Der EU AI Act (Verordnung EU 2024/1689) ist seit dem 1. August 2024 in Kraft und wird schrittweise verbindlich. Er ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz und gilt für alle Unternehmen, die KI-Systeme in der EU anbieten oder nutzen, unabhängig davon, wo das Unternehmen seinen Sitz hat.
Vier Risikoklassen, vier unterschiedliche Anforderungen
Der AI Act unterscheidet KI-Anwendungen nach ihrem Risiko in vier Kategorien. Anwendungen mit inakzeptablem Risiko sind vollständig verboten, darunter Systeme zur biometrischen Massenüberwachung im öffentlichen Raum oder KI, die Menschen durch unterschwellige Techniken manipuliert. Diese Verbote gelten seit dem 2. Februar 2025. Anwendungen mit hohem Risiko, etwa im Personalwesen, in der Kreditvergabe oder in sicherheitskritischen Infrastrukturen, unterliegen strengen Dokumentations- und Überwachungspflichten. Anwendungen mit begrenztem Risiko, wie Chatbots, müssen vor allem Transparenzanforderungen erfüllen.
Nutzerinnen und Nutzer müssen wissen, dass sie mit einer KI interagieren. Anwendungen mit minimalem Risiko, etwa einfache Spamfilter, unterliegen kaum zusätzlichen Anforderungen.
Was gilt bereits heute für alle Unternehmen?
Seit dem 2. Februar 2025 ist Artikel 4 des AI Act in Kraft. Er verpflichtet alle Unternehmen, die KI-Systeme anbieten oder nutzen, dafür zu sorgen, dass ihre Mitarbeitenden über ein ausreichendes Maß an KI-Kompetenz verfügen. Was das konkret bedeutet, hängt vom jeweiligen Einsatzkontext ab. Die Pflicht zur KI-Kompetenz gilt aber unabhängig davon, welche Risikoklasse das eingesetzte System hat.
Gilt das auch für kleine Unternehmen?
Der AI Act macht grundsätzlich keine Ausnahme für kleine oder mittlere Unternehmen. Die Intensität der Pflichten hängt jedoch stark davon ab, welche Art von KI-System eingesetzt wird und in welcher Rolle das Unternehmen auftritt. Wer ein bestehendes KI-Tool wie ChatGPT im Arbeitsalltag nutzt, ist in der Regel Betreiber und hat deutlich weniger umfangreiche Pflichten als ein Unternehmen, das eigene KI-Produkte entwickelt und auf den Markt bringt. Einen guten Überblick über die Pflichten je nach Unternehmensrolle bietet die Informationsseite der Europäischen Kommission.
Ein guter Ausgangspunkt für jedes Unternehmen ist die ehrliche Bestandsaufnahme:
- Welche KI-Tools werden bereits genutzt, auch inoffiziell durch einzelne Mitarbeitende?
- Welche Daten fließen dabei?
- Und in welcher Rolle tritt das Unternehmen auf?
Wer diese Fragen beantwortet hat, kann gezielt entscheiden, welche Maßnahmen sinnvoll und notwendig sind.
