Mit der Einführung des EU AI Act betritt die Europäische Union Neuland und schafft das weltweit erste umfassende Regelwerk für den Einsatz von künstlicher Intelligenz. Für Unternehmen, die KI-Systeme entwickeln oder nutzen, bedeutet dies eine Zäsur. Die Zeiten des unregulierten Experimentierens gehen in eine Phase der Compliance und Rechtssicherheit über. Das Gesetz verfolgt einen risikobasierten Ansatz, der Anwendungen in verschiedene Kategorien einteilt. Je höher das potenzielle Risiko einer KI-Anwendung für die Grundrechte und die Sicherheit der Menschen eingeschätzt wird, desto strenger sind die Auflagen. Für Wirtschaftsakteure ist es essenziell, frühzeitig zu analysieren, in welche Kategorie ihre genutzten oder vertriebenen Systeme fallen, um Bußgelder und Reputationsschäden zu vermeiden.
Die vier Risikoklassen der Verordnung
Das Herzstück der Verordnung ist die Klassifizierung in vier Stufen. Ganz unten stehen Anwendungen mit minimalem Risiko, wie zum Beispiel spamfilter-gestützte E-Mail-Programme oder Videospiele. Diese können weitgehend ohne neue Auflagen genutzt werden. Eine Stufe darüber liegen Systeme mit begrenztem Risiko, zu denen unter anderem Chatbots oder Deepfakes zählen. Hier greifen vor allem Transparenzpflichten: Nutzer müssen darüber informiert werden, dass sie mit einer Maschine interagieren oder dass Inhalte künstlich generiert wurden. Am kritischsten für viele Industriezweige ist die Kategorie der Hochrisiko-KI. Dazu gehören Systeme, die in der kritischen Infrastruktur, in der Personalverwaltung, bei der Kreditvergabe oder in der Strafverfolgung eingesetzt werden. Anwendungen, die ein inakzeptables Risiko darstellen (wie beispielsweise Social Scoring durch Behörden oder biometrische Fernidentifizierung in Echtzeit im öffentlichen Raum), werden gänzlich verboten.
Pflichten für Anbieter von Hochrisiko-KI
Unternehmen, die Hochrisiko-KI-Systeme auf den europäischen Markt bringen, treffen umfangreiche Pflichten. Sie müssen ein Risikomanagementsystem etablieren, das über den gesamten Lebenszyklus der Anwendung hinweg aktiv bleibt. Zudem sind hohe Anforderungen an die Datenqualität zu erfüllen, um Diskriminierung und Verzerrungen in den Algorithmen zu vermeiden. Eine lückenlose technische Dokumentation und Protokollierung der Aktivitäten des Systems sind ebenso vorgeschrieben wie Transparenz gegenüber den Nutzern und eine menschliche Aufsicht. Bevor ein solches System in Betrieb genommen werden darf, muss es ein Konformitätsbewertungsverfahren durchlaufen. Dies stellt Entwickler und Anwender vor administrative Herausforderungen, bietet aber gleichzeitig den Vorteil eines klaren Qualitätsstandards, der das Vertrauen in die Technologie stärken kann.
Strategische Vorbereitung als Wettbewerbsvorteil
Obwohl die vollständige Umsetzung des EU AI Act gestaffelt erfolgt, ist Abwarten keine valide Strategie. Unternehmen sollten unverzüglich mit einer Bestandsaufnahme ihrer KI-Landschaft beginnen. Es gilt zu prüfen, ob bestehende oder geplante Projekte unter die Hochrisiko-Definition fallen. Die Implementierung von Governance-Strukturen für KI, die ethische und rechtliche Aspekte von Anfang an berücksichtigen, wird zum integralen Bestandteil der Corporate Compliance. Wer sich frühzeitig auf die neuen Standards einstellt, kann dies als Wettbewerbsvorteil nutzen. Ein “EU-konformes KI-Siegel” könnte sich international zu einem Qualitätsmerkmal entwickeln, ähnlich wie es bei der DSGVO im Datenschutzbereich zu beobachten war. Investitionen in rechtssichere KI sind somit Investitionen in die Zukunftsfähigkeit des Geschäftsmodells.