Inkrafttreten des EU AI Act: Was Unternehmen jetzt wissen müssen

Am 1. August 2024 tritt der am 12. Juli 2024 im EU-Amtsblatt veröffentlichte EU AI Act in Kraft. Diese Verordnung bringt weitreichende Änderungen und Anforderungen für Unternehmen mit sich, die Künstliche Intelligenz (KI) einsetzen. Wichtige Maßnahmen umfassen das umfassende Verständnis der eingesetzten KI-Lösungen und die Implementierung eines KI-Management-Systems. Klare Verantwortlichkeiten und enge Zusammenarbeit zwischen IT, Rechtsabteilung, Compliance und Datenschutz sind dafür unerlässlich. Doch was genau müssen Unternehmen nun beachten, um den EU-Vorgaben gerecht zu werden?

Weitreichende Auswirkungen und neue Regeln für den Einsatz von KI

Der EU AI Act klassifiziert KI-Systeme nach Risikoklassen, mit besonderem Fokus auf Hochrisiko-KI-Systeme. Diese müssen strenge Anforderungen bezüglich Dokumentation, Überwachung und Qualität erfüllen. Unternehmen müssen sicherstellen, dass diese Systeme umfassend dokumentiert und kontinuierlich überwacht werden, um gesetzlichen Vorgaben zu entsprechen.

Auch die als Nicht-Hochrisiko eingestuften KI-Systeme unterliegen neuen Anforderungen. Unternehmen müssen nachweisen können, dass ihre Systeme keine Hochrisiken darstellen, was gründliche Dokumentation und Nachweise erfordert. 

Alle KI-Systeme sind unabhängig von der Risikoklasse zu überwachen. Es gilt sicherzustellen, dass kontinuierliche Überprüfungen stattfinden und unvorhergesehene Risiken vermieden werden. Vorfallmanagement-Protokolle sind notwendig, um Probleme schnell zu erfassen und zu melden.

Der EU AI Act legt großen Wert auf den Schutz von Daten und die Sicherheit der KI-Systeme. Unternehmen müssen auch vor diesem Hintergrund Datenschutz- und Sicherheitskonzepte entwickeln und umsetzen. Dies umfasst auch Schulungen und Anleitungen für das Personal, um eine korrekte und sichere Nutzung der KI-Systeme zu gewährleisten.

Für KI-Systeme, die für allgemeine Zwecke („general-purpose AI“) genutzt werden (z.B. OpenAI, Foundation Model), gelten spezifische Anforderungen, wenn bestimmte Kriterien erfüllt sind, wie z.B. eine kumulierte Anzahl von Berechnungen größer 10^25 Gleitkommaoperationen im Training. Große Sprachmodelle erreichen diese Schwelle bald, wenn sie es nicht bereits tun. Da diese Systeme vielfältige Einsatzmöglichkeiten abdecken, dürfen sie keine besonderen Risiken darstellen. Dies führt zu zusätzlichen Dokumentations- und Nachweispflichten.

Die Verordnung definiert klare Verantwortlichkeiten. Anbieterinnen und Anbieter sind für die Entwicklung, Konformität, Kennzeichnung und Risikoklassifizierung verantwortlich, während Betreiberinnen und Betreiber sicherstellen müssen, dass die Systeme ordnungsgemäß verwendet und überwacht werden, die von Anbieterseite bereitgestellte Dokumentation überprüfen und sicherstellen, dass die Systeme entsprechend der Klassifizierung genutzt werden.

Etablierung klarer Verantwortlichkeiten für die KI-Implementierung

Stakeholder müssen die Konzepte, Anforderungen und Konsequenzen des EU AI Act verstehen. Die Geschäftsleitung sollte klare Verantwortlichkeiten für die Implementierung in Form eines Gremiums festlegen, welches sich u.a. wie folgt zusammensetzt: Chief Technology Officer als Ansprechpartner für IT- und Technologie, Chief Legal Officer hinsichtlich der rechtlichen Verantwortung, Chief Compliance Officer hinsichtlich der Einbindung in das bestehende Compliance-Management-System sowie Data Protection Officer als Schnittstelle zwischen den hier genannten Funktionen und zuständig für Datenschutz und Data Governance. Das Gremium aus diesen Funktionen koordiniert die Umsetzung und berichtet an die Geschäftsleitung.

Sicherstellung der KI-Compliance

Der EU AI Act stellt sicher, dass KI in der EU sicher, ethisch und verantwortungsvoll eingesetzt wird. Unternehmen haben sich nun intensiv mit den neuen Anforderungen auseinander setzen und entsprechende Maßnahmen zu ergreifen, um compliant zu bleiben und die Vorteile von KI zu nutzen, ohne die Sicherheit und den Datenschutz zu gefährden.

Durch Missachtung dieser Vorschriften riskieren Unternehmen empfindliche Strafen (schlimmstenfalls in Höhe von bis zu 7% des weltweiten Jahresumsatzes des abgelaufenen Geschäftsjahres bei Missachtung des Verbots der in Artikel 5 genannten KI-Praktiken). Eine rechtzeitige Vorbereitung hilft, die Compliance sicherzustellen und rechtliche Risiken zu minimieren.

Anforderungen an die Dokumentation von KI-Systemen

Je nach Risikoklassifizierung des KI-Systems, sind unterschiedlich tiefgreifende Dokumentationsanforderungen einzuhalten. Diese beziehen sich bspw. auf:
  • Technische Dokumentation zur Analyse des Risikopotenzials des jeweiligen KI-Systems, Erklärung der Einstufung als Hochrisiko- oder Nicht-Hochrisiko-System sowie klare und verständliche Beschreibung der Funktionsweise des KI-Systems, einschließlich Algorithmen, Datenquellen und Interaktionen mit anderen Systemen.
  • Verfahrensanweisungen zur sicheren und effektiven Nutzung des KI-Systems, einschließlich Beschreibung der User-Integration, besonderer Merkmale und Fähigkeiten, aber auch der Leistungsgrenzen des KI-Systems.
  • Protokollierung des KI-Systems, die automatische Aufzeichnung von Ereignissen während des Betriebs des KI-Systems sowie die Aufbewahrung der Protokolle und Sicherstellung eines adäquaten Qualitätsmanagementsystems.
  • Konformität und Sicherheit durch Bereitstellung einer EU-Konformitätserklärung, die bestätigt, dass das KI-System den Anforderungen des EU AI Act entspricht sowie Nachweise etablierter Datenschutzmaßnahmen und Vorgehensweisen im Umgang mit Sicherheitsvorfällen.
  • Überwachungs- und Kontrollmechanismen zur Erstellung von Reports, die den ordnungsgemäßen Betrieb des KI-Systems nachweisen und zeigen, dass keine unvorhergesehenen Risiken auftreten sowie Festlegung von Verfahrensweisen im Falle von Verfehlungen.
  • Sicherheitsmaßnahmen und Festlegung von Daten- und Systemsicherheitsvorkehrungen sowie Erstellung von Anleitungen und Schulungsunterlagen für Anwenderinnen und Anwender für eine sachgerechte Nutzung des KI-Systems.

Mit der Dokumentation endet die Arbeit nicht. KI-Implementierungen sind kontinuierlich zu überwachen. Fortlaufende Schulungen und die Einrichtung von Beratungs- und Beschwerdekanälen sind ebenfalls notwendig.

Ein System automatischer Kontrollen ist empfehlenswert. Hier können bspw. Softwareinstallationen erfasst und Freigabe-Workflows an zuständige Mitarbeitende verschickt werden. Dies ermöglicht eine Vorabkontrolle und das Tracking des KI-Einsatzes. Automatische Informations- und Schulungsmaßnahmen helfen dabei, die Nutzung regelkonform zu gestalten.

Neben regelbasierten Ansätzen sollte eine Unternehmenskultur gefördert werden, die die Risiken des KI-Einsatzes berücksichtigt und minimiert. Missverständnisse, fehlende Transparenz oder Diskriminierung durch Algorithmen bergen Risiken. Ein verantwortungsvoller Umgang mit KI bietet die Chance, sicherere und leistungsfähigere Modelle zu nutzen und sich am Markt abzuheben.

Ein gut etabliertes Kontrollsystem kann viele Anforderungen des EU AI Act erfüllen und dokumentieren. Es erleichtert die Vorbereitung auf externe Prüfungen und kann einen Wettbewerbsvorteil darstellen.

Umfassende Unterstützung für Ihre KI-Vorhaben

Unser Bereich IT & Controls Assurance unterstützt Sie bei der Planung, Umsetzung oder Prüfung Ihrer KI-Vorhaben. Dabei kombinieren wir die Konzepte und Prinzipien aus Compliance-Management-Systemen mit den Anforderungen an ein KI-Management, gemäß des EU AI Act. Unser Kooperationspartner BDO Legal unterstützt Sie darüber hinaus bei rechtlichen Fragestellungen. Der erste Schritt umfasst die Vorbereitung der notwendigen Compliance- und Governance-Komponenten sowie die Entwicklung eines klaren Maßnahmenplans für die spezifischen Anwendungsfälle Ihrer Organisation.