Der AI Act ist am 1. August 2024 in der Europäischen Union in Kraft getreten. Über einen Zeitraum von 36 Monaten werden die Regelungen nun umgesetzt. Der Fahrplan des AI Act im Überblick.
KI-Verordnung gilt gestaffelt über 36 Monate
Die Europäische Union (EU) hat in den letzten Jahren erhebliche Anstrengungen unternommen, um die Entwicklung und den Einsatz von Künstlicher Intelligenz (KI) zu regulieren. Ein zentrales Element dieser Bemühungen ist der sogenannte “AI Act”. Dieses Gesetz soll sicherstellen, dass KI-Systeme in der EU sicher und transparent sind und die Grundrechte der Bürgerinnen und Bürger geschützt werden. Die KI-Verordnung ist das weltweit erste umfassende Regelwerk für KI.
Nachdem die Verordnung am 12. Juli 2024 im Amtsblatt der EU veröffentlicht wurde, trat sie 20 Tage später in Kraft – am 1. August 2024. Die Anwendbarkeit der Regelungen erfolgt nun gestaffelt über einen Zeitraum von 36 Monaten.
Gemäß Art. 113 KI-VO gilt sie ab dem 2. August 2026.
Link-Tipp: Artificial Intelligence Act
6 Monate nach Inkrafttreten: Aus für unzulässige KI-Systeme
Die Kapitel I und II der KI-Verordnung gelten bereits ab dem 2. Februar 2025. Insbesondere gelten ab diesem Zeitpunkt die Verbote für bestimmte KI-Systeme, die als besonders kritisch eingestuft werden. Dabei handelt es sich um KI-Systeme, von denen eine eindeutige Gefahr für die Grundrechte des Menschen ausgeht. Dies gilt laut EU-Kommission beispielsweise für Systeme, die es Behörden oder Unternehmen ermöglichen, soziales Verhalten zu bewerten (Social Scoring).
Wer derart kritisch eingestufte KI-Anwendungen entwickelt, betreibt oder verkauft, muss sie ab dem 2. Februar 2025 einstellen oder vom Markt nehmen.
12 Monate nach Inkrafttreten: GPAI-Regulierung und Sanktionen
Ab dem 2. August 2025 gelten gemäß Artikel 113 KI-Verordnung folgende Regelungen:
- Benannte (notifizierte) Stellen (Kapitel III, Abschnitt 4),
- GPAI-Modelle (Kapitel V),
- Governance (Kapitel VII),
- Vertraulichkeit (Artikel 78),
- Sanktionen (Artikel 99 und 100)
Für Unternehmen ist dieser Stichtag deutlich relevanter, denn es gelten ab dann die Regeln für KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI, GPAI). Hierzu gehören auch die Large Language Models (LLMs).
Das KI-Gesetz verpflichtet die Anbieter solcher Modelle, bestimmte Informationen gegenüber nachgelagerten Systemanbietern offenzulegen. Laut der EU-Kommission ermöglicht eine solche Transparenz ein besseres Verständnis dieser Modelle. Modellanbieter müssen außerdem über Strategien verfügen, um sicherzustellen, dass sie bei der Ausbildung ihrer Modelle das Urheberrecht einhalten.
Die EU-Kommission geht außerdem davon aus, dass KI-Modelle mit allgemeinem Verwendungszweck, die mit einer Gesamtrechnerleistung von mehr als 10‐25 FLOPs ausgebildet wurden, systemische Risiken bergen. Anbieter von Modellen mit Systemrisiken sind verpflichtet, Risiken zu bewerten und zu mindern, schwerwiegende Sicherheitsvorfälle zu melden, modernste Tests und Modellbewertungen durchzuführen und die Cybersicherheit ihrer Modelle zu gewährleisten.
Lese-Tipp: AI Act verabschiedet! Neue Regeln für Künstliche Intelligenz in der EU
24 Monate nach Inkrafttreten: Bestimmungen des KI-Gesetzes gelten - mit einer Ausnahme
Gemäß Artikel 113 gilt die KI-Verordnung ab dem 2. August 2026. Einzige Ausnahme: Hochrisiko-KI-Systeme nach Artikel 6 Absatz 1.
Damit umfasst die Verordnung ab August 2026 auch Hochrisiko-KI-Systeme gemäß Anhang III.
Anhang III umfasst acht Bereiche, in denen der Einsatz von KI besonders sensibel sein kann. Er enthält auch konkrete Anwendungsfälle für jeden Bereich. Ein KI-System wird als hochriskant eingestuft, wenn es für einen dieser Anwendungsfälle verwendet werden soll.
Beispiele hierfür sind laut der EU-Kommission:
- KI-Systeme, die als Sicherheitskomponenten in bestimmten kritischen Infrastrukturen eingesetzt werden, z. B. in den Bereichen Straßenverkehr und Wasser-, Gas-, Wärme- und Stromversorgung;
- KI-Systeme, die in der allgemeinen und beruflichen Bildung eingesetzt werden, z. B. zur Bewertung von Lernergebnissen, zur Steuerung des Lernprozesses und zur Überwachung von Betrug;
- KI-Systeme, die in der Beschäftigungs- und Personalverwaltung und beim Zugang zur Selbstständigkeit eingesetzt werden, z. B. für gezielte Stellenanzeigen, für die Analyse und Filterung von Stellengesuchen und für die Bewertung von Bewerbern;
- KI-Systeme, die für den Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen und Leistungen (z. B. Gesundheitsversorgung), für die Bewertung der Kreditwürdigkeit natürlicher Personen sowie für die Risikobewertung und Preisgestaltung im Zusammenhang mit Lebens- und Krankenversicherungen eingesetzt werden;
- KI-Systeme, die in den Bereichen Strafverfolgung, Migration und Grenzkontrolle eingesetzt werden, soweit noch nicht verboten, sowie in der Justizverwaltung und bei demokratischen Prozessen;
- KI-Systeme, die für die biometrische Identifizierung, die biometrische Kategorisierung und die Emotionserkennung verwendet werden, soweit nicht verboten.
Bevor Anbieter ein Hochrisiko-KI-System in der EU in Verkehr bringen oder anderweitig in Betrieb nehmen, müssen sie es einer Konformitätsbewertung unterziehen. Dadurch können sie nachweisen, dass ihr System die verbindlichen Anforderungen an vertrauenswürdige KI erfüllt (z. B. Datenqualität, Dokumentation und Rückverfolgbarkeit, Transparenz, menschliche Aufsicht, Genauigkeit, Cybersicherheit und Robustheit). Diese Bewertung muss wiederholt werden, wenn das System oder sein Zweck wesentlich geändert wird.
36 Monate nach Inkrafttreten: Hochrisiko-KI-Systeme gemäß Anhang I
Ab dem 2. August 2027 gelten Artikel 6 Absatz 1 und die entsprechenden Pflichten. Das betrifft Hochrisiko-KI-System nach Anhang I.
KI-Systeme können danach auch als hochriskant eingestuft werden, wenn das KI-System als Sicherheitskomponente in Produkte eingebettet ist, die unter die bestehenden Produktvorschriften (Anhang I) fallen, oder solche Produkte selbst bilden.
Dies könnte beispielsweise KI-basierte medizinische Software sein.
Fazit: Unternehmen und andere betroffene Akteure sollten sich frühzeitig mit den Anforderungen des AI Acts vertraut machen und notwendige Anpassungen vornehmen, um rechtzeitig “compliant” zu sein. Die gestaffelte Einführung gibt etwas Zeit zur Vorbereitung, insbesondere für komplexere Hochrisiko-KI-Systeme. Unternehmen sollten einen genauen Überblick darüber haben, welche Daten sie in ihren KI-Systemen nutzen. Wichtig wird das vor allem, um die Rechenschafts- und Dokumentationspflichten des AI Act erfüllen zu können. Versäumnisse könnten empfindliche Strafen nach sich ziehen.