EU-AI-Act: Was Unternehmen beachten müssen

Seit Februar dieses Jahres gelten die ersten Regelungen des EU-AI-Acts für Unternehmen. Die EU hat aber auch im April angekündigt, die Vorgaben für den KI-Einsatz einfacher gestalten zu wollen.

Die Europäische Union reguliert mit ihrem AI-Act den Einsatz Künstlicher Intelligenz (KI). Mit dem Ziel, die Entwicklung und Nutzung von KI-Systemen sicher und ethisch zu gestalten, bringt die Verordnung zahlreiche Verpflichtungen und Fristen mit sich, die Unternehmen beachten müssen.

Aus Sicht der IHK kann der Rechtsrahmen einen Beitrag leisten, das Vertrauen und die Akzeptanz in KI zu stärken. Die Unternehmen brauchen verlässliche, klare und verständliche Kriterien für den Einsatz. Bürokratischer Aufwand und Doppelregulierung müssen vermieden werden, um die Wettbewerbsfähigkeit und die innovative Weiterentwicklung von KI in Europa zu sichern und zu stärken.

Der AI-Act trat am 1. August 2024 in Kraft. Seit dem 2. Februar dieses Jahres gelten die ersten Regelungen, darunter das Verbot bestimmter KI-Systeme und die Verpflichtung, Mitarbeitenden KI-Kompetenzen zu vermitteln.

Die EU teilt mit dem AI-Act KI-Systeme in vier Risikoklassen ein: niedriges (1), begrenztes (2), hohes (3) und inakzeptables (4) Risiko. Systeme mit niedrigem Risiko, zum Beispiele KI zur vorausschauenden Wartung, unterliegen keiner speziellen Regulierung. Systeme mit begrenztem Risiko – etwa Chatbots - müssen Transparenzpflichten erfüllen. Hochrisiko-Systeme, wie KI-gestützte Bewerbungsverfahren oder autonome Fahrzeuge, unterliegen strengen Anforderungen wie Risikoanalysen und menschlicher Überwachung. Verboten sind Systeme mit inakzeptablem Risiko, wie Social Scoring oder biometrische Echtzeit-Identifikation im öffentlichen Raum.

Der so genannte Compliance-Checker der unabhängigen Organisation Future of Life Instituts ist ein nützliches Instrument, um schnell herauszufinden, unter welche Risikoklasse ein KI-System fällt.

Verpflichtung zur Vermittlung von KI-Kompetenzen

Seit Februar müssen Unternehmen – sowohl Anbieter als auch Betreiber  - sicherstellen, dass Mitarbeitende, die mit KI-Systemen arbeiten, über grundlegende KI-Kenntnisse in diesem Bereich verfügen. Der AI-Act beschreibt KI-Kompetenz als:

• Fähigkeiten, Kenntnisse und Verständnis für den sachkundigen Einsatz von KI-Systemen sowie Bewusstsein für Chancen, Risiken und mögliche Schäden

• Technische, rechtliche und ethische Kenntnisse, ebenso wie Risikobewussten und praktische Anwendungsfähigkeit

Der Branchenverband Bitkom empfiehlt wie folgt vorzugehen: Analyse des Kompetenzbedarfs, Entwicklung und Identifizierung zielgerichteter Schulungsangebote, Einführung klarer Leitlinien und Einrichtung einer zentralen Ansprechstelle.

Nachweis für die Vermittlung von KI-Kompetenzen

In der aktuellen Verordnung finden sich keine Anforderungen an eine Dokumentation oder Nachweispflicht der KI-Kompetenzvermittlung. Unternehmen sollten dennoch jegliche Evaluationen, Schulungsmaßnahmen, Inhalte und Umsetzung dokumentierten, um mögliche Risiken und Haftung im Schadensfall zu minimieren.

Ein Verstoß gegen die Sicherstellung der KI-Kompetenz ist aktuell nicht bußgeldbehaftet. Auf EU-Ebene wird derzeit noch an Leitlinien gearbeitet, an denen sich Unternehmen orientieren können. Zudem muss der AI-Act noch in nationales Recht umgesetzt werden, und zwar bis August dieses Jahres. In Deutschland liegt diese Aufgabe voraussichtlich bei der Bundesnetzagentur (BNetzA). Ab August gelten auch die übrigen Bestimmungen des EU AI-Act, mit Ausnahme der Regelungen für produktbezogene KI-Hochrisiko-Systeme (Art. 6, Abs. 1). Die treten dann im August 2027 in Kraft.