Erfahren Sie in diesem Steckbrief, welche Änderungen durch die EU-Verordnung auf Sie zukommen.
Funtap | Canva
Der AI Act: die Künstliche-Intelligenz-Verordnung der EU
Erfahren Sie, was das neue Gesetz für kleine und mittelständische Unternehmen bedeutet.
Die Künstliche-Intelligenz-(KI)-Verordnung (englisch: AI Act) wurde am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht. Damit tritt die Verordnung 20 Tage später, ab dem 2. August 2024 in Kraft. Zweck der Verordnung ist es, das Funktionieren des Binnenmarkts zu verbessern, indem ein einheitlicher Rechtsrahmen für Entwicklung, das Anbieten und die Nutzung von KI-Systemen festgelegt wird. Sie soll vertrauenswürdige KI fördern und Verbraucherschutz gewährleisten. Grundsätzlich sind alle Unternehmen betroffen, die KI-Systeme innerhalb der EU entwickeln, anbieten und nutzen. Im Unterschied zu einer EU-Richtlinie tritt eine Verordnung ohne nationale Umsetzungen in den Mitgliedsstaaten in Kraft. In diesem Artikel stellen wir vor, welche Anforderungen die EU-Verordnung an kleine und mittelständische Unternehmen stellt.
Schrittweises Inkrafttreten
Der AI Act folgt einem sogenannten risikobasierten Ansatz. Das bedeutet, das KI-Anwendungen verschiedenen Risikokategorien zugeordnet sind. Je höher das Risiko, desto stärker werden die KI-Anwendungen reguliert. Je geringer das Risiko, desto weniger Anforderungen müssen von den Anwendungen erfüllt werden. Ausgenommen von diesem Ansatz ist „General-Purpose-AI“, welche aufgrund der Vielzahl der Anwendungen separat reguliert wird. Beispiele hierfür sind z. B. große Sprachmodelle wie ChatGPT.
- Kategorie 1 – geringes Risiko: Hierunter fallen alle Anwendungen, die nicht in den anderen Kategorien erfasst werden oder keine General-Purpose-KI sind.
- Kategorie 2 – begrenztes Risiko: Diese KI-Anwendungen bergen keine Risiken für Gesundheit, Sicherheit oder Grundrechte, beeinflussen aber wesentliche Ergebnisse (z. B. Spamfilter oder Chatbots).
- Kategorie 3 – hohe Risiken für Gesundheit, Sicherheit oder Grundrechte: Diese Anwendungen werden in bestimmten Bereichen (z. B. Personalmanagement) angewandt.
- Kategorie 4 – unverantwortbar hohes Risiko: Diese Anwendungen werden künftig verboten. Darunter fallen zum Beispiel Anwendungen zu „Social Scoring“.
Die Regulierungen für die verschiedenen Anwendungskategorien treten dabei nach zwei Jahren zum 2. August 2026, bzw. in manchen Fällen schrittweise schon vorher in Kraft. KI-Anwendungen nach Kategorie 4 werden bereits sechs Monate nach der Bekanntmachung im Amtsblatt zum 2. Februar 2026 verboten. Darunter fallen beispielweise KI-Anwendungen im Bereich „Social Scoring“. Nach zwölf Monaten, also zum 2. August 2025 gelten die Auflagen für General-Purpose-KI, d. h. Anwendungen, die durch ihre allgemeine Anwendbarkeit keinem spezifischen Sektor zuzuordnen sind. Als Beispiele können hier große Sprachmodelle („large language models (llm)“) wie ChatGPT genannt werden. Drei Jahre nach der Verkündung, zum 2. August 2027 greifen die Auflagen für KI-Anwendungen mit hohem Risiko der Kategorie 3. Dazu gehören u. a. Anwendungen des Personalmanagements sowie der allgemeinen und beruflichen Bildung. Zur Erfüllung der Auflagen sieht die KI-Verordnung das Durchlaufen einer Konformitätsbewertung vor. Dabei wird aktuell an standardisierten Verfahren gearbeitet. Das Problem hierbei liegt an der zum Teil schwierigen Erklärbarkeit der Entscheidungen von KI. In der europäischen Standardisierungsorganisation European Telecommunications Standards Institute (ETSI) und auch beim Deutschen Institut für Normung (DIN) werden derzeit Normen und Standards entwickelt, welche die abstrakten Vorgaben aus der KI-Verordnung mit „Leben füllen“. Ebenfalls zum 2. August 2026 gelten die Anforderungen der Kategorie 1 und 2. Dies sind im wesentlichen Transparenzpflichten für beispielsweise Chatbots oder Spamfilter.
Welche nationalen Behörden werden den AI Act umsetzen bzw. beaufsichtigen?
Die Einhaltung der eingeführten Regularien muss dem AI Act zufolge durch europäische und nationale Behörden überwacht werden. Auf der nationalen Ebene muss der Markt überwacht werden, was bedeutet, dass die Einhaltung der Harmonisierungsvorschriften regelmäßig überprüft werden muss. Zudem müssen Stellen zur Bewertung der Konformität von Hochrisiko-Anwendungen der Kategorie 3 akkreditiert werden. Außerdem sieht der AI Act eine Förderung von Innovationen und Wettbewerb vor. Statt dafür eine neue Behörde einzurichten, ist es wahrscheinlich, dass zunächst die Aufgaben bestehenden Strukturen zugeordnet werden. Zur Diskussion stehen aktuell das Bundeskartellamt (BKartA), die Bundesnetzagentur (BNetzA), der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Hier gilt die Bundesnetzagentur aufgrund ihrer Rahmenbedingungen als die wahrscheinlichste Option, da bereits der sogenannte Digital Service Coordinator aus der nationalen Umsetzung des Digital Service Act, bzw. des deutschen Digitale-Dienste-Gesetzes dort angesiedelt ist. Alternativ wäre die Einrichtung einer neuen Behörde nach wie vor denkbar, allerdings wäre die Umsetzung angesichts des Aufwands (Einstellung von Personal, Einführung von IT-Systemen etc.) vor der nächsten Bundestagswahl unwahrscheinlich. Die Entscheidung muss der Verordnung zufolge spätestens bis zum 2. November 2024 vom Bund an die EU-Kommission mitgeteilt werden.
Reallabore („regulatory sandboxes“) als Hebel zur Innovationsförderung
Bis zum 2. August 2026 müssen alle EU-Mitgliedsstaaten mindestens eine sogenannte „regulatory sandbox“ etabliert haben. In „regulatory sandboxes“, auch Reallabore genannt, sollen unter realen Bedingungen mit behördlicher Begleitung neue Technologien, bzw. deren Anwendungen getestet werden können. Die Testphasen sollen in der Regel nicht länger als sechs Monate dauern, können aber in manchen Fällen auf ein Jahr ausgeweitet werden. In der Vergangenheit waren vergleichbare Experimentierklauseln für kleine und mittelständische Unternehmen (KMU) aufgrund zu großer bürokratischer und finanzieller Hürden nicht attraktiv. In Zukunft soll sich dies allerdings ändern. Der Zugang zu den Reallaboren wird für KMU kostenlos bereitgestellt. Außerdem sollen KMU priorisierten Zugang erhalten. Unabhängig vom AI Act hat die Bundesregierung im Koalitionsvertrag beschlossen, ein nationales Reallabore-Gesetz zu verabschieden. Bereits die Vorgängerregierung hatte noch im September 2021 ein Konzept dafür veröffentlicht. Nachdem das Bundesministerium für Wirtschaft und Klimaschutz eine Konsultation zu dem Gesetz durchführte, erschien ein Grünbuch, das einer Vorlage eines Gesetzes ähnelt, im Juli 2023. In erster Linie sollen durch das Gesetz übergreifende Standards und rechtliche Grundlagen für Reallabore gesetzt werden. Zudem soll es einen gesetzlich verankerten Experimentierklausel-Check geben, welcher kontrollierte Abweichungen von Regulierungen zum Austesten von Innovationen erlauben würde. Auch sollen Reallabore so eingerichtet werden, dass alle bürokratischen Schritte auf dem Weg zur Nutzung im Reallabor an einer Stelle in einem „One-Stop-Shop“ erfolgen können.
Als Bundesverband mittelständische Wirtschaft schauen wir recht skeptisch auf den AI Act. Es ist zwar gut, dass ein verlässlicher Rechtsrahmen eingeführt wird. Allerdings lassen sich für uns die Ziele des Verbraucherschutzes und der Innovationsförderung schlecht vereinbaren. Durch die Zunahme an Bürokratie und damit Kosten bei der Entwicklung von KI werden Innovationen in der künstlichen Intelligenz in der EU zunehmend schwieriger. Dies ist aufgrund der Vormachtstellung von amerikanischen und asiatischen Unternehmen ein Problem für die Wettbewerbsfähigkeit der EU-Unternehmen. Durch die Ausnahmen z. B. in Artikel 62 der Verordnung für KMU und Start-ups hoffen wir allerdings, dass diese im Vergleich zu großen Konzernen auch weiterhin wettbewerbsfähig bleiben können. Die Einführung der nationalen Behörden werden wir hier als Verband begleiten und die mittelständische Expertise einbringen.
