Seit dem 2. Februar 2025 ist der EU KI Act in Kraft, das weltweit erste umfassende Regelwerk zur Regulierung von Künstlicher Intelligenz (KI) in der Europäischen Union. Dieses Gesetz setzt klare Grenzen für KI-Systeme, die als „inakzeptables Risiko“ eingestuft werden, und verbietet deren Einsatz. Das Hauptziel ist es, potenziell schädliche Anwendungen frühzeitig zu unterbinden und die Sicherheit der Bürger zu gewährleisten.
Dieser Artikel gibt einen Überblick über die wichtigsten Bestimmungen des Gesetzes, die betroffenen Anwendungsfälle und die Konsequenzen für Unternehmen.
1. Risikokategorisierung von KI-Systemen
Der KI Act unterscheidet vier Risikostufen für KI-Anwendungen:
- Minimales Risiko: KI-Systeme, die keine behördliche Aufsicht erfordern.
- Begrenztes Risiko: Anwendungen, die leichten Regulierungsmaßnahmen unterliegen.
- Hohes Risiko: Beispielsweise medizinische Anwendungen, die strengen Kontrollen unterliegen.
- Inakzeptables Risiko: Anwendungen, die gänzlich verboten sind.
2. Verbotene KI-Anwendungen
Zu den verbotenen Anwendungen zählen unter anderem:
- KI-Systeme zur sozialen Bewertung von Personen.
- Manipulative Entscheidungsprozesse.
- Ausnutzung von Schwächen wie Alter oder Behinderung.
- Echtzeit-Biometricsysteme zur Analyse sensibler Rückschlüsse wie sexuelle Orientierung.
3. Sanktionen bei Verstößen
Unternehmen, die gegen die Vorgaben des KI Act verstoßen, müssen mit erheblichen Bußgeldern rechnen – entweder bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes, je nachdem, welcher Betrag höher ist.
4. Übergangsfristen und Umsetzung
Während der 2. Februar 2025 als erster Meilenstein zur Einhaltung des Gesetzes gilt, werden die Strafen und detaillierten Durchführungsbestimmungen erst ab August 2025 vollumfänglich wirksam. Bis dahin werden die zuständigen Behörden die Leitlinien und einheitlichen Standards festlegen, um den Unternehmen klare Vorgaben zu machen.
5. Wechselwirkungen mit anderen Regulierungen
Der KI Act steht in einem komplexen rechtlichen Umfeld und interagiert mit anderen Regulierungen wie der Datenschutz-Grundverordnung (GDPR), der NIS2-Richtlinie und DORA. Unternehmen müssen genau verstehen, wie diese Regelwerke ineinandergreifen, um keine Überschneidungen oder Widersprüche zu riskieren.
6. Freiwillige Selbstverpflichtungen der Unternehmen (H2)
Vor der Gesetzesumsetzung haben über 100 Unternehmen freiwillig den EU AI Pact unterzeichnet, der sie dazu verpflichtet, proaktiv zu identifizieren, welche ihrer KI-Systeme als hochriskant gelten könnten. Zu diesen Unterzeichnern zählen große Namen wie Amazon, Google und OpenAI.
7. Ausnahmen und Sonderregelungen (H2)
Es gibt Ausnahmen, beispielsweise gestattet das Gesetz den Einsatz bestimmter biometrischer KI-Systeme durch die Strafverfolgung, sofern diese zur gezielten Suche nach vermissten Personen oder zur Abwehr unmittelbarer Bedrohungen dienen – allerdings nur mit entsprechender behördlicher Genehmigung.
Fazit
Mit dem Inkrafttreten des KI Act setzt die Europäische Union ein klares Signal: KI-Anwendungen, die ein inakzeptables Risiko darstellen, sollen verboten werden, um Sicherheit und Datenschutz zu gewährleisten. Die strikten Regelungen und hohen Bußgelder zwingen Unternehmen dazu, ihre Systeme sorgfältig zu überprüfen und anzupassen. Während der US-Markt vor neuen Freiräumen steht, setzt Europa auf umfassende Regulierung, um potenziellen Missbrauch zu verhindern und das Vertrauen der Bürger in KI-Technologien zu stärken. Für Organisationen ist es nun entscheidend, die Wechselwirkungen zwischen dem KI Act, GDPR, NIS2 und DORA genau zu verstehen, um Compliance-Lücken zu vermeiden. Insgesamt bietet das neue Gesetz sowohl Herausforderungen als auch Chancen für die Weiterentwicklung sicherer und ethisch vertretbarer KI-Anwendungen in Europa.
