Home
AI
AI Solutions
AI Act Assessment

AI Act Assessment – Vorgaben verlässlich prüfen

So wird Komplexität einfach(er)

Mit der der europäischen KI-Verordnung (AI Act) sind Unternehmen verpflichtet, Vorgaben einzuhalten, wenn sie KI-Lösungen entwickeln, bereitstellen und nutzen. Da erste Teile des AI Act bereits ab August 2024 und dann vollständig bis 2026 in Kraft treten, ist eine Konformitätsprüfung des KI-Systems bzw. -Modells gegen die konkreten Vorgaben bereits jetzt zwingend geboten.

Wir machen für euch die damit verbundene Komplexität beherrschbar und haben ein nutzerorientiertes Bewertungsschema entwickelt, das wir auch toolgestützt zur Verfügung stellen.

Mehr erfahren

Anforderungen aus dem AI Act verstehen, bewerten & erfüllen

Der AI Act legt einen risikobasierten Rahmen fest, der je nach Risiko einer bestimmten Lösung, verschiedene Rechte und Pflichten für das Unternehmen vorsieht. Entscheidend ist dabei, ob euer Unternehmen im Sinne der Verordnung als "Betreiber" oder als "Anbieter" einzustufen ist und in welche Risikoklasse die in Frage stehende KI fällt. Infolge einer Konformitätsprüfung gegen den AI Act erfahrt ihr, ob Handlungsbedarf besteht oder bereits alle Voraussetzungen erfüllt sind.

Unser Assessment verfolgt dabei eine möglichst einfache Logik zur Ein- bzw. Bewertung der jeweiligen Anforderung aus dem AI-Act. Der User wird systematisch durch unser AI Act Assessment geführt. In Abhängigkeit der getroffenen Antwort gelangt er zur nächsten relevanten Fragestellung und der dahinter stehenden gesetzlichen Regelung. So müsst ihr euch in der Fülle der Anforderungen auch nur mit solchen Regelungen auseinandersetzen, die für euren konkreten KI-Anwendungsfall zutreffend sind – alle übrigen werden "übersprungen".

Besteht für uns Handlungsbedarf?

Sind wir "Betreiber" oder "Anbieter"?

Was müssen wir zwingend bewerten, was nicht?

Kontakt aufnehmen Mehr erfahren

Deine Vorteile des AI Act Assessment

Das AI Act Assessment befähigt euch zu einer unkomplizierten Prüfung und gibt euch verlässlich Antwort, ob und welche Maßnahmen ihr im Kontext von Entwicklung, Training und Nutzung der KI (noch) treffen müsst. Dafür bietet es euch folgende Vorteile:

Strukturierte und aufeinander aufbauende Fragen zu den Einzelregelungen aus dem AI Act – aus Perspektive des Bearbeiters bzw. Nutzers betrachtet
Vordefinierte Auswahlfelder zur Beantwortung
Erläuternde Hinweise und Hintergrundinformationen inkl. eingebettetem Gesetzeswortlaut für eine schnelle und leichtere Bewertung
Dokumentation aller Bewertungsergebnisse und Zusammenführung in einer Ergebnisübersicht – ideal geeignet zum Aufbau eines zentralen KI-Registers
Zentrales Werkzeug für eure KI-Governance und KI-Compliance

Lass dich unterstützen!

Gerne stehen wir euch bei Bedarf auch beratend mit unserer KI-Expertise zur Verfügung und unterstützen euch in der gemeinsamen Bewertung im AI Act Risk Assessment.

Kontakt aufnehmen Mehr erfahren

Jetzt loslegen!

Bewertet mit dem AI Act Assessement eure KI-Lösungen

So prüft ihr eure KI-Lösung auf Konformität mit dem AI Act

1. KI-Anwendungsfall erfassen

2. KI-System oder -Modell bestimmen

3. KI-Betreiber oder -Anbieter einstufen

4. Verbotene Praktiken

5. Risikokategorien feststellen

1. KI-Anwendungsfall erfassen

Im ersten Schritt werden die "Metadaten" des Use Case erfasst, der gegen die Anforderungen aus dem AI Act geprüft und bewertet werden soll.
Neben einer kurzen Beschreibung des KI-Anwendungsfalls gehören dazu u.a. auch Angaben zu den verwendeten Input- und erzeugten Output-Daten und zur eingesetzten technischen Architektur etc.
Ein Teil der hier erforderlichen Informationen wird mit hoher Wahrscheinlichkeit im Unternehmen bereits an anderer Stelle bzw. zu anderen Zwecken erfasst (z. B. Beschaffung, Auftragsverarbeitung, Risikoanalyse etc.), so dass auf deren Konsistenz zu achten ist
2. KI-System oder -Modell bestimmen

Im nächsten Schritt geht es darum festzustellen, ob die Lösung im Verständnis der Definition aus dem AI Act überhaupt die Merkmale einer Künstlichen Intelligenz erfüllt (Anwendbarkeit des AI Act).
Ist das der Fall, wird geprüft, ob die Lösung im Sinne des Gesetzes als "KI-System" oder "KI-Modell" einzustufen ist.
Die Einstufung beeinflusst die in der Folge geltenden Anforderungen, die Haftungsverpflichtungen und die Art und Weise, wie Transparenz und Sicherheit gewährleistet werden müssen.
KI-Systeme unterliegen strengeren Vorschriften und Kontrollen, da sie umfassendere Anwendungen darstellen, während KI-Modelle hauptsächlich im Hinblick auf ihre technische Funktionalität und Integrität reguliert werden.
3. KI-Betreiber oder -Anbieter einstufen

Die Frage der Abgrenzung, ob die Voraussetzungen des "Betreibers" oder des "Anbieters" erfüllt sind, sollte nicht unterschätzt werden.
Die Einstufung hat erhebliche, aber unterschiedliche Auswirkungen auf die Pflichten und Verantwortlichkeiten im Zusammenhang mit dem Einsatz von KI-Systemen.
Wenn auch in unterschiedlichen Phasen des Lebenszyklus eines KI-Systems, tragen beide Rollen letztlich zur Gesamtverantwortung für den sicheren und effektiven Einsatz von KI-Technologien bei.
4. Verbotene Praktiken

Nach den Bestimmung des AI Act sind "verbotene Praktiken" spezifische Anwendungen von Künstlicher Intelligenz (KI), die als besonders riskant und ethisch inakzeptabel eingestuft werden. Diese Praktiken sind grundsätzlich verboten, um die Grundrechte und die Sicherheit der Bürger zu schützen.
Unternehmen, die verbotene Praktiken anwenden, müssen sofortige Maßnahmen ergreifen, um den Einsatz dieser Praktiken sofort zu stoppen. Verstöße gegen dieses Verbot führen zu strengen rechtlichen Sanktionen.
5. Risikokategorien feststellen

Die Regelungen des AI Act folgen einem risikobasiertem Ansatz. Er stellt sicher, dass die strengsten Kontrollen und Maßnahmen auf die risikoreichsten Anwendungen angewendet werden, während weniger riskante Anwendungen weniger strengen Regeln unterliegen.
Der AI Act differenziert zwischen vier Kategorien:
- Verbotene Praktiken
- Hochrisiko-KI-Systeme
- KI-Systeme mit Interaktion zu Personen
- KI-Modelle mit allgemeinen Verwendungszweck
Je nach Kategorie ergeben sich abgestufte Verpflichtungen aus der Regulierung des AI Act.
Für KI-Systeme, die keiner der Risikokategorien zugeordnet sind, gelten keine Anforderungen des AI Act, da sie nur minimale oder geringe Risiken mit sich bringen.

AI Act noch besser verstehen?

Du möchtest die Systematik, Vorgaben und Zusammenhänge aus dem AI Act (noch) besser verstehen und dich mit Experten für KI-Compliance dazu austauschen? Dann empfehlen wir dir und deinem Team aus unserer Akademie unsere Schulung zum AI Act.

Kontakt aufnehmen

Auch interessant für dich

Erklärbare KI – ein Buch mit sieben Siegeln?

Die Politik fordert deshalb kategorisch "erklärbare KI", aber die Konzepte dazu stecken noch in den Kinderschuhen. Fachartikel von Claudia Dölker.

KI-Modelle im Fokus - 7. MaRisk-Novelle

Es war nur eine Frage der Zeit, bis die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) KI-Modelle aufgreift. Ein Kommentar.

Data & AI-Seminare

Du willst Vorreiter und Experte sein, wenn es um Data und AI geht? Dann buche für dich und dein Team eines unserer Seminare!

Dein Experte für
den AI Act

Sebastian Dosch
Enabler und Principal Consultant

Du hast Fragen zum AI Act oder einem anderen Regulatorik-Thema? Sebastian Dosch hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt Profil ansehen

AI Act

Der AI Act, auf deutsch KI-Verordnung genannt, sorgt für eine Harmonisierung von Anforderungen für Entwicklung und Nutzung von KI-Systemen in der Europäischen Union (EU). Diese Regelungen sollen das Vertrauen in die KI stärken, in dem Individuen und Unternehmen geschützt werden, bspw. durch Berücksichtigung ethnischer Grundsätze. Gleichzeitig soll die Innovation bei der Entwicklung von KI gesteigert werden.

Der Einsatz von KI wird auf Basis dieser Informationen risikobasiert reguliert:

Je nach Art des Risikos, das von einem KI-System ausgeht, werden diese unterschiedlich stark reguliert. Dies geht über den Verbot von KI-Systemen für bestimmte Zwecke (Art. 5 AI Act) über strenge Bestimmungen für KI-Systemen mit hohen Risiken (Art. 6 ff. AI Act) bis zu Transparenz- und Informationspflichten für bestimmte KI-Systeme (z.B. interagierende Systeme oder Erzeugung manipulierter Audio-, Bild-, Video- oder Textinhalte). Auch Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI oder GPAI) müssen Pflichten erfüllen (Art. 51 ff. AI-Act).

Wenn KI-Systeme in keine der genannten Risikokategorien eingeordnet werden können, beinhalten diese minimale oder wenige Risiken und müssen somit keine Anforderungen des AI Act berücksichtigen.

Inkrafttreten des AI Acts

Der AI Act wird im August 2024 im Europäischen Amtsblatt veröffentlicht. Damit gilt der AI Act ab dem 20. Tag nach der Veröffentlichung. Jedoch teilt sich die Gültigkeit auf:

Bestimmungen zu verbotenen KI-Systemen müssen ab Februar 2025, 6 Monate nach Inkrafttreten, beachtet werden. Verbotene KI-Systeme dürfen ab diesem Zeitpunkt nicht mehr genutzt werden.
Bestimmungen zu KI-Systemen mit allgemeinem Verwendungszweck müssen 12 Monate nach Inkrafttreten, ab August 2025, angewendet werden. Dies betrifft insbesondere die Transparenz- und Informationspflichten.
Zwei Jahre nach Inkrafttreten, ab August 2026, gelten alle Bestimmungen des AI Acts. Dies betrifft insbesondere die Anforderungen an Hochrisiko-KI-Systeme. Eine Ausnahme hiervon gibt es. Diese muss nach einem weiterem Jahr beachtet werden.
Drei Jahre nach Inkrafttreten, also ab August 2027, wird dann auch Art. 6 Abs. 1 und die entsprechenden Pflichten für Hochrisiko-KI-Systeme, die z.B. als Sicherheitsbauteil in Maschinen, Spielzeug, Aufzügen, Seilbahnen oder ähnlichem dienen.

Personengruppen AI Act

Der AI Act nimmt mehrere Personengruppen in die Pflicht, wobei der Anbieter und der Betreiber die wichtigsten sind.

Ein Anbieter nach dem AI Act ist eine natürliche oder juristische Person, die ein KI-System/-Modell entwickelt oder entwickeln lässt und dieses unter einem eigenen Namen vertreibt oder nutzt. Die Definition des Anbieters kann bereits durch Nutzung eines eigenen KI-Systems im Unternehmen erfüllt werden.

Ein Betreiber hingegen ist eine natürliche oder juristische Person, die ein KI-System nutzt. Wichtig hierbei ist, dass die Nutzung des KI-Systems nicht ausschließlich im privaten Umfeld erfolgt. Somit ist jeder Nutzer von KI-Systemen im Beruf nach dem AI Act ein Betreiber.

Risikobasierte Einschätzung von KI-Systemen

Der AI Act regelt den Einsatz und den Umgang mit KI-Systemen. Die Einschätzung beruht dabei auf einem risikobasierten Ansatz:

Dieser Ansatz unterscheidet die Regelungsbedarfe nach Umfang von Risiken, die von den KI-Systemen ausgehen.

KI-Systeme, die ein nicht akzeptables Risiko beinhalten, sind nach dem AI Act verboten.
Für KI-Systeme, die ein hohes Risiko in wichtigen Bereichen für die Menschen beinhalten, gelten besondere Anforderungen. Dies gilt insbesondere in Bezug auf Gesundheit, Sicherheit und Grundrechte.
Bestimmte KI-Systeme, die in direkten oder indirekten Kontakt mit den Nutzern kommen, müssen Informationen offenlegen, um die Entscheidungen und den Umgang mit den KI-Systemen erklären zu können.
Zuletzt gibt es KI-Systeme, die keine oder geringe Risiken beinhalten und deshalb keiner Überwachung bedürfen.

Anforderungen an KI-Systeme

Der AI Act stellt an die unterschiedlichen KI-Systeme je nach Risikoeinschätzung verschiedene Anforderungen:

Für die höchste Kategorie von KI-Systemen mit hohem Risiko beinhaltet der AI Act die meisten Bestimmungen: Hier müssen Risiko-, Qualitäts- und Überwachungssysteme entwickelt werden, um diese über den gesamten Lebenszyklus des KI-Systems aufrechterhalten zu können. Sollten im Laufe des Lebenszyklus durch die Systeme neue Risiken erkannt werden, müssen diese durch neue Maßnahmen mitigiert werden. Weiter müssen zum Zweck der Information und Transparenz der Nutzer auch die Daten überwacht und deren Qualität sicher gestellt werden.

Auch KI-Systeme mit allgemeinem Verwendungszweck, General Purpose AI, müssen bestimmte Dokumentationspflichten erfüllen und die Nutzer informieren.

Handelt es sich um ein KI-System mit allgemeinem Verwendungszweck mit systemischen Risiko, bspw. mit Einfluss auf Gesundheit, Sicherheit oder Grundrechte, so gelten strengere Anforderungen. Insbesondere die Risiken, die mit einem solchen KI-System entstehen können, müssen identifiziert und bewertet werden.

Bei einem KI-System mit direkten oder indirektem Nutzerkontakt gelten vor allem Transparenzpflichten, um die Nutzer über den KI-generierten Ausgabeinhalt, Output, vollständig informieren zu können. So müssen bspw. KI-generierte Bildinhalte als KI-generiert gekennzeichnet werden.

Bei den verschiedenen Anforderungen je KI-System ist es wichtig zu beachten, dass die Anforderungen sowohl für Anbieter als auch für Betreiber gelten können.

Definition von Anbieter und Betreiber

Der AI Act spricht verschiedene Zielgruppen an, die von der Verordnung betroffen sind, wobei Anbieter und Betreiber die wichtigsten sind.

Nach dem AI Act gilt eine natürliche oder juristische Person als Anbieter, die ein KI-System/-Modell entwickelt oder entwickeln lässt und dieses unter einem eigenen Namen vertreibt oder auch nutzt. Somit gilt bereits ein Unternehmen als Anbieter, die ein eigenes KI-System entwickelt und in seinem Unternehmensumfeld nutzt.

Ist man kein Anbieter, könnte man als Betreiber gesehen werden. Ein Betreiber ist eine natürliche oder juristische Person, die ein KI-System im beruflichem Umfeld nutzt. Somit ist jeder Nutzer von KI-Systemen im Unternehmen ein Betreiber nach dem AI Act.

Diese Einschätzung führt zu unterschiedlichen Rechten und Pflichten für die jeweilige Zielgruppe. Dies kann von Anforderungen bei der Entwicklung von KI-Systemen über Anweisungen zum Gebrauch der KI-Systeme bis hin zu einer Registrierung in einer Datenbank reichen. Ebenfalls gibt es auch Bestimmungen für ein Qualitäts- und Risikomanagement über den gesamten Lebenszyklus des KI-Systems.

Wissen für die KI-Nutzung

Notwendiges Wissen für die Nutzung von KI-Systemen kann vielseitig sein. Zunächst müssen die Grundlagen definiert werden, auf denen ein KI-System aufbaut und wie dessen Entscheidungen zustande kommen. Mit diesem Wissen kann man bereits verstehen, worauf bei den Ausgabeinhalten, dem Output, der KI zu achten ist.

Neben den grundlegenden Aspekten kommen noch rechtliche Anforderungen in Betracht. Hier spielen Datenschutz- und Urheberrecht eine große Rolle:

Darf man alle Informationen in ein KI-System geben?
Ist der Output der KI urheberrechtlich geschützt?
Spielt es eine Rolle, auf welchen Daten der Output beruht?

Dies sind nur einige Fragen, die im Bereich der KI wichtig zu klären sind.

Willst du die Antworten zu diesen Fragen erhalten?
Im Rahmen eines Seminars oder Webinars passen wir diese und andere Fragen speziell auf deine Bedürfnisse und die deiner Organisation an. Schau gerne in unser Schulungsangebot!