen diese Regelungen dazu bei, dass unser Vertrauen in KI-Systeme gestärkt wird und wir die Verbreitung von Falschinformationen aktiv eindämmen können. Mehr dazu findest du auch im Leitfaden zur Kennzeichnung KI-generierter Inhalte.
Abschließend sei gesagt, dass eine KI nicht absichtlich Falschinformationen liefert, denn die aktuellen generativen KI-Systeme denken nicht, sie arbeiten auf Basis von Wahrscheinlichkeiten. Es liegt daher an uns, diese Informationen zu prüfen und einer Verbreitung von Fehlinformationen entgegenzuwirken.
Wie treibst du die KI-Verordnung im Unternehmen sicher voran?
Zunächst geht es darum, wie du KI in deiner Strategie bewertest und wo KI-Tools oder eigene Entwicklungen zum Einsatz kommen.
Bist du lediglich Betreiber und nutzt risikoarme Tools wie ChatGPT, Copilot und Co. kannst du die ersten Maßnahmen recht schnell durchführen, um Bußgelder zu vermeiden, aber vor allem einen sicheren und ethisch korrekten Umgang sicherzustellen. Das Risiko kann natürlich zügig steigen, wenn deine Mitarbeiter diese Systeme mit Daten füllen, die dort gar nicht hingehören.
Ich würde dir daher immer eine Bestandsaufnahme empfehlen, interne Schulungen zur Nutzung anstreben und eine einfache Dokumentation anstoßen.
Mein Tipp: Setze dich mit der ISO/IEC 42001 auseinander.
Die ISO/IEC 42001 ist der erste globale Standard für KI-Managementsysteme (AIMS) und bietet jedem Unternehmen nützliche Anleitungen für den Einsatz von KI, moralische Fragen, Transparenz und kontinuierliches Lernen.
Kurz gesagt bietet die ISO 42001 einen strukturierten Ansatz, um Innovation und Governance in Einklang zu bringen und gleichzeitig die Risiken und Chancen der künstlichen Intelligenz zu managen. Die ISO 42001 wird die neue Leitnorm, um allen Stakeholdern zu demonstrieren, dass ein Unternehmen den vertrauensvollen Umgang mit KI sicherstellt. Somit ist eine High-Level-Struktur und die geforderten Prozesse von allen Unternehmen zu implementieren, welche KI entwickeln. In abgeschwächter Form auch von den Unternehmen, die auf der Anwenderseite stehen.
Wie gehst du mit der KI-Transparenz um oder welche Probleme siehst du bei der lückenlosen Dokumentation im Alltag?
Lass es mich in den Kommentaren wissen!
[…] EU AI Act stellt Anforderungen für die Entwicklung und Nutzung von KI-Systemen auf. Ab 2025 müssen […]
[…] Systemen mit eingeschränktem Risiko gehören beispielsweise Chatbots und die Verwendung von ChatGPT-basierten Systemen. Habt ihr KI-Anwendungen dieser Risikoklasse im Einsatz oder plant ihr eine entsprechende […]