Der EU AI Act (KI-Verordnung) ist das weltweit erste umfassende gesetzliche Regelwerk für Künstliche Intelligenz. Als EU-Verordnung gilt er unmittelbar in allen Mitgliedsstaaten, ohne dass nationale Umsetzungsgesetze erforderlich sind. Er schafft einen harmonisierten Binnenmarkt für KI-Systeme und setzt globale Standards ("Brussels Effect").
Für Geschäftsführer ist der AI Act von höchster strategischer Relevanz, da er den Einsatz von KI im Unternehmen reguliert – unabhängig davon, ob die KI selbst entwickelt oder als Software eingekauft wurde. Verstöße werden mit Bußgeldern geahndet, die jene der DSGVO deutlich übersteigen.
Der risikobasierte Ansatz (Risk-Based Approach)
Der AI Act reguliert nicht die Technologie an sich, sondern das spezifische Risiko ihrer Anwendung. Je höher das potenzielle Risiko für Grundrechte und Sicherheit, desto strenger sind die Auflagen.
Das Gesetz unterscheidet vier Risikoklassen:
1. Unannehmbares Risiko (Verboten)
Anwendungen, die eine klare Bedrohung für die Sicherheit und Rechte von Menschen darstellen, sind verboten.
- Beispiele: Social Scoring durch Behörden, unterschwellige Manipulation menschlichen Verhaltens (Dark Patterns), Emotionserkennung am Arbeitsplatz oder in Schulen, biometrische Echtzeit-Fernerkennung im öffentlichen Raum durch Strafverfolgungsbehörden (mit engen Ausnahmen).
Konsequenz: Sofortige Einstellung solcher Praktiken.
2. Hohes Risiko (High-Risk AI Systems)
Hier liegt der Fokus der Regulierung. Diese Systeme sind erlaubt, unterliegen aber strengen Compliance-Anforderungen vor dem Marktzugang (CE-Kennzeichnung).
- Beispiele: KI in kritischen Infrastrukturen (Verkehr, Wasser, Energie), Bildung (Zuweisung von Schulplätzen), Beschäftigung (CV-Screening-Software), private und öffentliche Dienstleistungen (Kreditwürdigkeitsprüfung/Scoring), Strafverfolgung und Grenzkontrolle.
- Pflichten: Einrichtung eines Risikomanagementsystems, Verwendung hochwertiger Trainingsdaten zur Vermeidung von Bias, detaillierte technische Dokumentation, Protokollierung (Logging), Transparenz gegenüber Nutzern und Gewährleistung menschlicher Aufsicht.
3. Begrenztes Risiko (Transparenzpflichten)
Systeme, bei denen ein Risiko der Täuschung oder Manipulation besteht.
- Beispiele: Chatbots (Kundenservice), Emotionserkennungssysteme (außerhalb verbotener Bereiche), Deepfakes (künstlich generierte Inhalte).
- Pflicht: Kennzeichnungspflicht. Der Nutzer muss wissen, dass er mit einer Maschine interagiert oder dass Inhalte künstlich erzeugt wurden.
4. Minimales Risiko
Der Großteil der derzeit genutzten KI-Anwendungen fällt in diese Kategorie.
- Beispiele: Spam-Filter, KI in Videospielen, Bestandsmanagement-Tools.
- Pflicht: Keine neuen Verpflichtungen. Freiwillige Verhaltenskodizes werden empfohlen.
General Purpose AI (GPAI)
Eine Sonderregelung gilt für General Purpose AI Models (Modelle mit allgemeinem Verwendungszweck), wie z. B. große Sprachmodelle (LLMs, etwa GPT-4), die als Basis für viele verschiedene Anwendungen dienen.
Anbieter solcher Modelle müssen technische Dokumentationen bereitstellen und das Urheberrecht einhalten. Für Modelle mit "systemischem Risiko" (besonders leistungsfähige Modelle, definiert durch Rechenkapazität) gelten zusätzliche Pflichten wie Adversarial Testing ("Red Teaming") und die Meldung schwerwiegender Vorfälle.
Rollenverteilung: Anbieter vs. Betreiber
Für die Geschäftsführung ist die Unterscheidung der Rollen essenziell:
- Anbieter (Provider): Entwickelt ein KI-System und bringt es unter eigenem Namen auf den Markt. Trägt die Hauptlast der Zertifizierung.
- Betreiber (Deployer): Das Unternehmen, das ein KI-System in eigener Verantwortung nutzt (z. B. eine HR-Abteilung nutzt eine KI zur Bewerberauswahl).
- Risiko: Auch Betreiber von Hochrisiko-KI haben Pflichten (z. B. Überwachung des Betriebs, Anweisung des Personals, Meldung von Fehlfunktionen).
- Achtung: Wer ein KI-System wesentlich verändert, wird rechtlich zum Anbieter und übernimmt alle Herstellerpflichten.
Sanktionen
Die Strafen sind drastisch und umsatzabhängig:
- Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes (für verbotene KI-Praktiken).
- Bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes (für Verstöße gegen Pflichten bei Hochrisiko-KI).
- Bis zu 7,5 Mio. EUR oder 1,5 % des weltweiten Jahresumsatzes (für falsche Auskünfte).
Zeitplan und Inkrafttreten
Der AI Act tritt stufenweise in Kraft (nach Veröffentlichung im Amtsblatt):
- Nach 6 Monaten: Verbot unannehmbarer Praktiken.
- Nach 12 Monaten: Regeln für GPAI-Modelle.
- Nach 24 Monaten: Vollständige Anwendung (inkl. Hochrisiko-Systeme Anhang III).
- Nach 36 Monaten: Hochrisiko-Systeme, die bereits anderen EU-Produktsicherheitsvorschriften unterliegen (Anhang II).
Strategische Handlungsfelder für CEOs
- AI Inventory: Erstellen Sie unverzüglich ein Inventar aller im Unternehmen genutzten KI-Systeme (inklusive "Schatten-IT").
- Klassifizierung: Prüfen Sie, ob Systeme unter "Hochrisiko" oder "Verboten" fallen. Besonderes Augenmerk gilt HR-Software und Scoring-Algorithmen.
- Governance: Implementieren Sie Richtlinien für den Einkauf und die Entwicklung von KI. Klären Sie Verantwortlichkeiten (z. B. AI Ethics Officer).
- Datenqualität: Prüfen Sie die Datenbasis Ihrer KI-Systeme auf Verzerrungen und Urheberrechte.
Fazit
Der EU AI Act zwingt Unternehmen zur Professionalisierung ihres KI-Einsatzes. Er beseitigt Rechtsunsicherheit, erhöht aber die bürokratische Last. Unternehmen, die jetzt eine robuste AI Governance aufbauen, sichern sich Wettbewerbsvorteile, da Compliance zur Voraussetzung für Marktzugang und Kundenvertrauen wird.