AI Act: Augen auf bei der Nutzung von KI!

Anforderungen und Pflichten für alle, die KI nutzen

Künstliche Intelligenz (KI) hat in den letzten Jahren an Bedeutung gewonnen und fast jeder nutzt schon heute KI-Systeme  ̶   auch im Unternehmensumfeld. Durch die Nutzung ergeben sich neue Fragen in bekannten Bereichen, wie zum Beispiel Data Governance und Urheberrecht.

Um einheitliche Standards und "Regeln" für Hersteller, Anbieter, Betreiber und Nutzer von KI-Systemen zu schaffen, hat der europäische Gesetzgeber den Artificial Intelligence Act, kurz AI Act, beschlossen.

Mehr erfahren

Anforderungen aus dem AI Act verstehen & handeln

Der AI Act, auch als KI-Verordnung bekannt, ist eines der weltweit ersten Regelwerke zur KI. Er tritt vollständig ab August 2027 in Kraft, während einige Teile schon ab 2025 gelten. Dies hat vor allem für Unternehmen Bedeutung, da die Verordnung Strafen bei Verstößen vorsieht. Der AI Act legt Anforderungen je nach Art des KI-Systems oder -Modells und nach Zielgruppe fest.

Zur Überprüfung und Dokumentation, inwieweit ihr die Anforderungen aus dem AI Act erfüllt und welche Pflichten sich daraus ergeben, haben wir ein Assessment entwickelt, das wir auch toolgestützt einsetzen – eng verbunden mit der Analyse KI-spezifischer Risiken und der Zusammenstellung eurer AI Use Cases in einem zentralen Register.

Damit behaltet ihr den Überblick über die Regelungen, setzt die Anforderungen erfolgreich um und geht gestärkt aus der Umsetzung hervor:

Auswahl von KI

Wir unterstützen euch bei der Auswahl von KI-Systemen und -Modellen. Zunächst beginnen wir mit der Analyse eurer Use Cases:

Wofür könnt ihr KI am meisten gebrauchen? Lohnt es sich, das System selbst zu entwickeln, oder solltet ihr es besser einkaufen (Make-or-Buy-Entscheidung)?

Bei der Auswahl eines passenden KI-Systems vergleich wir die Anbieter nach den relevanten Kriterien wie Datenschutz, Verwendung von Trainingsdaten, Kosten sowie Funktionen.

Einordnung von KI

Ihr wollt ein KI-System oder -Modell entwickeln oder nutzen und fragt euch, welche Anforderungen der AI Act an euch stellt?

Wir helfen euch bei der Risikoeinstufung eurer KI und führen auf, welche Pflichten z.B. als Anbieter oder Betreiber auf euch zukommen.

Gestaltung von KI-Compliance

Wir begleiten euch bei der Analyse von KI-Systemen oder -Modellen, egal ob Eigenentwicklung oder Zukauf.

Der AI Act schreibt verschiedene Anforderungen vor, die je nach Ausgestaltung der KI eingehalten werden müssen. Wir unterstützen euch dabei, eure KI rechtskonform zu gestalten. Dies beinhaltet auch die Erstellung von internen Leitlinien für euer Unternehmen.

Aufbau einer KI-Governance

Die Anforderungen für KI-Systeme müssen während des gesamten Lebenszyklus berücksichtigt werden. Dafür ist eine passende Unternehmensstruktur hilfreich. Wir unterstützen euch bei der Verbesserung eurer bestehenden Governance und bewerten mit euch relevante Rollen und Funktionen.

Aufbau von KI-Kompetenzen

Der AI Act betrifft euch als Nutzer einer KI und kann auch Unternehmen treffen, deren Mitarbeitende zur Erledigung ihrer Arbeit KI einsetzen.
Ihr braucht ausreichendes KI-Wissen, um die Ergebnisse der KI, den Output, richtig und verantwortungsbewusst zu nutzen.

Unsere Seminare und Webinare helfen euch, euer KI-Know-how zu verbessern. So könnt ihr auch weiterhin erfolgreich im Bereich KI aktiv sein.

Lösungen für dich

Lass uns besprechen, wie wir die AI-Act-Umsetzung in deiner Organisation angehen - auch toolgestützt mit CloudGate.

Icon AI

Jetzt handeln!

Ermittelt mit uns eure Pflichten aus dem AI Act.

Der AI Act legt inhaltlich drei Schwerpunkte fest:

Icon Data AI

Anforderungen für KI

  • verbotene KI-Systeme
  • Hochrisiko-KI-Systeme
  • KI-Modelle mit allgemeinem Verwendungszweck
Icon Menschen

Anforderungen für Anbieter und Betreiber

  • Überwachung
  • Informationen und Nachweise
  • Nutzungspflichten
Icon Kompass

Grundsätze beim Umgang mit KI

  • Transparenzpflichten
  • vertrauensvolle KI
  • Wissen

AI Act - wichtige Termine

Der AI-Act tritt stufenweise in Kraft. Seine Bestimmungen müssen ab August 2026 vollständig angewendet werden.
 

Warum du dich dringend mit dem AI Act befassen solltest

1. Inkrafttreten des AI Act ab August 2024

2. Anforderungen für die Entwicklung von KI-Systemen und -Modellen

3. Einfluss auf die Entscheidung eines KI-Systems oder eines KI-Modells

4. Sicherheit im Umgang mit KI-Systemen und KI-Modellen

5. Zunehmende Bedeutung von KI

  • Inkrafttreten des AI Act

    1. Inkrafttreten des AI Act ab August 2024

    Im August 2024 wird der AI Act in Kraft gesetzt und dann Schritt für Schritt Anwendung finden. Die vollständige Verordnung des europäischen Gesetzgebers gilt erst ab August 2027. Entgegen des üblicherweise für die Umsetzung zur Verfügung stehenden Zweijahres-Zeitraums, müssen einige Teile schon vorher angewendet und befolgt werden. Dies betrifft unter anderem die Regelungen zu verbotenen KI-Systemen und zu KI-Modellen mit allgemeinem Verwendungszweck, General Purpose AI (GPAI).

    Deshalb müssen sich Unternehmen schon jetzt mit den Anforderungen für diese KI-Anwendungsfälle beschäftigen!

  • Anforderungen KI

    2. Anforderungen für die Entwicklung von KI-Systemen und -Modellen

    Der AI Act legt fest, welche Voraussetzungen KI-Systeme und KI-Modelle erfüllen müssen. Das betrifft vor allem Unternehmen, die sich aktuell oder in naher Zukunft für die Entwicklung einer eigenen KI entschieden haben. Da die Entwicklung viel Zeit in Anspruch nehmen kann, solltet ihr von Beginn an die künftigen Anforderungen berücksichtigen und umsetzen.

  • KI-Entscheidung

    3. Einfluss auf die Entscheidung eines KI-Systems oder eines KI-Modells

    Der AI Act kann schon jetzt die Wahl zwischen Eigen-, Fremdentwicklung oder Kauf eines KI-Systems bzw. -Modells beeinflussen (Make-or-Buy). Bei der Entwicklung müssen Unternehmen die Pflichten des AI Acts für die verschiedenen KI-Systeme und beteiligten Personen beachten. Bei der Kaufentscheidung kann es wichtig sein, ob die Anbieter den AI Act einhalten, um bei der vollen Umsetzung der Verordnung die Konformität gewährleisten zu können.

  • Sicherheit bei KI

    4. Sicherheit im Umgang mit KI-Systemen und KI-Modellen

    KI-Kompetenz ist nicht nur für den AI Act relevant. Da KI immer mehr in unserem Alltag zum Einsatz kommt, ist es wichtig zu wissen, wie die Inhalte entstehen und worauf man achten muss.
    Der AI Act definiert neue Rollen im Zusammenhang mit KI, die jeweils verschiedene Rechte und Pflichten haben. So ist es z.B. wichtig zu wissen, ob man Anbieter oder Betreiber eines KI-Systems ist. Und diese Einstufung kann sich auch im Lifecycle der eingesetzten KI ändern, so dass man vom Betreiber zum Anbieter wird – mit einer teilweise erheblich größeren Anzahl von Pflichten, die dann zu erfüllen sind.

  • Bedeutung von KI

    5. Zunehmende Bedeutung von KI

    KI wird in den kommenden Jahren immer wichtiger werden, wie die Trends der Vergangenheit zeigen. Deshalb sollten Unternehmen schon jetzt anfangen, den AI Act zu implementieren, um sich auf die Zukunft vorzubereiten. Dies kann auch als Basis für andere mögliche KI-Gesetze in anderen Ländern dienen, die vielleicht auch, so wie der AI Act selbst, nicht nur in ihrem Ursprungsland, sondern international gelten. Vor allem Unternehmen, die weltweit operieren, müssen die einschlägigen Gesetzgebungen verfolgen und einhalten.

Auch interessant für dich

AI Act Assessment

Nutze unser Bewertungsschema für die Einordnung von KI-Lösungen gemäß AI Act. Mehr Infos hier!

KI-Modelle im Fokus - 7. MaRisk-Novelle

Es war nur eine Frage der Zeit, bis die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) KI-Modelle aufgreift. Ein Kommentar.

Data & AI-Seminare

Du willst Vorreiter und Experte sein, wenn es um Data und AI geht? Dann buche für dich und dein Team eines unserer Seminare!

Dein Experte für
den AI Act

Sebastian Dosch
Enabler und Principal Consultant

Du hast Fragen zum AI Act oder einem anderen Regulatorik-Thema? Sebastian Dosch hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt     Profil ansehen

×
×

AI Act

Der AI Act, auf deutsch KI-Verordnung genannt, sorgt für eine Harmonisierung von Anforderungen für Entwicklung und Nutzung von KI-Systemen in der Europäischen Union (EU). Diese Regelungen sollen das Vertrauen in die KI stärken, in dem Individuen und Unternehmen geschützt werden, bspw. durch Berücksichtigung ethnischer Grundsätze. Gleichzeitig soll die Innovation bei der Entwicklung von KI gesteigert werden.

Der Einsatz von KI wird auf Basis dieser Informationen risikobasiert reguliert:

KI-Systeme des AI Act

Je nach Art des Risikos, das von einem KI-System ausgeht, werden diese unterschiedlich stark reguliert. Dies geht über den Verbot von KI-Systemen für bestimmte Zwecke (Art. 5 AI Act) über strenge Bestimmungen für KI-Systemen mit hohen Risiken (Art. 6 ff. AI Act) bis zu Transparenz- und Informationspflichten für bestimmte KI-Systeme (z.B. interagierende Systeme oder Erzeugung manipulierter Audio-, Bild-, Video- oder Textinhalte). Auch Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI oder GPAI) müssen Pflichten erfüllen (Art. 51 ff. AI-Act).

Wenn KI-Systeme in keine der genannten Risikokategorien eingeordnet werden können, beinhalten diese minimale oder wenige Risiken und müssen somit keine Anforderungen des AI Act berücksichtigen.

×

Inkrafttreten des AI Acts

Der AI Act wird im August 2024 im Europäischen Amtsblatt veröffentlicht. Damit gilt der AI Act ab dem 20. Tag nach der Veröffentlichung. Jedoch teilt sich die Gültigkeit auf:

  1. Bestimmungen zu verbotenen KI-Systemen müssen ab Februar 2025, 6 Monate nach Inkrafttreten, beachtet werden. Verbotene KI-Systeme dürfen ab diesem Zeitpunkt nicht mehr genutzt werden.
  2. Bestimmungen zu KI-Systemen mit allgemeinem Verwendungszweck müssen 12 Monate nach Inkrafttreten, ab August 2025, angewendet werden. Dies betrifft insbesondere die Transparenz- und Informationspflichten.
  3. Zwei Jahre nach Inkrafttreten, ab August 2026, gelten alle Bestimmungen des AI Acts. Dies betrifft insbesondere die Anforderungen an Hochrisiko-KI-Systeme. Eine Ausnahme hiervon gibt es. Diese muss nach einem weiterem Jahr beachtet werden.
  4. Drei Jahre nach Inkrafttreten, also ab August 2027, wird dann auch Art. 6 Abs. 1 und die entsprechenden Pflichten für Hochrisiko-KI-Systeme, die z.B. als Sicherheitsbauteil in Maschinen, Spielzeug, Aufzügen, Seilbahnen oder ähnlichem dienen.
×

Personengruppen AI Act

Der AI Act nimmt mehrere Personengruppen in die Pflicht, wobei der Anbieter und der Betreiber die wichtigsten sind.

AI Act Personengruppen

Ein Anbieter nach dem AI Act ist eine natürliche oder juristische Person, die ein KI-System/-Modell entwickelt oder entwickeln lässt und dieses unter einem eigenen Namen vertreibt oder nutzt. Die Definition des Anbieters kann bereits durch Nutzung eines eigenen KI-Systems im Unternehmen erfüllt werden.

Ein Betreiber hingegen ist eine natürliche oder juristische Person, die ein KI-System nutzt. Wichtig hierbei ist, dass die Nutzung des KI-Systems nicht ausschließlich im privaten Umfeld erfolgt. Somit ist jeder Nutzer von KI-Systemen im Beruf nach dem AI Act ein Betreiber.

×

Risikobasierte Einschätzung von KI-Systemen

Der AI Act regelt den Einsatz und den Umgang mit KI-Systemen. Die Einschätzung beruht dabei auf einem risikobasierten Ansatz:

AI Act Risikokategorien

Dieser Ansatz unterscheidet die Regelungsbedarfe nach Umfang von Risiken, die von den KI-Systemen ausgehen.

  • KI-Systeme, die ein nicht akzeptables Risiko beinhalten, sind nach dem AI Act verboten.
  • Für KI-Systeme, die ein hohes Risiko in wichtigen Bereichen für die Menschen beinhalten, gelten besondere Anforderungen. Dies gilt insbesondere in Bezug auf Gesundheit, Sicherheit und Grundrechte.
  • Bestimmte KI-Systeme, die in direkten oder indirekten Kontakt mit den Nutzern kommen, müssen Informationen offenlegen, um die Entscheidungen und den Umgang mit den KI-Systemen erklären zu können.
  • Zuletzt gibt es KI-Systeme, die keine oder geringe Risiken beinhalten und deshalb keiner Überwachung bedürfen.
×

Anforderungen an KI-Systeme

Der AI Act stellt an die unterschiedlichen KI-Systeme je nach Risikoeinschätzung verschiedene Anforderungen:

Anforderungen an KI-Systeme

Für die höchste Kategorie von KI-Systemen mit hohem Risiko beinhaltet der AI Act die meisten Bestimmungen: Hier müssen Risiko-, Qualitäts- und Überwachungssysteme entwickelt werden, um diese über den gesamten Lebenszyklus des KI-Systems aufrechterhalten zu können. Sollten im Laufe des Lebenszyklus durch die Systeme neue Risiken erkannt werden, müssen diese durch neue Maßnahmen mitigiert werden. Weiter müssen zum Zweck der Information und Transparenz der Nutzer auch die Daten überwacht und deren Qualität sicher gestellt werden.

Auch KI-Systeme mit allgemeinem Verwendungszweck, General Purpose AI, müssen bestimmte Dokumentationspflichten erfüllen und die Nutzer informieren.

Handelt es sich um ein KI-System mit allgemeinem Verwendungszweck mit systemischen Risiko, bspw. mit Einfluss auf Gesundheit, Sicherheit oder Grundrechte, so gelten strengere Anforderungen. Insbesondere die Risiken, die mit einem solchen KI-System entstehen können, müssen identifiziert und bewertet werden.

Bei einem KI-System mit direkten oder indirektem Nutzerkontakt gelten vor allem Transparenzpflichten, um die Nutzer über den KI-generierten Ausgabeinhalt, Output, vollständig informieren zu können. So müssen bspw. KI-generierte Bildinhalte als KI-generiert gekennzeichnet werden.

Bei den verschiedenen Anforderungen je KI-System ist es wichtig zu beachten, dass die Anforderungen sowohl für Anbieter als auch für Betreiber gelten können.

×

Definition von Anbieter und Betreiber

Der AI Act spricht verschiedene Zielgruppen an, die von der Verordnung betroffen sind, wobei Anbieter und Betreiber die wichtigsten sind.

AI Act Personengruppen

Nach dem AI Act gilt eine natürliche oder juristische Person als Anbieter, die ein KI-System/-Modell entwickelt oder entwickeln lässt und dieses unter einem eigenen Namen vertreibt oder auch nutzt. Somit gilt bereits ein Unternehmen als Anbieter, die ein eigenes KI-System entwickelt und in seinem Unternehmensumfeld nutzt.

Ist man kein Anbieter, könnte man als Betreiber gesehen werden. Ein Betreiber ist eine natürliche oder juristische Person, die ein KI-System im beruflichem Umfeld nutzt. Somit ist jeder Nutzer von KI-Systemen im Unternehmen ein Betreiber nach dem AI Act.

Diese Einschätzung führt zu unterschiedlichen Rechten und Pflichten für die jeweilige Zielgruppe. Dies kann von Anforderungen bei der Entwicklung von KI-Systemen über Anweisungen zum Gebrauch der KI-Systeme bis hin zu einer Registrierung in einer Datenbank reichen. Ebenfalls gibt es auch Bestimmungen für ein Qualitäts- und Risikomanagement über den gesamten Lebenszyklus des KI-Systems.

×

Wissen für die KI-Nutzung

Notwendiges Wissen für die Nutzung von KI-Systemen kann vielseitig sein. Zunächst müssen die Grundlagen definiert werden, auf denen ein KI-System aufbaut und wie dessen Entscheidungen zustande kommen. Mit diesem Wissen kann man bereits verstehen, worauf bei den Ausgabeinhalten, dem Output, der KI zu achten ist.

Neben den grundlegenden Aspekten kommen noch rechtliche Anforderungen in Betracht. Hier spielen Datenschutz- und Urheberrecht eine große Rolle:

  • Darf man alle Informationen in ein KI-System geben?
  • Ist der Output der KI urheberrechtlich geschützt?
  • Spielt es eine Rolle, auf welchen Daten der Output beruht?

Dies sind nur einige Fragen, die im Bereich der KI wichtig zu klären sind.

Willst du die Antworten zu diesen Fragen erhalten?
Im Rahmen eines Seminars oder Webinars passen wir diese und andere Fragen speziell auf deine Bedürfnisse und die deiner Organisation an. Schau gerne in unser Schulungsangebot!