Wann tritt der AI Act in Kraft?

Die Umsetzung erfolgt schrittweise: August 2024: Finale Abstimmung Februar 2025: Abschaltung verbotener KI-Systeme August 2025: Regeln für allgemeine KI-Systeme (GPAI) August 2026: Alle Vorschriften gelten vollständig

Wie werden KI-Systeme im AI Act klassifiziert?

Der AI Act unterscheidet vier Risikostufen: Inakzeptables Risiko: Verbotene KI-Systeme, z. B. biometrische Kategorisierung sensibler Daten. Hohes Risiko: KI-Anwendungen mit erheblichen Auswirkungen, z. B. in Personalmanagement oder Strafverfolgung. Begrenztes Risiko: KI-Systeme, die Transparenz erfordern, z. B. Chatbots. Minimales Risiko: Systeme wie Spam-Filter oder KI-gestützte Suchfunktionen.

Welche Pflichten haben Anbieter von Hochrisiko-KI-Systemen?

Anbieter müssen: Ein Risikomanagementsystem einrichten Datenqualität sicherstellen Technische Dokumentation erstellen Menschliche Aufsicht gewährleisten Cybersicherheit und Robustheit sicherstellen

Welche Anforderungen gelten für KI-Systeme mit begrenztem Risiko?

Nutzer müssen informiert werden, wenn sie mit einer KI interagieren KI-generierte Inhalte müssen gekennzeichnet sein (z. B. Deepfakes) Urheberrechte müssen beachtet werden

Welche Maßnahmen sollten KMUs ergreifen?

Bestehende KI-Systeme analysieren und Risiken bewerten Hochrisiko-KI an gesetzliche Vorgaben anpassen Mitarbeiter zu KI-Kompetenzen schulen Transparenz und Datenschutz sicherstellen Beratung durch Experten in Anspruch nehmen

Wie kann Solon Labs Unternehmen unterstützen?

Solon Labs bietet: Beratung zur AI Act-Compliance Entwicklung und Optimierung KI-konformer Systeme Schulungen und Workshops für Unternehmen Jetzt unverbindlich beraten lassen: Gespräch vereinbaren

By Jaromir Gruber

Die Auswirkungen des EU AI Act auf Unternehmen: Was Sie wissen müssen

Künstliche Intelligenz (KI) ist längst kein Zukunftsszenario mehr, sondern ein integraler Bestandteil unseres Alltags und vieler Unternehmensprozesse. Besonders kleine und mittlere Unternehmen (KMUs) profitieren von KI-gestützten Lösungen, die Effizienzsteigerungen, Prozessautomatisierungen und innovative Kundeninteraktionen ermöglichen. Doch mit den Chancen kommen auch Herausforderungen. Um Risiken zu minimieren und einen klaren Rechtsrahmen zu schaffen, hat die Europäische Union den AI Act verabschiedet – das weltweit erste umfassende Gesetz zur Regulierung von KI.

In diesem Beitrag erfahren Sie, welche Bestimmungen des AI Acts für KMUs relevant sind, wie Sie sich darauf vorbereiten und welche strategischen Maßnahmen erforderlich sind, um von der neuen Regulierung nicht nur betroffen, sondern möglicherweise auch begünstigt zu sein.

Was ist der AI Act und warum ist er wichtig?

Der AI Act ist eine EU-Verordnung, die ab dem 1. August 2024 schrittweise in Kraft tritt. Ziel ist es, einen fairen Binnenmarkt für vertrauenswürdige und menschenzentrierte KI zu schaffen und gleichzeitig die Sicherheit, Grundrechte und Datenschutzanforderungen zu gewährleisten. Damit ist der AI Act nicht nur für KI-Entwickler relevant, sondern auch für Unternehmen, die KI-Systeme nutzen – also auch für viele KMUs.

Definition von KI-Systemen

Die meisten Verpflichtungen des AI Acts betreffen KI-Systeme. Der Begriff ist weit gefasst und umfasst "ein maschinengestütztes System, das mit unterschiedlichen Graden an Autonomie arbeitet und nach der Bereitstellung Anpassungsfähigkeit zeigen kann. Es zieht aus den eingegebenen Daten Schlussfolgerungen, um Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen zu generieren, die physische oder virtuelle Umgebungen beeinflussen können."

Zeitplan zur Umsetzung des AI Acts

Die Einführung der EU-Verordnung erfolgt gestaffelt bis August 2026.

August 2024 — Finale Abstimmung
Februar 2025 — Abschaltung verbotener KI-Systeme
August 2025 — Verpflichtungen für Allgemein einsetzbare KI Systeme (General Purpose AI, GPAI) werden anwendbar
August 2026 — Alle Vorschriften gelten

Risikoklassifizierungen

Der AI Act klassifiziert KI-Systeme in vier Risikostufen:

Inakzeptables Risiko — KI-Systeme, die eine Bedrohung für Sicherheit und Grundrechte darstellen, sind verboten. Dazu gehören beispielsweise biometrische Kategorisierung auf Basis sensibler Daten oder KI-gestützte Manipulationstechnologien.
Hohes Risiko — KI-Anwendungen in sicherheitskritischen Bereichen wie Gesundheitswesen, Strafverfolgung, kritischer Infrastruktur oder Personalrekrutierung.
Begrenztes Risiko — KI-Anwendungen, die mit Menschen interagieren oder Medieninhalte generieren. Beispiele sind Chatbots oder KI-generierte Bilder.
Minimales Risiko — Systeme wie Spam-Filter oder KI-gestützte Suchfunktionen.

Hochrisikogruppen im AI Act

Bestimmte KI-Systeme gelten als hochriskant und unterliegen besonders strengen Auflagen. Dazu gehören:

Biometrische Verfahren — Nicht verbotene biometrische Fernidentifikationssysteme, die jedoch strengen Vorgaben unterliegen. Systeme zur Kategorisierung nach sensiblen Merkmalen und Emotionserkennung sind ebenfalls betroffen.
Kritische Infrastrukturen — Sicherheitskomponenten für digitale Infrastrukturen, Verkehr, Wasser-, Gas-, Wärme- und Stromversorgung.
Bildung — KI-gestützte Systeme zur Zulassung, Bewertung von Lernergebnissen und zur Überwachung von Prüfungen.
Beschäftigung und Personalmanagement — KI in Rekrutierung, Bewerbungsanalyse, Beförderungen und Leistungsbewertung.
Öffentliche und private Dienstleistungen — KI zur Beurteilung der Anspruchsberechtigung auf Sozialleistungen, Kreditwürdigkeitsprüfungen oder Notruf-Klassifizierung.
Strafverfolgung — KI zur Risikobewertung von Straftaten, Lügendetektoren und Beweisanalysen.
Migration und Grenzkontrollen — KI zur Prüfung von Asylanträgen und Identifikation von Personen.
Rechtspflege und Demokratie — KI zur Beeinflussung von Wahlen oder zur automatisierten Rechtsauslegung.

Auflagen für Hochrisiko-KI-Anbieter

Folgende Aufgaben müssen die Anbieter von KI-Systemen mit hohem Risiko erfüllen, um die gesetzlichen Anforderungen zu gewährleisten.

✔ Risikomanagementsystem einrichten — Implementierung eines Systems zur Risikomanagementüberwachung über den gesamten Lebenszyklus des KI-Systems.
✔ Data Governance sicherstellen — Sicherstellung, dass alle Schulungs-, Validierungs- und Testdatensätze relevant, repräsentativ und möglichst fehlerfrei sind.
✔ Technische Unterlagen erstellen — Dokumentation zur Konformität des Systems anfertigen. Bereitstellung der Unterlagen für die Behörde zur Bewertung der Konformität.
✔ Automatische Ereigniserfassung und Änderungsdokumentation — KI-System so gestalten, dass es relevante Ereignisse und wesentliche Änderungen automatisch erfasst.
✔ Gebrauchsanweisungen bereitstellen — Erstellen von Anleitungen, die nachgelagerte Nutzer bei der Einhaltung der Vorschriften unterstützen.
✔ Menschliche Aufsicht ermöglichen — Sicherstellen, dass das System die Möglichkeit zur menschlichen Aufsicht bietet.
✔ Sicherstellen von Genauigkeit, Robustheit und Cybersicherheit — Design des Systems auf ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit ausrichten.
✔ Qualitätsmanagementsystem implementieren — Einführung eines Systems zur Überwachung und Sicherstellung der Einhaltung der Vorschriften.

Systeme mit begrenztem Risiko

KI-Systeme mit “begrenztem” Risiko sind solche, bei denen das Risiko durch Transparenz minimiert werden kann:

KI-Systeme, die direkt mit natürlichen Personen interagieren: Dazu gehören beispielsweise Chatbots.
KI-Systeme, die Bild-, Audio-, Text- oder Videoinhalte erzeugen oder manipulieren.
Biometrische Kategorisierungs- und Emotionserkennungssysteme. Es ist wichtig zu beachten, dass es auch verbotene KI-Systeme in diesen Bereichen gibt, beispielsweise biometrische Kategorisierungssysteme, die sensible Merkmale wie politische oder religiöse Überzeugungen nutzen, oder die Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen. Die hier genannten Systeme mit begrenztem Risiko sind davon zu unterscheiden.
Allgemein einsetzbare KI Systeme (General Purpose AI Systems, GPAIS), wie beispielsweise ChatGPT, die Texte oder Bilder erstellen können, werden ebenfalls als Systeme mit begrenztem Risiko angesehen.
RAG-Systeme (Retrieval-Augmented Generation), die Informationen aus externen Wissensquellen abrufen und zur Generierung von Antworten verwenden, können auch als KI-Systeme mit begrenztem Risiko eingestuft werden, da die Antworten präziser und relevanter sind und “Halluzinationen” eingegrenzt werden.

Auflagen für Systeme mit begrenztem Risiko

Um diese Systeme AI Act-konform zu machen, sind in erster Linie Transparenzpflichten zu erfüllen. Diese Pflichten sind nicht so umfangreich wie bei Hochrisiko-KI-Systemen, aber dennoch wichtig, um den Nutzern ein angemessenes Maß an Information und Kontrolle zu gewährleisten:

✔ Information der Nutzer

Es muss klar und deutlich erkennbar sein, wenn Nutzer mit einem KI-System interagieren. Dies ist besonders wichtig bei Chatbots oder anderen Anwendungen, die direkte Interaktionen mit Menschen ermöglichen.

✔ Kennzeichnung von Inhalten

Wenn ein KI-System Bild-, Audio-, Text- oder Videoinhalte erzeugt oder manipuliert, muss dies entsprechend gekennzeichnet werden.
Dies gilt insbesondere für Deepfakes, also KI-generierte Inhalte, die als echt wahrgenommen werden könnten.
Ausnahmen von dieser Kennzeichnungspflicht gelten für künstlerische, kreative, satirische oder fiktionale Darstellungen
Bei Texten gilt die Kennzeichnungspflicht nur, wenn sie nicht von einem Menschen überprüft oder redaktionell verantwortet wurden und von öffentlichem Interesse sind.
Die Kennzeichnung muss klar, eindeutig und barrierefrei erfolgen.

✔ Einhaltung des Urheberrechts

GPAI Anbieter müssen sicherstellen, dass die Vorgaben des EU-Urheberrechts eingehalten werden. Sie müssen eine Strategie zur Einhaltung des Urheberrechts bereitstellen.
Es muss eine detaillierte technische Dokumentation und Informationen über die für das Training der KI genutzten Daten vorgelegt werden.

Die Einhaltung dieser Transparenz- und Compliance-Anforderungen ermöglicht es Unternehmen, die KI-Systeme mit begrenztem Risiko nutzen, die regulatorische Übereinstimmung zu wahren, das Vertrauen der Nutzer zu stärken und sich vor Reputations- und Rechtsrisiken zu schützen.

Systeme mit minimalem Risiko

KI-Systeme mit minimalem oder keinem Risiko unterliegen keinen spezifischen Pflichten im Sinne des AI Act. Sie werden als solche klassifiziert, wenn sie kein oder nur ein minimales Risiko für die Gesundheit, Sicherheit oder Grundrechte darstellen. Hier sind einige Beispiele für Systeme, die als “minimales Risiko” gelten:

KI-gestützte Videospiele
Spam-Filter

Es wird zwar das Einhalten von Verhaltenskodizes gefördert, diese sind jedoch freiwillig. Abschließend ist wichtig zu erwähnen, dass die genaue Einstufung eines KI-Systems immer vom konkreten Anwendungsfall abhängt.

Mögliche Strafzahlungen bei Nichteinhaltung

Unternehmen, die gegen die Vorschriften des AI Acts verstoßen, müssen mit erheblichen Geldstrafen rechnen. Die Strafen reichen je nach Art des Verstoßes und Unternehmensgröße von bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes bis hin zu 35 Millionen Euro oder 7 % des Jahresumsatzes. Besonders schwerwiegende Verstöße, wie der Einsatz verbotener KI-Systeme, werden mit den höchsten Strafen geahndet.

KI-Kompetenz als neue Anforderung für KMUs

Ab Februar 2025 verlangt der AI Act zusätzlich, dass Unternehmen, die KI-Systeme einsetzen, ihre Mitarbeitenden entsprechend schulen. Dies ist unabhängig von der Risikoklassifizierung des KI-Systems gültig. KI-Kompetenz umfasst:

Technisches Verständnis — Grundlagen zu maschinellem Lernen und Algorithmen.
Rechtliche Kenntnisse — Bewusstsein für den AI Act und die Datenschutz-Grundverordnung (DSGVO).
Ethische Sensibilisierung — Vermeidung von Diskriminierung durch algorithmische Verzerrungen (Bias).
Risikomanagement — Einschätzung von Gefahren und Grenzen der KI-Technologie.

KMUs haben hierbei Gestaltungsspielraum: Schulungen können intern oder extern erfolgen, durch Webinare, Workshops oder E-Learning-Angebote. Es ist ratsam, die Vermittlung der KI-Kompetenz zu dokumentieren, um die Einhaltung der Vorschriften nachweisen zu können. Die Art der Schulungsmaßnahmen hängt vom eingesetzten KI-System und dessen Risikostufe ab.

Praktische Umsetzung für KMUs

Um den AI Act erfolgreich zu implementieren, sollten KMUs folgende Schritte einleiten:

Analyse der eigenen KI-Nutzung — Erfassen Sie alle KI-Systeme in Ihrem Unternehmen und deren Risiko-Klassifizierung.
Hochrisikogruppen - Umsetzung der Richtlinien — Gewährleisten Sie alle gesetzlichen Anforderungen.
Gruppen mit begrenztem Risiko — Stellen Sie Transparenz sicher. Weisen Sie Kunden darauf hin, dass sie mit einer KI interagieren.
Schulung der Mitarbeiter — Investieren Sie in Weiterbildung, um rechtliche und technische Anforderungen zu erfüllen.
Datenmanagement überprüfen — KI-Anwendungen dürfen nicht gegen Datenschutzvorgaben verstoßen.
Externe Beratungsangebote nutzen — Organisationen wie die WKO oder RTR bieten Informationsmaterialien und Schulungen für Unternehmen an.

Fazit: Datenschutzkonforme KI als Wettbewerbsvorteil

Der EU AI Act stellt KMUs vor neue Herausforderungen, bietet aber gleichzeitig die Chance, sich durch verantwortungsvollen KI-Einsatz einen Vorsprung im Markt zu sichern. Unternehmen, die frühzeitig auf datenschutzkonforme und regelkonforme KI setzen, werden langfristig profitieren.

Wie gut ist Ihr Unternehmen auf den AI Act vorbereitet? Eine gezielte Auseinandersetzung mit den gesetzlichen Vorgaben und eine strategische Implementierung von KI sind entscheidend.

Lassen Sie sich von Experten unterstützen

Solon Labs bietet maßgeschneiderte KI-Lösungen, die den gesetzlichen Anforderungen entsprechen, sowie umfassende Beratung zur sicheren und effizienten Implementierung von KI in Ihrem Unternehmen.

Kontaktieren Sie uns noch heute für ein unverbindliches Beratungsgespräch und nutzen Sie die Chancen der KI verantwortungsvoll und gewinnbringend!

Der EU AI Act ist eine neue Verordnung zur Regulierung von Künstlicher Intelligenz (KI) innerhalb der EU. Ziel ist es, sichere und vertrauenswürdige KI-Systeme zu fördern, Risiken zu minimieren und einheitliche Standards für Unternehmen zu schaffen.

Die Umsetzung erfolgt schrittweise:

August 2024: Finale Abstimmung
Februar 2025: Abschaltung verbotener KI-Systeme
August 2025: Regeln für allgemeine KI-Systeme (GPAI)
August 2026: Alle Vorschriften gelten vollständig

Der AI Act betrifft nicht nur KI-Entwickler, sondern auch Unternehmen, die KI-Systeme nutzen. Besonders betroffen sind Unternehmen in sicherheitskritischen Bereichen wie Gesundheitswesen, Strafverfolgung und Personalwesen.

Der AI Act unterscheidet vier Risikostufen:
Inakzeptables Risiko: Verbotene KI-Systeme, z. B. biometrische Kategorisierung sensibler Daten.
Hohes Risiko: KI-Anwendungen mit erheblichen Auswirkungen, z. B. in Personalmanagement oder Strafverfolgung.
Begrenztes Risiko: KI-Systeme, die Transparenz erfordern, z. B. Chatbots.
Minimales Risiko: Systeme wie Spam-Filter oder KI-gestützte Suchfunktionen.

Anbieter müssen:

Ein Risikomanagementsystem einrichten
Datenqualität sicherstellen
Technische Dokumentation erstellen
Menschliche Aufsicht gewährleisten
Cybersicherheit und Robustheit sicherstellen

Nutzer müssen informiert werden, wenn sie mit einer KI interagieren
KI-generierte Inhalte müssen gekennzeichnet sein (z. B. Deepfakes)
Urheberrechte müssen beachtet werden

Unternehmen können mit Geldstrafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes belegt werden.

Bestehende KI-Systeme analysieren und Risiken bewerten
Hochrisiko-KI an gesetzliche Vorgaben anpassen
Mitarbeiter zu KI-Kompetenzen schulen
Transparenz und Datenschutz sicherstellen
Beratung durch Experten in Anspruch nehmen

Unternehmen, die frühzeitig auf regelkonforme und transparente KI setzen, können sich als vertrauenswürdige Anbieter positionieren und langfristig Wettbewerbsvorteile sichern.

Solon Labs bietet:

Beratung zur AI Act-Compliance
Entwicklung und Optimierung KI-konformer Systeme
Schulungen und Workshops für Unternehmen

Jetzt unverbindlich beraten lassen: Gespräch vereinbaren