Der Artificial Intelligence Act [1], kurz AI Act, ist ein von der Europäischen Union verabschiedetes Gesetz zur Regulierung von Künstlicher Intelligenz (KI). Er wurde am 13. März 2024 verabschiedet und zielt darauf ab, den Einsatz von KI-Systemen zu regeln, um Sicherheit und Grundrechte zu schützen und gleichzeitig Innovationen zu fördern. Der AI Act ist eine Reaktion auf die rasante Entwicklung der KI-Technologie und ihre zunehmende Bedeutung in allen Lebensbereichen. Durch einheitliche Regeln soll Rechtssicherheit geschaffen, Vertrauen in KI gestärkt und ein fragmentierter Binnenmarkt verhindert werden. Zudem soll die EU eine Vorreiterrolle bei der ethischen und menschenzentrierten KI einnehmen.

Nun ja, der AI Act verfolgt mehrere Hauptziele: Erstens sollen Sicherheit, Gesundheit und Grundrechte von Personen vor Risiken durch KI-Systeme geschützt werden. Zweitens soll Rechtssicherheit für Unternehmen und Nutzer geschaffen und Vertrauen in KI gestärkt werden. Drittens soll die Entwicklung einer menschenzentrierten und vertrauenswürdigen KI gefördert und die Wettbewerbsfähigkeit der EU gestärkt werden. Um diese Ziele zu erreichen, führt der AI Act ein risikobasiertes System mit vier Stufen ein – von minimal bis inakzeptabel. Je nach Risiko gelten dann unterschiedliche Anforderungen an Transparenz, Dokumentation, menschliche Aufsicht und technische Robustheit. Für Hochrisiko-Systeme sind zudem eine Konformitätsbewertung, Registrierung und Nachmarktüberwachung vorgesehen. Bestimmte Praktiken wie Social Scoring sollen ganz verboten werden.

Der AI Act wird weitreichende Auswirkungen auf Unternehmen haben, die KI-Systeme entwickeln, vertreiben oder nutzen. Je nach Risikoklasse ihrer Systeme müssen sie unterschiedliche Compliance-Anforderungen erfüllen – von Transparenzpflichten bis hin zu aufwändigen Konformitätsbewertungen. Unternehmen sollten zunächst alle ihre KI-Systeme erfassen und gemäß dem AI Act klassifizieren. Für Hochrisiko-Systeme müssen sie dann ein Qualitätsmanagementsystem einführen, die geforderte technische Dokumentation erstellen, eine Konformitätsbewertung durchführen und die Systeme registrieren. Zudem müssen sie Vorkehrungen für Nachmarktüberwachung, Berichterstattung und Zusammenarbeit mit Behörden treffen. Auch für andere Risikoklassen gibt es Pflichten wie Transparenz gegenüber Nutzern oder menschliche Aufsicht. Insgesamt müssen Unternehmen also ihre Prozesse anpassen, Verantwortlichkeiten klären und möglicherweise zusätzliche Ressourcen einplanen. Eine frühzeitige Vorbereitung ist daher ratsam.

Der AI Act bringt für Unternehmen sowohl eine ganze Reihe von Herausforderungen als auch Chancen mit sich. Zu den Herausforderungen zählen sicherlich die Komplexität der neuen Regeln und der damit verbundene Umsetzungsaufwand. Gerade für kleinere Unternehmen könnte es schwierig werden, die Anforderungen zu erfüllen und die Kosten zu stemmen. Auch könnten durch die Regulierung bestimmte Innovationen erschwert oder verzögert werden. Auf der anderen Seite bietet der AI Act aber auch Chancen. Durch die EU-weit einheitlichen Regeln entsteht Rechtssicherheit und Klarheit für Unternehmen. Das kann Haftungsrisiken reduzieren und die Entwicklung von KI-Anwendungen berechenbarer machen. Zudem kann das Vertrauen von Nutzern und Kunden in europäische KI-Systeme gestärkt werden, was Wettbewerbsvorteile schafft. Auch werden ethische und nachhaltige KI-Innovationen gefördert, die sich positiv auf Reputation und Geschäftsmodelle auswirken können. Insgesamt bietet der AI Act also trotz Herausforderungen auch Chancen – vor allem für Unternehmen, die proaktiv und strategisch an die Umsetzung herangehen.

Gerne. Der AI Act teilt KI-Systeme in vier Risikogruppen ein: minimales, begrenztes, hohes und inakzeptables Risiko. Ein minimales Risiko haben die meisten KI-Systeme, z. B. Chatbots, Spamfilter oder Computerspiele. Sie unterliegen nur minimalen Transparenzpflichten. Begrenztes Risiko haben z. B. Emotionserkennungssysteme oder Deepfakes. Hier müssen die Nutzer darauf hingewiesen werden, dass sie mit einer KI interagieren. Ein hohes Risiko haben Systeme in kritischen Bereichen wie Gesundheit, Verkehr oder Strafverfolgung, z. B. Diagnosesoftware, selbstfahrende Autos oder Gesichtserkennungssysteme. Hier gelten hohe Anforderungen an Qualität, Transparenz und menschliche Kontrolle. Nicht akzeptabel sind Systeme, die die Sicherheit oder Grundrechte stark gefährden, z. B. Social Scoring oder unterschwellige Manipulation. Solche Systeme sind zu verbieten. Die Einstufung erfolgt anhand von Kriterien wie Verwendungszweck, Schadenspotenzial und Abhängigkeit der Betroffenen. Entscheidend ist eine Gesamtbetrachtung im jeweiligen Kontext.

Risikomanagement
Für hochriskante KI-Systeme verlangt der AI Act ein umfassendes Risikomanagement über den gesamten Lebenszyklus. Dazu müssen Unternehmen zunächst alle Risiken systematisch identifizieren, analysieren und bewerten. Dabei sind technische, rechtliche und ethische Aspekte zu berücksichtigen. Auf dieser Basis sind dann geeignete Maßnahmen zur Risikovermeidung und -minimierung zu ergreifen, z. B. bei Design, Entwicklung, Test und Betrieb der Systeme. Wichtig sind auch klare Verantwortlichkeiten, Prozesse und Kontrollen. Das Risikomanagement sollte in ein übergreifendes Qualitätsmanagementsystem eingebettet sein. Die Dokumentation spielt dabei eine zentrale Rolle. Der AI Act fordert eine umfassende technische Dokumentation, die alle Aspekte des Systems und des Risikomanagements beschreibt, z. B. Daten, Modelle, Tests, Entscheidungsregeln und Überwachungsmaßnahmen. Die Dokumentation muss stets aktuell sein und den Aufsichtsbehörden zur Verfügung stehen. Sie dient als Nachweis der Compliance, aber auch als Grundlage für die Transparenz, Nachvollziehbarkeit und Überprüfbarkeit der Systeme. Unternehmen sollten die Dokumentationsanforderungen frühzeitig in ihre Entwicklungsprozesse integrieren und auch als Chance zur Qualitätsverbesserung begreifen.

Als EU-Verordnung gilt der AI Act unmittelbar in allen Mitgliedsstaaten, also auch in Deutschland. Die genaue Umsetzung und Durchführung liegt dann in der Verantwortung der nationalen Behörden. In Deutschland wird dies voraussichtlich eine Aufgabe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sein, das bereits für die IT-Sicherheit zuständig ist. Es wird erwartet, dass das BSI die Marktüberwachung und Durchsetzung des AI Acts übernimmt. Darüber hinaus plant die Bundesregierung eigene KI-Regelungen, die über den AI Act hinausgehen. So soll es spezielle Regelungen für den Einsatz von KI in der öffentlichen Verwaltung und für Diskriminierungsrisiken geben. Auch ein Recht auf Erläuterung von KI-Entscheidungen und eine KI-Haftungsregelung sind angedacht. Insgesamt will Deutschland eine Vorreiterrolle für vertrauenswürdige KI einnehmen und plant dafür umfassende Maßnahmen in Regulierung, Forschung und Anwendung. Der AI Act bildet dafür die europäische Grundlage, die auf nationaler Ebene spezifiziert und ergänzt werden soll.

Ich sehe, dass die Übergangsfrist von 24 Monaten nach Inkrafttreten des AI Act für Unternehmen von großer Bedeutung ist. In dieser Zeit müssen sie ihre Systeme und Prozesse an die neuen Anforderungen anpassen und die Compliance sicherstellen. Unternehmen sollten diese Zeit proaktiv nutzen und frühzeitig mit der Umsetzung beginnen. Dazu gehört zunächst eine sorgfältige Analyse der eigenen KI-Systeme und deren Einstufung nach dem AI Act. Darauf aufbauend sind dann die notwendigen technischen und organisatorischen Maßnahmen zu planen und umzusetzen. Wichtig sind auch die Schulung und Einbindung der Mitarbeiterinnen und Mitarbeiter sowie die Anpassung von Prozessen und Verantwortlichkeiten. Insbesondere die Anforderungen an Dokumentation, Qualitätsmanagement und Marktüberwachung erfordern häufig neue Strukturen und Prozesse. Unternehmen sollten die Übergangsfrist auch nutzen, um sich mit den Details des AI Acts vertraut zu machen und offene Fragen zu klären, z. B. durch Austausch mit Behörden, Verbänden und Experten. Auch die Entwicklung von Best Practices und Standards in der Branche kann hilfreich sein. Insgesamt bietet die Übergangsfrist eine gute Gelegenheit, sich gründlich auf die neuen Regelungen vorzubereiten und frühzeitig Compliance sicherzustellen. Je früher Unternehmen damit beginnen, desto besser können sie die Chancen des AI Act nutzen und Wettbewerbsvorteile erzielen.

Es wird befürchtet, dass der AI Act die Innovationsfähigkeit der Unternehmen in der EU beeinträchtigen könnte. Ein Hauptargument ist, dass die strengen Anforderungen und Auflagen insbesondere für Start-ups und KMU eine hohe Hürde darstellen und ihre Entwicklungsmöglichkeiten einschränken. Es wird auch befürchtet, dass die Regulierung zu einer Abwanderung von KI-Talenten und -Unternehmen in andere Regionen mit weniger strengen Vorschriften führen könnte. Dies könnte die Wettbewerbsfähigkeit der EU auf dem globalen KI-Markt schwächen. Ein weiterer Kritikpunkt ist, dass der KI-Gesetzesentwurf aufgrund seines breiten Anwendungsbereichs und seiner komplexen Anforderungen zu Rechtsunsicherheit und hohem bürokratischen Aufwand führen könnte. Dadurch könnten Innovationen verzögert oder verhindert werden. Zudem wird befürchtet, dass der risikobasierte Ansatz zu unklaren Abgrenzungen und Grauzonen führt und die Einstufung von Systemen als „Hochrisiko” Innovationen in diesen Bereichen erschwert. Befürworter des AI Acts argumentieren dagegen, dass klare und einheitliche Regeln langfristig die Rechtssicherheit und das Vertrauen in KI stärken und damit auch Innovationen fördern. Zudem seien die Anforderungen verhältnismäßig und risikoadäquat ausgestaltet und böten ausreichend Flexibilität. Letztlich bleibt abzuwarten, wie sich der AI Act in der Praxis auswirken wird.

Die breite Definition von KI im AI Act könnte zu Unsicherheiten bei Unternehmen führen, da sie möglicherweise nicht klar erkennen, welche ihrer Systeme unter die Regelung fallen. Dies könnte zu einem erhöhten Aufwand bei der Einstufung und Einhaltung führen. Um diese Unsicherheiten zu minimieren, ist es wichtig, klare Leitlinien und Kriterien für die Klassifizierung von KI-Systemen zur Verfügung zu stellen. Darüber hinaus sollten die Unternehmen bei der Auslegung und Anwendung der Vorschriften unterstützt werden, um unnötige Bürokratie zu vermeiden und sicherzustellen, dass die Vorschriften ihre Innovationsfähigkeit nicht einschränken.

Die KI-Technologie wird sich weiterhin schnell entwickeln, mit Fortschritten in Bereichen wie maschinelles Lernen, Natural Language Processing und Computer Vision. Diese Entwicklungen könnten zu Herausforderungen für den AI Act führen, insbesondere wenn neue Risiken und ethische Fragen auftauchen, die derzeit noch nicht vollständig adressiert sind. Es wird wichtig sein, dass der AI Act flexibel genug ist, um mit der technologischen Entwicklung Schritt zu halten und gleichzeitig die Sicherheit und die Rechte der Bürger zu schützen. Kontinuierliche Überprüfung und Anpassung der Regelungen könnten erforderlich sein, um sicherzustellen, dass der AI Act relevant und effektiv bleibt.

ISO/IEC 42001:2023 [2] ist ein internationaler Standard für das Management von künstlicher Intelligenz. Sie unterstützt Organisationen dabei, KI-Systeme auf verantwortungsvolle und ethische Weise zu entwerfen, zu entwickeln und einzusetzen.

ISO/IEC 42001 kann eine wichtige Rolle bei der Umsetzung des AI Acts spielen, indem sie konkrete Leitlinien und Best Practices für das Management von KI-Systemen bereitstellt. Unternehmen können die Norm nutzen, um die Anforderungen des AI Act strukturiert umzusetzen und nachzuweisen. Darüber hinaus kann ISO/IEC 42001 dazu beitragen, einheitliche Standards und Zertifizierungen für vertrauenswürdige KI zu etablieren, was die Rechtssicherheit und das Vertrauen in KI-Systeme stärken und die Durchsetzung des AI Acts erleichtern würde. Es ist wichtig, dass die Anforderungen des AI Act und die Leitlinien der ISO/IEC 42001 aufeinander abgestimmt werden, um eine kohärente Anwendung zu gewährleisten.

Was die Geschwindigkeit der Gesetzgebung im Vergleich zur technologischen Entwicklung betrifft, so hinkt die Regulierung oft hinterher. Die Entwicklung des AI Acts hat mehrere Jahre gedauert und bis zur endgültigen Verabschiedung und Umsetzung werden weitere Jahre vergehen. In dieser Zeit schreitet die KI-Technologie rasant voran.

Es besteht die Gefahr, dass die Regulierung der Technologie hinterherläuft und an Relevanz verliert. Andererseits braucht gute Gesetzgebung auch Zeit für sorgfältige Analyse, Diskussion und demokratische Willensbildung. Eine zu schnelle und unausgereifte Regulierung kann auch innovationshemmend wirken.

Letztlich braucht es einen adaptiven und iterativen Ansatz, bei dem die Regulierung flexibel an die technologische Entwicklung angepasst wird, ohne dabei die Rechtssicherheit und ethischen Grundsätze zu vernachlässigen. Dafür sind eine enge Verzahnung von Technologie, Forschung und Politik sowie eine kontinuierliche Evaluation und Nachjustierung der Regulierung erforderlich.

Meiner Meinung nach ist der AI Act ein wichtiger und richtiger Schritt, um die Entwicklung und Anwendung von KI in Europa verantwortungsvoll zu gestalten. Der risikobasierte Ansatz ist grundsätzlich sinnvoll, um Innovationen zu ermöglichen und gleichzeitig Sicherheit und ethische Standards zu gewährleisten.

Positiv finde ich, dass der AI Act nicht nur Verbote und Auflagen vorsieht, sondern auch Anreize für vertrauenswürdige KI schafft, etwa durch Qualitätssiegel oder Haftungsprivilegien. Das kann Unternehmen motivieren, in ethische und robuste KI-Systeme zu investieren und sich dadurch Wettbewerbsvorteile zu verschaffen.

Allerdings sehe ich auch die Gefahr, dass die Regulierung zu komplex und bürokratisch wird und damit gerade für kleinere Unternehmen und Start-ups eine hohe Hürde darstellt. Hier braucht es pragmatische Lösungen und Unterstützungsangebote, um die Compliance zu erleichtern und Innovationen nicht zu ersticken.

Auch die Abgrenzung zwischen den Risikoklassen und die Einstufung von KI-Systemen ist eine Herausforderung. Hier braucht es klare Kriterien und Leitlinien, um Unsicherheiten zu vermeiden und Wettbewerbsverzerrungen zu verhindern.

Insgesamt finde ich, dass der AI Act eine gute Balance zwischen Regulierung und Innovation anstrebt, aber in der Umsetzung noch nachjustiert werden muss. Es braucht eine enge Einbindung aller Stakeholder, insbesondere der Wirtschaft und Forschung, um praxistaugliche Lösungen zu finden.

Letztlich wird der Erfolg des AI Acts auch davon abhängen, wie er in der Praxis gelebt und durchgesetzt wird. Dafür braucht es klare Zuständigkeiten, ausreichende Ressourcen und eine konsequente Aufsicht durch die Behörden.

Zudem muss die Regulierung flexibel an die technologische Entwicklung angepasst werden, ohne dabei die Rechtssicherheit zu gefährden. Hier sehe ich noch Verbesserungspotenzial im Hinblick auf dynamische Anpassungsmechanismen und Beteiligungsverfahren.

Insgesamt bewerte ich den AI Act aber als wichtigen Schritt in die richtige Richtung, um die europäischen Werte und Interessen in der KI-Entwicklung zu wahren und gleichzeitig Innovationen zu ermöglichen. Die Herausforderung wird sein, diese Balance auch in der Umsetzung zu halten und kontinuierlich zu optimieren.

Insgesamt denke ich, dass der AI Act eine gute Grundlage bietet, aber in einigen Bereichen noch geschärft und ergänzt werden darf. Dabei ist es wichtig, die Perspektiven aller Interessensgruppen einzubeziehen und die Regelungen praxistauglich zu gestalten.

Letztlich wird die Wirksamkeit des AI Acts auch davon abhängen, wie er in der Praxis umgesetzt und gelebt wird. Dafür braucht es neben klaren Regeln auch Bewusstseinsbildung, Kompetenzaufbau und einen kontinuierlichen Dialog zwischen allen Beteiligten.

Für den Moment denke ich, dass der AI Act ein wichtiger Meilenstein auf dem Weg zu einer menschenzentrierten und vertrauenswürdigen KI in Europa ist. Er wird sicher nicht alle Herausforderungen lösen, aber er setzt die richtigen Leitplanken und Anreize für eine verantwortungsvolle Entwicklung und Nutzung von KI.

Es war mir ein Vergnügen. Danke, dass Sie mich eingeladen haben.