Sie befinden sich auf der Seite der IHK Schwaben.
Möchten Sie diese Seite in einem Cookie als Ihre Heimat-IHK setzen?
Sie befinden sich auf der Seite der IHK Schwaben.
Bisher ist die als Ihre Heimat-IHK hinterlegt. Wollen Sie die Seite der IHK Schwaben in einem Cookie
als Ihre neue Heimat-IHK setzen?
Sie werden zum Angebot der weitergeleitet.
Nr. 6142170
KI-Gesetz
AI-Act: Die EU reguliert die Künstliche Intelligenz (KI)
Der AI-Act (Artificial Intelligence Act) ist weltweit eine der ersten umfassenden Regulierungen von künstlicher Intelligenz (KI). Erfahren Sie hier mehr über den AI Act sowie ob und wie Ihr Unternehmen davon betroffen ist.
KI hat das Potenzial vielfältige Vorteile für Wirtschaft und Gesellschaft hervorzubringen. Als Beispiele können die Verbesserung von Prognosen, die Optimierung der Ressourcennutzung und die Personalisierung von Dienstleistungen genannt werden. Dieselben KI-Faktoren, die einen sozioökonomischen Nutzen erbringen, bergen aber auch neue Gefahren und Nachteile für unsere Gesellschaft. Beispielsweise neigen KI-Systeme, die auf unzureichenden Trainingsdaten basieren, Vorurteile zu übernehmen und dadurch diskriminierende Entscheidungen zu treffen. Die EU möchte deshalb sicherzustellen, dass KI immer im Einklang mit den Werten, Grundrechten und Prinzipien der EU entwickelt wird.
Erklärte Position zum AI-Act des EU-Parlaments:
„Die Vorschriften sollen die Entwicklung, den Einsatz und die Nutzung von menschenzentrierten, vertrauenswürdigen KI-Systemen in der EU regeln und Gesundheit, Umwelt, Sicherheit, Grundrechte und Demokratie vor schädlichen Folgen schützen.“
Wann ist der AI-Act in Kraft getreten?
Der AI-Acht gilt seit dem 1. August 2024. Seine Regelungen treten ab 2025 schrittweise in Kraft.
Datum
Meilenstein
2. Februar 2025
Verbot von KI-Systemen mit inakzeptablem Risiko und Inkrafttreten der Anforderung für KI-Kompetenz (Kapitel 1 & 2)
2. August 2025
Inkrafttreten von Governance-Regeln und Regelungen zu Benachrichtigungen an Behörden und Geldstrafen (Kapitel 3, 5, 7, 12, & Artikel 78)
2. August 2026
Ende der 14-monatigen Übergangsphase. Verpflichtungen für Hochrisiko-KI-Systeme (Anhang III) treten in Kraft (Artikel 6(2))
2. August 2027
Verpflichtungen für Hochrisiko KI-Systeme als Sicherheitskomponente treten in Kraft (Artikel 6(1))
Sie wollen mehr zum AI-Act erfahren? Im Video sehen Sie eine kurze Zusammenfassung zu den wichtigsten Punkten:
Anbieter (auch aus Drittländern), die KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen
Nutzer von KI-Systemen wie ChatGPT, Copilot, Perplexity ai etc, die sich innerhalb der EU befinden
Anbieter und Nutzer von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das vom System hervorgebrachte Ergebnis innerhalb der EU verwendet wird
Nicht vom AI-Act betroffen sind:
KI-Systeme für ausschließlich militärische Zwecke
Internationale Organisationen die KI-Systeme im Bereich der Strafverfolgung in Zusammenarbeit mit der EU oder mindestens einem Mitgliedstaat nutzen
Forschungs- und Entwicklungsaktivitäten zu KI-Systemen
Open-Source-Software unterliegt im Allgemeinen nicht der Regulierung, es sei denn, sie wird aufgrund ihrer Anwendung als verbotenes oder hochriskantes KI-System eingestuft
Wie wird KI im Rahmen des AI-Act definiert?
Der AI- Act definiert ein KI-System als ein maschinengestütztes System, das zu einem gewissen Grad autonom arbeitet und nach seiner Betriebsaufnahme anpassungsfähig sein kann. Es verarbeitet Eingaben und erzeugt daraufhin Ausgaben, wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen, die sich auf physische oder virtuelle Umgebungen auswirken können.
Das heißt: Ein KI-System ist ein Computerprogramm, das selbstständig Daten verarbeiten kann, um bestimmte Ergebnisse zu liefern. Es kann dabei lernen und sich anpassen, ohne dass ein Mensch es jedes Mal neu programmieren muss.
Pflicht der Unternehmen zur KI-Kompetenzvermittlung (Artikel 4 AI-Act)
Artikel 4 AI-Act verpflichtet Unternehmen sicherzustellen, dass alle beteiligten Akteure, die mit der Entwicklung, Implementierung und Nutzung von KI-Systemen in einem Unternehmen befasst sind, über die erforderlichen Kompetenzen und Kenntnisse verfügen. Dies betrifft Anbieter und Betreiber, unabhängig davon, ob es sich um eine KI mit minimalem oder hohen Risiko handelt. Sicherzustellen ist, dass Mitarbeiter ausreichend über die Funktionsweise, die potenziellen Risiken und die sicheren Einsatzmöglichkeiten der KI-Systeme informiert und je nach Bedarf geschult sind.
In der Praxis bedeutet dies für Unternehmen, dass sie seit dem 1. Februar 2025:
Schulungsprogramme entwickeln und implementieren müssen, die die notwendigen technischen und ethischen Grundlagen für den Umgang mit KI vermitteln.
Trainings zur sicheren Nutzung von KI-Systemen bereitstellen müssen, insbesondere wenn diese in sicherheitskritischen oder sensiblen Bereichen eingesetzt werden.
Regelmäßige Auffrischungskurse für die Mitarbeitenden anbieten müssen, um sicherzustellen, dass sie stets über die neuesten Entwicklungen und Best Practices im Umgang mit KI-Systemen informiert sind.
Ist meine KI vom AI-Act betroffen?
Im AI-Act gilt: Je höher das Risiko eines KI Systems ist, desto strenger sind die Anforderungen. Um zu bestimmen, welche Vorschriften für welche KI-Systeme gelten, wurden vier Risikoklassen gebildet.
Welche Risikoklassen gibt es?
Der AI-Act kategorisiert KI-Systeme in vier verschiedene Risikoklassen, die jeweils mit unterschiedlichen rechtlichen Vorgaben verknüpft sind:
Risikoklasse
Kurzbeschreibung
Regulierung
Beispiel
Inakzeptables Risiko
Verletzung fundamentaler Rechte
Verboten
Social Scoring Systeme
Hohes Risiko
Potenziell hohes Schadensrisiko
Weitreichende Anforderungen
Kreditwürdigkeitsprüfung
Begrenztes Risiko
Interaktion mit Personen
Transparenzpflichten
Chatbots
Niedriges Risiko
Alle anderen Systeme
Keine Anforderungen
Vorausschauende Wartung
Je größer das potenzielle Risiko bei der Verwendung eines KI-Systems ist, desto umfangreicher sind die damit verbundenen rechtlichen Anforderungen. Dazu gehören Risikobewertungen, Dokumentationspflichten, EU-Konformitätserklärungen und Überwachung durch den Betreiber.
Inakzeptables Risiko – Verbotene KI (Art. 5 AI-Act)
Die folgenden KI-Systeme sind u.a. nach dem AI-Act verboten:
Soziales Scoring: d.h. die Bewertung oder Einstufung von Personen oder Gruppen auf Grundlage ihres Sozialverhaltens oder ihrer persönlichen Merkmale, was zu einer benachteiligenden oder ungünstigen Behandlung dieser Individuen führen kann.
Aufbau von Datenbanken zur Gesichtserkennung durch gezieltes Auslesen von Gesichtsbildern aus dem Internet oder aus Videoüberwachungsaufzeichnungen.
KI mit Hohem Risiko (Art 6 AI-Act)
Stellt ein KI-System ein potenziell hohes Risiko für die Sicherheit, Gesundheit oder Grundrechte von Menschen dar, gilt es als Hochrisiko-KI-System. Anbieter solcher Systeme müssen ab dem 2. August 2025 eine Konformitätsbewertung durchführen und eine Konformitätserklärung ausstellen. Darunter fallen u. a. diese Anwendungen:
Auswahl von Bewerbern als auch für Entscheidungen über Beförderungen, Kündigungen, Aufgabenzuweisungen und die Leistungsüberwachung in Arbeitsverhältnissen
Biometrische Identifizierung und Kategorisierung von natürlichen Personen
Verwaltung und Betrieb kritischer Infrastrukturen
Begrenztes Risiko
Unter die Kategorie „Begrenztes Risiko“ fallen alle KI-Systeme, die mit Menschen interagieren. Darunter falls beispielsweise Chatbots. Für Anbieter solcher KI gilt eine Transparenzpflicht. Das bedeutet, dass eine natürliche Person darüber informiert werden muss, dass sie mit einem KI-System interagiert.
Niedriges Risiko
Mit niedrigem Risiko werden KI-Systeme bewertet, die unter keine andere Risiko-Kategorie fallen. Dazu zählen interne Anwendungen wie Spam-Filter oder Systeme für die vorausschauende Wartung von Maschinen. Sie müssen keine rechtlichen Anforderungen erfüllen. Dennoch besteht für Unternehmen die Möglichkeit, freiwillig Verhaltenskodizes für diese KI-Systeme anzuwenden.
Welche gesonderten Vorschriften gelten für KI-Modelle mit allgemeinem Verwendungszweck?
Unter KI-Modellen mit allgemeinem Verwendungszweck (General Purpose Artifical Intelligence, GPAI) versteht man KI-Systeme, die eine Vielzahl von Funktionen ausführen und sich an verschiedene Aufgaben anpassen können. Ein populäres Beispiel hierfür ist ChatGPT von Open AI. Das KI-Modell kann Audio- und Textdaten verarbeiten, Texte und Bilder generieren und viele weitere Aufgaben bewältigen. Da GPAI stark an wirtschaftlicher und gesellschaftlicher Relevanz gewinnen, gelten für sie gesonderte Risikokategorien. Diese richten sich nicht der jeweiligen Anwendungen, sondern der Funktion des zugrunde liegenden Basismodells.
Für normale GPAI gilt:
Zusätzliche technische Dokumentation
Detaillierte Aufstellung über die Verwendung urheberrechtlich geschützter Trainingsdaten
Anforderungen zur Kennzeichnung generierter Inhalte
Für GPAI mit erheblichen Auswirkungen, worunter man „sehr leistungsstarke“ Basismodelle, die systemische Risiken bergen können, versteht, gilt zusätzlich:
Pflichten in Bezug auf die Überwachung schwerwiegender Vorfälle
Modellbewertung
Angriffstests
Wie hoch fallen Sanktionen für Verstöße aus?
Die Strafen für Verstöße gegen die Vorschriften werden entsprechend der Größe und dem Geschäftszweck des Unternehmens festgelegt.
Anwendung verbotener KI-Systeme: Bis 35 Mio. EUR oder 7% des Umsatzes.
Verstöße gegen Verpflichtungen des AI-Acts: Bis 15 Mio. EUR oder 3% des Umsatzes.
Angabe falscher Informationen: Bis 7,5 Mio. EUR oder 1,5% des Umsatzes.
Wo bekomme ich weitere Unterstützung?
Mit dem KI-Kompetenz-Check, bietet die IHK Schwaben ihren Mitgliedsunternehmen die Möglichkeit, kostenlos und anonym den aktuellen Stand des KI-Wissens in ihrem Unternehmen zu ermitteln.
Der Compliance-Checker des Future of Life Instituts ist ein nützliches Tool, um schnell herauszufinden, unter welche Risikoklasse ein KI-System fällt: EU AI Act Compliance Checker
Stand: März 2025
Die Informationen und Auskünfte der IHK Schwaben enthalten nur erste Hinweise und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht übernommen werden. Sie können eine Beratung im Einzelfall (z. B. durch einen Rechtsanwalt, Steuerberater, Unternehmensberater etc.) nicht ersetzen.
