EU AI Act: Compliance für KI-Dienste von Nicht-EU-Anbietern

Sitzt Ihr Unternehmen in den USA, Großbritannien oder Asien, aber Ihre KI-gestützten Dienste werden von Kunden in Europa genutzt? Dann haben Sie wahrscheinlich schon vom EU AI Act gehört – und sich vielleicht gefragt: „Betrifft uns das überhaupt?“

Die kurze Antwort ist ein klares Ja.

‍

Ein weit verbreitetes Missverständnis ist, dass Gesetze wie der AI Act nur für Unternehmen gelten, die physisch in der Europäischen Union ansässig sind. Doch das ist ein kostspieliger Irrtum. Der AI Act folgt einem Prinzip, das weitreichende Konsequenzen für globale Technologieanbieter hat: dem Marktortprinzip.

‍

Einfach ausgedrückt: Es spielt keine Rolle, wo Ihr Unternehmen registriert ist oder wo Ihre Server stehen. Wenn Ihr KI-System auf dem EU-Markt bereitgestellt wird oder das Ergebnis Ihrer KI-Anwendung in der EU genutzt wird, unterliegen Sie den Regeln des AI Acts. Bei Nichteinhaltung drohen Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

‍

Dieser Artikel ist Ihr Leitfaden, um die extraterritorialen Auswirkungen des EU AI Acts zu verstehen und die notwendigen Schritte für die Compliance Ihres Nicht-EU-Unternehmens einzuleiten.

‍

Das Wichtigste zuerst: Warum der AI Act auch Ihr Unternehmen betrifft

‍

Der AI Act wurde entwickelt, um Vertrauen in künstliche Intelligenz zu schaffen und die Grundrechte der EU-Bürger zu schützen. Um dieses Ziel zu erreichen, schaut das Gesetz nicht auf den Standort des Anbieters, sondern auf den Ort der Nutzung. Dieses extraterritoriale Prinzip ist der Kern, den Nicht-EU-Unternehmen verstehen müssen.

‍

Stellen Sie sich vor, ein US-amerikanisches SaaS-Unternehmen bietet eine HR-Software an, die KI zur Analyse von Bewerbungen nutzt. Sobald ein Unternehmen in Deutschland diese Software einsetzt, um Kandidaten zu bewerten, wird das Ergebnis der KI in der EU wirksam. Damit fällt das US-Unternehmen direkt in den Anwendungsbereich des AI Acts.

‍

‍

Der risikobasierte Ansatz: Nicht jede KI ist gleich

‍

Der AI Act stuft KI-Systeme in vier Risikoklassen ein, um die Regulierung verhältnismäßig zu gestalten:

‍

1. Inakzeptables Risiko: Systeme, die eine klare Bedrohung für die Grundrechte darstellen, sind verboten. Beispiele sind Social Scoring durch Regierungen oder die Manipulation menschlichen Verhaltens.
   ‍
2. Hohes Risiko: Dies ist die wichtigste Kategorie. Hierunter fallen KI-Systeme, die in kritischen Bereichen wie Personalwesen (Bewerberauswahl), kritischer Infrastruktur, medizinischen Geräten oder biometrischer Identifizierung eingesetzt werden. Für diese Systeme gelten die strengsten Anforderungen.
   ‍
3. Begrenztes Risiko: KI-Systeme wie Chatbots oder Deepfakes müssen transparent machen, dass der Nutzer mit einer Maschine interagiert oder Inhalte künstlich erzeugt wurden.
   ‍
4. Minimales Risiko: Die große Mehrheit der KI-Anwendungen wie spamfilter oder KI-gestützte Videospiele. Hier gibt es keine neuen Verpflichtungen.

‍

Für Ihr Unternehmen ist die entscheidende erste Aufgabe, zu ermitteln, in welche dieser Kategorien Ihre KI-Dienste fallen.

‍

Schlüsselrollen verstehen: Provider, User und der EU-Bevollmächtigte

‍

Der AI Act definiert klare Verantwortlichkeiten. Für ein Nicht-EU-Unternehmen sind drei Rollen besonders wichtig:

‍

• Provider (Anbieter): Das sind Sie – die Organisation, die ein KI-System entwickelt und unter eigenem Namen oder eigener Marke auf den Markt bringt.
  ‍
• User (Nutzer/Anwender): Dies ist Ihr Kunde in der EU, der das KI-System im Rahmen seiner beruflichen Tätigkeit einsetzt.
  ‍
• Authorised Representative (Bevollmächtigter): Da Ihr Unternehmen keinen Sitz in der EU hat, sind Sie gesetzlich verpflichtet, einen Bevollmächtigten in der EU zu benennen. Diese natürliche oder juristische Person agiert als Ihr offizieller Ansprechpartner für Behörden und stellt sicher, dass Sie Ihre Pflichten erfüllen.

‍

Compliance in der Praxis: Ein 5-Schritte-Plan für Nicht-EU-Anbieter

‍

Die Anforderungen des AI Acts mögen komplex erscheinen, aber mit einem systematischen Ansatz können Sie den Weg zur Compliance meistern.

‍

‍

Schritt 1: Inventarisieren Sie Ihre KI-Systeme

‍

Beginnen Sie damit, alle KI-Komponenten in Ihren Produkten und Dienstleistungen zu identifizieren, die auf dem EU-Markt angeboten werden. Erstellen Sie eine Liste und beschreiben Sie den Zweck jeder einzelnen Anwendung.

‍

Schritt 2: Führen Sie eine Risikoklassifizierung durch

‍

Bewerten Sie jedes identifizierte KI-System anhand der Kriterien des AI Acts. Fragen Sie sich: In welchem Kontext wird die KI eingesetzt? Könnte sie wesentliche Auswirkungen auf die Sicherheit, die Gesundheit oder die Grundrechte von Personen haben? Die Frage, welche Risikoklassen der EU AI Act definiert, ist hierbei zentral. Wenn Ihre KI beispielsweise im Recruiting eingesetzt wird, ist sie mit hoher Wahrscheinlichkeit als Hochrisiko-System einzustufen.

‍

Schritt 3: Erfüllen Sie die Anforderungen für Hochrisiko-Systeme

‍

Falls Sie Hochrisiko-KI-Systeme anbieten, müssen Sie umfangreiche Pflichten erfüllen. Dazu gehören:

‍

• Risikomanagementsystem: Etablieren Sie einen kontinuierlichen Prozess zur Identifizierung und Minderung von Risiken.
  ‍
• Datenqualität: Stellen Sie sicher, dass die Trainings-, Validierungs- und Testdatensätze relevant, repräsentativ und fehlerfrei sind. Eine hohe AI-Datenqualität ist die Grundlage für ein faires und zuverlässiges System.
  ‍
• Technische Dokumentation: Erstellen und pflegen Sie eine detaillierte Dokumentation, die die Funktionsweise, den Zweck und die Einhaltung der Vorschriften nachweist.
  ‍
• Menschliche Aufsicht: Implementieren Sie Maßnahmen, die eine effektive menschliche Kontrolle des KI-Systems ermöglichen.
  ‍
• Transparenz und Cybersicherheit: Sorgen Sie für robuste Sicherheitsmaßnahmen und stellen Sie den Nutzern klare Informationen zur Verfügung.

‍

Schritt 4: Benennen Sie einen EU-Bevollmächtigten

‍

Dies ist ein nicht verhandelbarer Schritt für Nicht-EU-Anbieter. Ihr Bevollmächtigter ist Ihre rechtliche Vertretung vor Ort. Er hält eine Kopie Ihrer technischen Dokumentation bereit, kooperiert mit den Aufsichtsbehörden und fungiert als Kontaktstelle. Die Wahl eines kompetenten Partners ist entscheidend, oft wird hier auf Software Security Consulting spezialisierte Dienstleister zurückgegriffen.

‍

Schritt 5: Führen Sie eine Konformitätsbewertung durch

‍

Für Hochrisiko-Systeme müssen Sie nachweisen, dass alle Anforderungen erfüllt sind. Dies geschieht durch eine Konformitätsbewertung. Nach erfolgreichem Abschluss stellen Sie eine EU-Konformitätserklärung aus und bringen das CE-Kennzeichen an Ihrem Produkt (bzw. in der Software und Begleitdokumentation) an.

‍

Das Zusammenspiel mit der DSGVO

‍

Viele Nicht-EU-Unternehmen sind bereits mit der Datenschutz-Grundverordnung (DSGVO) vertraut. Der AI Act und die DSGVO ergänzen sich. Während sich die DSGVO auf den Schutz personenbezogener Daten konzentriert, regelt der AI Act die Sicherheit und die Grundrechtskonformität von KI-Systemen. Daten, die zum Training von KI-Modellen verwendet werden, müssen sowohl den Anforderungen der DSGVO als auch den Datenqualitätsvorgaben des AI Acts entsprechen. Ein tiefes Verständnis der General Data Protection Regulation auf Deutsch bleibt also unerlässlich.

‍

Ihr Weg zur AI Act Compliance: Eine Zusammenfassung

‍

Die Einhaltung des EU AI Acts ist für globale Unternehmen keine Option, sondern eine Notwendigkeit, um auf dem europäischen Markt erfolgreich zu sein. Es geht nicht nur darum, Strafen zu vermeiden, sondern auch darum, Vertrauen bei Ihren europäischen Kunden aufzubauen.

‍

‍

Die nächsten Schritte: Von der Theorie zur Praxis

‍

Der EU AI Act schafft einen globalen Standard für vertrauenswürdige KI. Für Nicht-EU-Unternehmen ist es entscheidend, jetzt proaktiv zu handeln. Beginnen Sie mit der Bewertung Ihres Portfolios und der Identifizierung potenzieller Hochrisiko-Systeme.

‍

Die Navigation durch diese neuen regulatorischen Anforderungen kann eine Herausforderung sein. Der Einsatz von EU AI Act Compliance Software kann den Prozess erheblich vereinfachen, indem er Sie durch die Inventarisierung, Risikobewertung und Dokumentation führt. Für komplexe Fälle kann auch spezialisiertes IT Consulting Software wertvolle Unterstützung bieten, um eine maßgeschneiderte Compliance-Strategie zu entwickeln.

‍

Warten Sie nicht, bis die Übergangsfristen enden. Beginnen Sie noch heute damit, Ihr Unternehmen zukunftssicher zu machen und das Vertrauen Ihrer europäischen Kunden zu stärken.

‍

Häufig gestellte Fragen (FAQ) für Nicht-EU-Unternehmen

‍

Frage: Gilt der AI Act auch für B2B-Unternehmen?

‍

‍Ja, absolut. Wenn Sie ein KI-System an ein anderes Unternehmen in der EU verkaufen (den „User“), sind Sie als „Provider“ vollumfänglich für die Compliance des Systems verantwortlich.

‍

Frage: Mein Unternehmen hat keine Niederlassung in der EU. Wer ist vor Ort rechtlich verantwortlich?

‍

‍Ihr benannter EU-Bevollmächtigter ist der rechtlich verantwortliche Ansprechpartner für die nationalen Aufsichtsbehörden. Er handelt in Ihrem Auftrag. Ohne ihn dürfen Sie Ihr Hochrisiko-KI-System nicht auf dem EU-Markt anbieten.

‍

Frage: Was ist der Unterschied zwischen einem „Provider“ und einem „User“?

‍

‍Der Provider entwickelt die KI und bringt sie auf den Markt. Der User (Anwender) setzt die KI im Rahmen seiner beruflichen Tätigkeit ein. Ein Krankenhaus, das eine KI-Diagnosesoftware nutzt, ist der User; das Unternehmen, das die Software entwickelt hat, ist der Provider.

‍

Frage: Wie fange ich am besten an?

‍

‍Der erste Schritt ist immer eine interne Bestandsaufnahme: Welche KI-Systeme haben wir? Wo werden sie eingesetzt? Erstellen Sie eine Projektgruppe und beginnen Sie mit der Risikobewertung.

‍