EU AI Act: Der Komplett-Guide für Unternehmen

Sie haben vom EU AI Act gehört. Sie wissen, dass er kommt und potenziell enorme Auswirkungen hat. Doch jetzt stehen Sie vor der eigentlichen Herausforderung: Wie übersetzen Sie dieses komplexe Gesetzeswerk in einen klaren, umsetzbaren Plan für Ihr Unternehmen? Sie suchen nicht nach einer weiteren oberflächlichen Zusammenfassung, sondern nach einem verlässlichen Leitfaden, der Ihnen hilft, die richtigen strategischen Entscheidungen zu treffen.

‍

Genau hier setzen wir an. Dieser Guide ist Ihr zentraler Kompass für den EU AI Act. Wir führen Sie durch den gesamten Prozess – von der ersten Betroffenheitsanalyse über die entscheidende Risikoklassifizierung bis hin zur Implementierung der notwendigen Governance-Strukturen. Betrachten Sie dies als Ihre persönliche Beratung, die Ihnen hilft, Compliance nicht als Hürde, sondern als strategischen Vorteil zu verstehen.

‍

Executive Summary: Der AI Act in 3 Minuten

‍

Für alle, die schnell zur Sache kommen müssen: Der EU AI Act ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Sein Ziel ist es, Innovation zu fördern und gleichzeitig die Grundrechte und die Sicherheit der EU-Bürger zu schützen.

‍

Der Kern des Gesetzes ist ein risikobasierter Ansatz. Das bedeutet, je höher das potenzielle Risiko eines KI-Systems, desto strenger sind die Anforderungen. Für Unternehmen heißt das vor allem: verstehen, in welche Risikoklasse die eigenen KI-Anwendungen fallen.

‍

Die Zeit drängt. Wie Analysen von EY und der IHK München zeigen, ist die gestaffelte Einführung des Gesetzes bereits in vollem Gange und die Strafen sind empfindlich. Bei Nichteinhaltung drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

‍

‍

Sind Sie vom AI Act betroffen? Ein schneller Selbst-Check

‍

Bevor Sie tief in die Details eintauchen, klären wir die wichtigste Frage: Gilt der AI Act für Sie? Die Antwort ist sehr wahrscheinlich „Ja“, wenn Sie eine der folgenden Fragen mit „Ja“ beantworten:

‍

• Sind Sie ein Anbieter? Entwickeln Sie KI-Systeme, die in der EU auf den Markt gebracht oder in Betrieb genommen werden sollen, unabhängig davon, wo Ihr Unternehmen ansässig ist?
  ‍
• Sind Sie ein Nutzer (Deployer)? Setzen Sie KI-Systeme im Rahmen Ihrer beruflichen Tätigkeit in der EU ein (z.B. zur Optimierung von Geschäftsprozessen, im HR oder im Marketing)?
  ‍
• Sind Sie Händler oder Importeur? Bringen Sie KI-Systeme unter Ihrem Namen oder Ihrer Marke in der EU in Verkehr?

‍

Der AI Act hat eine breite territoriale Reichweite. Er betrifft nicht nur in der EU ansässige Unternehmen, sondern alle, deren KI-Systeme auf dem EU-Markt angeboten werden oder deren Output in der EU genutzt wird.

‍

Die Risikopyramide: Klassifizieren Sie Ihre KI-Systeme

‍

Das Herzstück des AI Acts ist die Klassifizierung von KI-Systemen in vier Risikostufen. Diese Einteilung entscheidet über den Umfang Ihrer Pflichten. Wettbewerbsanalysen zeigen, dass etablierte Berater wie EY und Anwaltskanzleien wie HÄRTING diesen Punkt als kritischsten für Unternehmen identifizieren.

‍

‍

Verbotene KI-Systeme (Inakzeptables Risiko)

‍

Diese Systeme stellen eine klare Bedrohung für die Sicherheit und die Grundrechte dar und sind daher verboten. Dazu gehören:

‍

• Social Scoring durch Regierungen.
• Ungezielte Auswertung von Gesichtsbildern aus dem öffentlichen Raum (Remote Biometric Identification).
• Systeme, die menschliches Verhalten manipulieren, um potenziell schädliche Entscheidungen zu provozieren.

‍

Hochrisiko-KI-Systeme (Hohes Risiko)

‍

Hier liegt der Fokus der Regulierung. Wenn Ihre KI in einen der in Anhang III des Gesetzes genannten Bereiche fällt, ist sie als Hochrisiko-System einzustufen. Die Konsequenzen sind weitreichend und erfordern ein robustes Compliance-Management. Beispiele sind:

‍

• Kritische Infrastrukturen: KI zur Steuerung von Wasser-, Gas- oder Stromnetzen.
• Personalwesen: KI-Systeme für Recruiting, Beförderungsentscheidungen oder zur Leistungsbewertung.
• Kreditwürdigkeitsprüfung: KI zur Bewertung der Bonität von natürlichen Personen.
• Medizinprodukte: KI-Systeme, die unter die EU-Medizinprodukteverordnung fallen.

‍

Für Hochrisiko-KI-Systeme gelten strenge Anforderungen an Risikomanagement, Datenqualität, technische Dokumentation, Transparenz und menschliche Aufsicht.

‍

KI-Systeme mit begrenztem Risiko

‍

Diese Kategorie umfasst Systeme, bei denen Transparenz entscheidend ist. Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren.

‍

• Chatbots: Müssen sich als KI zu erkennen geben.
• Deepfakes: Inhalte müssen als künstlich erzeugt gekennzeichnet werden.

‍

KI-Systeme mit minimalem oder keinem Risiko

‍

Die große Mehrheit der KI-Anwendungen fällt in diese Kategorie, z. B. KI-gestützte Spamfilter oder Bestandsprognosen im E-Commerce. Hier gibt es keine spezifischen Verpflichtungen, aber Unternehmen werden ermutigt, freiwillige Verhaltenskodizes anzuwenden.

‍

Um eine genaue Einordnung vorzunehmen und zu verstehen, welche Risikoklassen der EU AI Act definiert, ist eine detaillierte Analyse Ihrer Systeme unerlässlich.

‍

Der Umsetzungs-Fahrplan: Von der Lücke zur Konformität

‍

Die Konformität mit dem AI Act ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Wir haben die Anforderungen in einen klaren, vierphasigen Fahrplan übersetzt, der Ihnen als Orientierung dient.

‍

‍

Phase 1: Governance & Verantwortung definieren

‍

Compliance beginnt an der Spitze. Klären Sie intern, wer für die Einhaltung des AI Acts verantwortlich ist. Dies ist keine reine IT- oder Rechtsaufgabe, sondern erfordert ein funktionsübergreifendes Team.

‍

• Was der CEO jetzt tun muss: Die strategische Bedeutung des AI Acts anerkennen und die notwendigen Ressourcen für eine Taskforce bereitstellen.
  ‍
• Checkliste für den CCO/Compliance Officer: Ein zentrales Register aller im Unternehmen eingesetzten und entwickelten KI-Systeme erstellen und eine erste Risikobewertung durchführen.

‍

Phase 2: Konformitätsbewertung & Technische Dokumentation

‍

Für Hochrisiko-Systeme ist eine Konformitätsbewertung obligatorisch. Ein zentraler Bestandteil davon ist die technische Dokumentation. Diese muss lückenlos nachweisen, dass Ihr System die gesetzlichen Anforderungen erfüllt. Sie ist der Dreh- und Angelpunkt jeder Prüfung.

‍

‍

Die Dokumentation sollte unter anderem Folgendes umfassen:

‍

• Eine allgemeine Beschreibung des KI-Systems und seines Zwecks.
• Informationen über die verwendeten Trainings-, Validierungs- und Testdatensätze.
• Eine Beschreibung des Risikomanagementsystems.
• Eine Erklärung zur menschlichen Aufsicht (Human Oversight).

‍

Die Erstellung und Pflege dieser Dokumentation ist komplex. Eine spezialisierte EU AI Act Compliance Software kann diesen Prozess durch Vorlagen und Automatisierung erheblich vereinfachen.

‍

Phase 3: Implementierung & Kontrolle

‍

Setzen Sie die in der Dokumentation beschriebenen Prozesse in die Praxis um.

‍

• Risikomanagementsystem: Etablieren Sie einen kontinuierlichen Prozess zur Identifizierung, Bewertung und Minderung von Risiken, die von Ihrem KI-System ausgehen.
  ‍
• Menschliche Aufsicht: Stellen Sie sicher, dass Menschen jederzeit in der Lage sind, die KI zu überwachen, zu steuern und notfalls abzuschalten.
  ‍
• Qualitätsmanagementsystem: Implementieren Sie Prozesse, die die Einhaltung der Vorschriften über den gesamten Lebenszyklus des KI-Systems sicherstellen.

‍

Phase 4: KI-Kompetenz im Unternehmen aufbauen

‍

Wie die Haufe Akademie treffend hervorhebt, ist Compliance auch eine Frage der Kompetenz. Ihre Mitarbeiter müssen die Funktionsweise und die Risiken der von ihnen genutzten KI-Systeme verstehen.

‍

• Checkliste für den CTO: Führen Sie technische Schulungen für Entwicklerteams zu den Themen Robustheit, Cybersicherheit und Genauigkeit von KI-Systemen durch.
  ‍
• Checkliste für die Personalabteilung: Entwickeln Sie ein Schulungsprogramm für alle Mitarbeiter, die KI-Systeme nutzen, um das Bewusstsein für ethische und rechtliche Grenzen zu schärfen.

‍

Sanktionen und Haftung: Was bei Verstößen droht

‍

Die potenziellen Strafen unterstreichen die Ernsthaftigkeit des AI Acts. Die Aufsichtsbehörden haben weitreichende Befugnisse, die Nichteinhaltung zu ahnden.

‍

• Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für den Einsatz verbotener KI-Systeme.
• Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes für Verstöße gegen die Pflichten für Hochrisiko-Systeme.
• Bis zu 7,5 Mio. € oder 1,5 % des weltweiten Jahresumsatzes für die Bereitstellung falscher Informationen an Behörden.

‍

Diese Zahlen machen deutlich: Compliance ist keine Option, sondern eine geschäftskritische Notwendigkeit.

‍

Der nächste Schritt: Compliance-Prozesse automatisieren

‍

Der EU AI Act stellt Unternehmen vor komplexe Herausforderungen, die manuell kaum zu bewältigen sind. Die Verwaltung von Risikobewertungen, die Erstellung technischer Dokumentationen und die kontinuierliche Überwachung erfordern eine strukturierte und effiziente Herangehensweise.

‍

Hier kommen intelligente Automatisierungslösungen ins Spiel. SECJURs Digital Compliance Platform wurde entwickelt, um genau diese Prozesse zu vereinfachen. Mit unserem AI-gestützten Ansatz können Sie Compliance-Anforderungen systematisch umsetzen, den Aufwand reduzieren und Rechtssicherheit gewinnen. Anstatt sich in Checklisten und Dokumenten zu verlieren, können Sie sich auf das konzentrieren, was wirklich zählt: die sichere und innovative Nutzung von KI in Ihrem Unternehmen.

‍

FAQ: Häufige Fragen zum EU AI Act

‍

Gilt der AI Act auch für Open-Source-Modelle?

‍

‍Ja, aber mit Ausnahmen. Der AI Act gilt grundsätzlich nicht für KI-Modelle, die unter einer freien und quelloffenen Lizenz veröffentlicht werden, es sei denn, sie werden als Hochrisiko- oder verbotenes System in Verkehr gebracht.

‍

Was ist der Unterschied zwischen dem AI Act und der DSGVO?

‍

‍Die DSGVO schützt personenbezogene Daten, während der AI Act die Entwicklung und den Einsatz von KI-Systemen an sich reguliert. Die beiden Gesetze überschneiden sich, insbesondere bei KI-Systemen, die personenbezogene Daten verarbeiten. Unternehmen müssen oft beide Regelwerke parallel beachten.

‍

Benötigen wir einen "AI-Beauftragten" ähnlich dem Datenschutzbeauftragten?

‍

‍Der AI Act schreibt nicht explizit eine solche Rolle vor. Angesichts der Komplexität ist es jedoch für viele Unternehmen ratsam, eine klare Verantwortlichkeit zu benennen, die die Compliance-Aktivitäten koordiniert.

‍

Wie weise ich die Konformität meines Hochrisiko-KI-Systems nach?

‍

‍Anbieter von Hochrisiko-Systemen müssen eine Konformitätsbewertung durchführen und eine EU-Konformitätserklärung ausstellen. Das System muss zudem mit einer CE-Kennzeichnung versehen werden, bevor es auf den Markt kommt.

‍