Das europäische KI-Gesetz ist in Kraft getreten: Was bedeutet der AI Act für Unternehmen?
Update – 1. August 2024
Am 1. August 2024 ist das wichtigste Technologiegesetz, das die EU in ihrer Geschichte bisher auf den Weg gebracht hat, in Kraft getreten – der Artificial Intelligence Act, kurz AI Act.
Dieses Gesetz setzt neue Maßstäbe für den Einsatz von Künstlicher Intelligenz und soll insbesondere die Nutzung von Generativer KI umfassend regeln.
Mit dem Inkrafttreten des AI Act beginnt eine neue Ära der Aufsicht und Steuerung von KI-Systemen in Europa, die für Unternehmen verschiedene Folgen und Anforderungen mit sich bringt. Angesichts dieser neuen Regulierungen stellt sich die Frage: Was bedeutet der AI Act für Unternehmen? Unsere FAQs zum AI Act liefern Orientierung in 14 Fragen und Antworten und wird regelmäßig aktualisiert:
1. Wie ist der AI Act für Unternehmen generell zu bewerten?
Das Gesetzeswerk ist viel kritisiert worden, weil eine zu starke KI-Regulierung die europäische Wirtschaft gegenüber dem Rest der Welt benachteilige. Es würde Innovationen ausbremsen, warnen Kritiker, und dazu führen, dass – wie bei früheren Technologiesprüngen – auch nun wieder die wichtigen Anwendungen allein von den großen IT-Konzernen aus den USA und China entwickelt würden.
Diese Argumentation ignoriert jedoch, dass Regulierung – in einem angemessenen Maße – kein Hemmschuh ist: Im Gegenteil gibt sie der Wirtschaft rechtliche Sicherheit und damit strategische Klarheit, wo es lohnt zu investieren und welche Geschäftsmodelle Zukunft haben. Das zu betonen, wird auch Ursula von der Leyen, die Präsidentin der Europäischen Kommission, nicht müde:
„Die Einigung konzentriert die Regulierung auf erkennbare Risiken, schafft Rechtssicherheit und ebnet den Weg für Innovationen im Bereich der vertrauenswürdigen Künstliche Intelligenz.“
Ursula von der Leyen, EU-Kommissionspräsidentin
Als es Anfang des Jahres nochmals so schien, als scheitere innerhalb der deutschen Ampel-Koalition eine Zustimmung zum AI Act, kamen auch aus der Wirtschaft warnende Worte: Bitkom-Präsident Dr. Ralf Wintergerst etwa wies auf die „dringend notwendige Rechtssicherheit bei dieser wohl wichtigsten Zukunftstechnologie“ hin.
Dazu kommt das moralische Gebot, KI zu kontrollieren: Zu viele „Deep Fakes“ haben gezeigt, wie die Technologie missbraucht werden kann – man denke an Olaf Scholz’ angebliche AfD-Beschimpfungen, die Fake-Explosion am Pentagon oder Präsident Selenskyjs scheinbarer Aufruf zur Kapitulation der Ukraine. Das Ziel, die Menschheit vor gefährlichen Auswüchsen von KI zu schützen, ist im Gesetzestext daher auch vielfach sichtbar.
Insgesamt ist der AI Act der EU für Unternehmen ein wichtiger Meilenstein, um die Weiterentwicklung von verlässlicher und vertrauenswürdiger KI-Technologie zu fördern – und das kann nur im Sinne der Wirtschaft sein. Auch Google-Chef Sundar Pichai hat das dieser Tage erst wieder in einem FT-Gastbeitrag betont:
“Europe’s AI Act is an important development in balancing innovation and risk.”
Sundar Pichai, Google-CEO
2. Welche KI-Anwendungen werden im KI-Gesetz der EU reguliert?
Eine einfache White- oder Blackliste existiert nicht, daher sollte man die Grundidee des Gesetzes verstehen. Es sortiert KI-Anwendungen nach Risikokategorien:
- unkritische Anwendungen, die keiner Regulierung unterliegen. Hierunter dürften die meisten KI-Anwendungen fallen, die wir im Alltag gar nicht als solche im Blick haben – etwa Spamfilter oder Speech-to-Text-Funktionen am Handy.
- Anwendungen mit Transparenz- und Kennzeichnungspflicht – darunter fallen alle Anwendungen, die zur unmittelbaren Interaktion mit Menschen gedacht sind – z. B. alle Arten von Chatbots und damit auch viele der gängigen GenAI-Tools. Mehr dazu unten.
- Hoch-Risiko-KI, für die sehr klare Dokumentationspflichten gelten – in Unternehmen dürfte dies bspw. relevant werden im Personalbereich (siehe unten)
- unzulässige Anwendungen, die vollständig verboten sind (Art. 5). Darunter fallen in der EU etwa Social-Scoring-Systeme oder Gesichtserkennung zur Fernüberwachung. Ebenfalls verboten wird „Predictive Policing“ auf Basis persönlicher Merkmale wie der Hautfarbe, also der Einsatz von KI, um abzuschätzen, ob eine Person eine Straftat zukünftig begehen wird oder nicht. Der letztgenannte Case ist aus Firmensicht sicherlich nicht realistisch, er bringt aber den Geist des AI Acts zum Ausdruck: Niemand soll aufgrund des eigenen Ausssehens oder persönlicher Eigenschaften diskriminiert werden dürfen.
3. Was für KI-Systeme mit hohem Risiko gibt es in Unternehmen?
Unter Hoch-Risiko-KI fallen laut AI Act (Art. 6) Anwendungen, deren Einsatz „Gesundheit, Sicherheit oder Grundrechte von Menschen gefährden“ könnten. Unternehmen sollten hier vor allem auf KI im Kundenservice und im HR-Bereich schauen:
- Im Kundenservice könnten KI-Systeme z. B. Reklamationen vorsortieren und – abhängig vom Kundenprofil – bewerten. Dies könnte Grundrechte betreffen, weil die KI hier gewisse Personen bevorzugen oder benachteiligen könnte.
- Im HR-Bereich gilt ähnliches – im Recruiting wie auch in der Personalentwicklung: Man denke an einen KI-Bot, der als erste Instanz alle Bewerbungen screent und nur Kandidat:innen an die menschlichen HR-Kolleg:innen weiterreicht, die das System als geeignet ansieht. Gleiches ist bei der Entscheidung über Beförderungen oder bei der Leistungskontrolle von Arbeitnehmer:innen denkbar – im schlechtesten Fall bis hin zu disziplinarischen Maßnahmen, wo der Bot zumindest Empfehlungen aussprechen könnte.
All diese Anwendungen sind nicht verboten, aber es gibt klare Transparenz- und Dokumentationspflichten für Unternehmen.
Bevor der oben beschriebene Recruiting-Bot im HR-Team also eine Bewerbung zu lesen bekäme, müsste die oder der Kandidat:in dies zuvor erfahren und dem vermutlich sogar zustimmen. Weitere Vorgaben für den Betrieb von Hochrisiko-KI sind im AI Act beschrieben – etwa, dass immer menschliche Aufsicht und Eingriffe möglich sind.
4. Welche Transparenzanforderungen betreffen laut AI Act Unternehmen?
Wichtig sind vor allem zwei Kategorien von KI-Anwendungen, die der AI Act in Art. 52 nennt
- Anwendungen, die für die Interaktion mit natürlichen Personen bestimmt sind, wie z. B. KI-basierte Chatbots. Sie müssen fortan so konzipiert sein, dass die Nutzer:innen erfahren, dass sie mit einem KI-System interagieren.
- Anwendung, die „Deep Fakes“ produzieren. „Deep Fakes“ sind künstlich generierte Inhalte, die realen Menschen, Orten oder Dingen so präzise nachempfunden sind, dass man sie von diesen nicht oder kaum unterscheiden kann. Dies gilt explizit auch für Textinhalte. Solche Inhalte müssen fortan gekennzeichnet sein – wobei die Art der Kennzeichnung noch offen ist.
5. Muss man fortan alle mit KI erzeugten Inhalte kennzeichnen?
Diese Frage treibt viele unserer Kunden um, und die Antwort laut AI Act ist eindeutig: nein. Solange ein mit GenAI erstellter Inhalt kein Deep Fake (siehe oben) ist, gibt es gemäß der neuen EU-Gesetzgebung keine Kennzeichnungspflicht. Egal, ob Sie einen LinkedIn-Post mit ChatGPT erstellen, mit Midjourney Kampagnen-Visuals gestalten oder mit HeyGen Avatar-Videos – generell ausweisen müssen Sie das nicht.
Wir empfehlen unseren Kunden:innen dennoch, bei GenAI-Produkten sehr transparent zu sein – und das aus zwei Gründen:
- zum einen, weil viele Nutzer:innen dies erwarten
- zum anderen, weil es auch ein Statement für die eigene Modernität und damit ein Beitrag zum Markenimage sein kann, wenn man KI in der Creation einsetzt.
Wichtig zu wissen: Neben dem KI-Gesetz gibt es noch andere Rechtsvorschriften, die GenAI beeinflussen. Dazu zählen Persönlichkeitsrechte oder Urheberrechte – diese gelten natürlich weiterhin.
Für Anbieter von KI-Modellen wie Large Language Models (LLMs) hat der AI Act sogar nochmals die Regeln verschärft. Sie müssen in Zukunft über Strategien verfügen, dass sie das Urheberrecht beim Trainieren ihrer Modelle einhalten. Bisher, so zumindest die Sicht vieler Verlage, Autoren und Content-Datenbanken, haben Anbieter wie OpenAI die Urheberrechte ignoriert.
Wichtig aber auch hier: Diese Verschärfung betrifft nicht die Nutzer, auch keine professionellen Nutzer, sondern nur die Anbieter selbst.
Mehr KI-Insights gefällig?
In unserem monatlichen Newsletter erhalten Sie alle für Führungskräfte relevanten Updates zu GenAI – mit Fokus auf Kommunikation, Marketing und HR. Hier kostenlos abonnieren.
6. Was gilt laut AI Act für Unternehmen hinsichtlich ihrer KonzernGPTs?
Viele Unternehmen haben in den vergangenen Monaten eigene Chatbots, sogenannte KonzernGPTs, entwickelt. In den meisten Fällen basieren sie auf ChatGPT – mit dem Vorteil, dass eingegebene Daten nicht über US-Server laufen oder zum Training des LLMs genutzt werden. Das ermöglicht eine DSGVO-konforme Nutzung.
Der AI Act thematisiert KonzernGPTs nicht ausdrücklich. Es gibt jedoch bereits Diskussionen unter Expert:innen, dass es sich bei den Weiterentwicklungen des GPTs ja nicht um eigene KI-Anwendungen handelt, sondern dass nur die eingegebenen Daten anders (nämlich datenschutzkonform) verarbeitet werden. Demnach würden daraus keine besonderen Verpflichtungen laut AI Act erwachsen.
Wenn Unternehmen jedoch eigene KI-Anwendungen wie Chatbots im Kundenservice oder Bilddatenbanken entwickeln, dann fallen diese definitiv auch unter den AI Act.
Vielversprechend aus Unternehmenssicht ist eine weitere Vorgabe der EU unter der Überschrift „Innovation“: dass es das Gesetz nämlich KMU und Start-ups ermöglichen soll, eigene KI-Modelle zu entwickeln und zu trainieren, bevor sie für die allgemeine Öffentlichkeit freigegeben werden. Dazu müssen die nationalen Behörden Unternehmen eine realitätsnahe Testumgebung zur Verfügung stellen. Wie diese aussehen, ist allerdings noch völlig offen.
7. Gibt es im AI-Act Sonderregeln für die großen KI-Chatbots?
Die gibt es tatsächlich – allerdings nur für Hersteller und Betreiber, nicht – und das ist für Unternehmen wichtig – für Nutzer. Im Laufe der Entwicklung des AI Acts hat die Politik, getrieben durch den Erfolg von KI-Chatbots in 2023, nochmals separate Anforderungen für sogenannte General Purpose AI (GPAI) definiert – damit wird die reine Risikoklassifizierung aufgeweicht.
GPAIs sind demnach KI-Systeme, die verschiedene Aufgaben bewältigen können. Während manche GenAI-Tools spezielle Zwecke erfüllen, bspw. die Übersetzung von Text, sind GPAIs breiter angelegt. Das bekannteste GPAI ist ChatGPT, das diverse Importe verarbeiten kann – von Text über Bilder und Code bis zu Sprache – und auch unterschiedliche Medien ausgibt.
Für ihre Betreiber gelten besonders strenge Regeln, was Transparenz und Dokumentation angeht. Hier gibt es zwei Abstufungen: die „normalen GPAIs“ und solche, deren Gesamtrechenleistung besonders hoch ist. Aktuell liegt die Grenze bei – das als Detail für IT-Professionals – 1025 FLOPs. Vereinfacht gesagt sind FLOPs Rechenschritte pro Sekunde. Sie werden noch stärker reguliert.
Diese Sonderregelung zeigt, wie unsicher sich selbst die Expert:innen noch sind hinsichtlich der Risiken von Hochleistungs-KI: Fähigkeiten von Modellen mit mehr als 1025 FLOPs nämlich würden wir Menschen schlichtweg noch nicht ausreichend verstehen, so die Argumentation. Aktuell zählen nur die modernsten GPAIs in die Kategorie, nämlich OpenAIs GPT-4 sowie Google Gemini. Mehr dazu steht hier bei der Europäischen Kommission.
8. Schafft der AI Act endlich Klarheit, wie KI mit Urheber- und Nutzungsrechten umzugehen hat?
Jein. Ein derart umfassendes Gesetzeswerk hat nicht die Aufgabe, die konkreten juristischen Auslegungen im Detail zu definieren, aber es soll einen Rahmen setzen, in dem sich künftig Rechtssprechung bewegt. Und das tut der AI Act, gerade mit Blick auf GPAIs, also leistungsfähige Sprachmodelle.
Der Entwurf sieht vor, dass Betreiber nicht nur den Trainings- und Testprozess des Modells offenlegen, sondern auch “die Art und Herkunft der Daten” sowie, “wie die Daten erhalten und ausgewählt wurden”. Zudem müssen KI-Firmen laut Art. 52c sicherstellen, dass sie die Urheberrechte in der EU einhalten und Daten, welche die Eigentümer nicht freigeben wollen, auch garantiert nicht in ihre Modelle einfließen lassen.
„Urheberrechte in der EU einhalten“ klingt sehr absolut. Allerdings krankt die Forderung daran, dass schlichtweg noch nicht geklärt ist, ob GenAI-Tools überhaupt einen Urheberrechtsverstoß begehen, da sie (in der Tat) urheberechtlich geschützte Inhalte ja nicht 1:1 wiedergeben, sondern die Informationen neu zusammenwürfeln
Auf dieser Basis werden Richter:innen in den nächsten Jahren entscheiden müssen, wie konkrete Fälle von Urheber- oder Nutzungsrechts-Streitigkeiten zu bewerten sind. Heißt: Die Rechtssprechung muss sich noch entwickeln. Und auch wenn sie zugunsten der Rechteinhaber ausfallen dürfe, heißt das noch lange nicht, dass die KI-Konzerne klein beigeben: Der seit Jahren schwele Rechtsstreit zwischen Google und Verlagen darüber, wie viel Tantieme der Suchmachinenbetreiber für die Nutzung der Inhalte zu zahlen habe („Leistungsschutzrecht“), taugt hier als Präzendenzfall.
Für Unternehmen dürfte in diesem Zusammenhang eine Frage interessant werden: Ob sie einen generellen Anspruch haben, von Mitarbeitenden erstellte Daten in eigene KonzernGPTs einzuspeisen. Setzt man sie mit den Anbietern von Sprachmodellen gleich, müssten sie sicherstellen, dass Inhalte einzelner Nutzern auf deren Wunsch entfernt bzw. nicht integriert werden. Auch hier gibt es aber noch keine belastbare Rechtsauslegung.
9. Müssen Unternehmen ihre Mitarbeiter:innen in puncto KI ausbilden?
Wenn Unternehmen selbst KI-Lösungen entwickeln und die Mitarbeitenden diese anwenden, dann sollten sie dies tun: Der AI Act legt in Art. 4b fest, dass Anbieter KI-Kompetenz („AI literacy“ genannt) beim eigenen Personal und bei Dienstleistern sicherstellen müssen. Uneinigkeit bei Juristen herrscht bei der Frage, ob bereits die Nutzung eines auf Copilot oder ChatGPT aufsetzenden „KonzernGPT“ als Eigenentwicklung zu bewerten ist.
Bei uns finden Sie für Ihr Team die passenden KI-Workshops
In unseren individuellen KI-Workshops erhalten Einsteiger und Profis praktisch nutzbares Wissen zu GenAI, üben den Umgang mit relevanten Tools und erfahren wichtige Hintergründe. Wir schulen in deutscher und englischer Sprache. Hier geht’s zur Workshop-Übersicht.
10. Drohen Strafen, wenn Unternehmen die Regeln im KI-Gesetz nicht einhalten?
Ja, die EU hat sogar hohe Bußgelder angekündigt. Als Höchststrafe sind sieben Prozent des gesamten weltweiten Vorjahresumsatzes oder 35 Millionen Euro vorgesehen. Zum Vergleich: DSGVO-Verstöße kosten „nur“ maximal 4 Prozent des Umsatzes oder 20 Millionen Euro.
11.Braucht nun jedes Unternehmen einen „KI-Beauftragten“?
Juristisch ist das leich zu beantworten: mit einem klaren Nein. Der AI Act verlangt, anders als ehedem die DSGVO, keinen Aufseher, also kein Äquivalent zum Datenschutzbeauftragten. Wir raten Unternehmen sogar ab, die Zuständigkeit für KI bei nur einem/einer Beauftragten zu bündeln, denn jede:r Mitarbeitende sollte über ausreichend KI-Wissen und ein entsprechendes Mindset verfügen, um die neue Technologie produktiv und zugleich reflektiert einzusetzen. Lesenswert in dem Kontext ist ein Bericht der FAZ: Sie warnt vor den Nachteilen eines KI-Beauftragten. Denn laut FAZ zeigen Forschungsergebnisse, dass andere Mitarbeiter:innen das Thema KI sogar eher von sich wegschieben, wenn ein Verantwortlicher benannt wird.
Was der AI Act allerdings verlangt, das ist KI-Kompetenz: Anbieter und Betreiber von KI-Systemen müssen ihr Personal schulen – hier haben Unternehmen „nach bestem Wissen und Gewissen“ eine Pflicht zur KI-Ausbildung (siehte 9.)
12. Reguliert der AI Act auch die private Nutzung?
Der AI Act gilt nur für professionelle Anwender – wer KI-Systemen zu privaten Zwecken einsetzt oder entwickelt, muss sich um diese EU-Gesetzgebung nicht kümmern. Dies gilt auch für die Nutzung von Generativer KI in Schule oder Universität. Je nach Bildungsinstanz gelten hier jedoch individuelle Regeln, was Transparenz oder den generellen Einsatz von KI-Tools angeht. Der AI-Act allerdings verbietet diesbezüglich nichts.
13. Ab wann gilt der AI Act?
Auch wenn es beschlossen ist, ist die KI-Verordnung damit noch nicht in Kraft. Noch also wird kein Unternehmen gemaßregelt, wenn es Vorgabe nicht einhält. Es folgt noch eine abschließende Prüfung durch Juristen und Sprachwissenschaftler. Rein formal muss auch der Europäische Rat den AI Act noch billigen.
Die meisten Regeln greifen erst 24 Monate nach seinem Inkrafttreten in vollem Umfang, allerdings gibt es laut EU einige Ausnahmen, und zwar für
- verbotener KI-Praktiken gelten bereits nach 6 Monate
- Verhaltenskodizes nach 9 Monate
- allgemeine AI-Vorschriften einschließlich der Governance nach 12 Monate
- Verpflichtungen für Hochrisikosysteme nach 36 Monaten.
14. Was sollten Unternehmen jetzt tun?
Konsequenzen hat der AI Act der EU für Unternehmen, egal ob sie selbst KI entwickeln oder nicht. Denn er reguliert eben auch Nutzer:
- Zunächst braucht es eine Bestandsaufnahme – welche KI-Systeme sind im Einsatz oder vorgesehen, und wie lassen sich sie entsprechend der Kategorisierung des AI Acts einsortieren?
- Wenn Anwendungen als transparenz-/kennzeichnungspflichtig oder sogar als Hoch-Risiko-KI gelten können, dann sollten Unternehmen rasch reagieren und die EU-Vorgaben umsetzen. Dazu zählen professionelle KI-Guidelines und KI-Weiterbildung für alle Mitarbeiter:innen – und das so schnell wie möglich, denn die Verhaltenskodizes und allgemeinen AI-Vorschriften treten bereits in neun bis zwölf Monaten in Kraft.
Spätestens mit dem AI Act wird für Unternehmen das Thema KI eines, das die Gesamtorganisation und das Management betreffen muss. Insofern ist jetzt der richtige Zeitpunkt – wenn nicht schon geschehen – um eine eigene KI-Strategie zu entwickeln. - Diese muss natürlich die Risiken der Technologie im Blick haben, sich vor allem aber den Chancen von Künstlicher Intelligenz/GenAI widmen. Denn mit dem AI Act als stabilem rechtlichen Fundament wird die KI-Entwicklung nochmals an Tempo zulegen – spätestens jetzt sollte jedes Unternehmen KI zur Chefsache machen.
Hinweis: Dieser Text über den AI Act für Unternehmen basiert auf gründlichen Recherchen und Gesprächen mit Expert:innen, ist aber keine belastbare juristische Bewertung. Wir übernehmen keine Haftung für eventuelle Fehleinschätzungen. Beachten Sie zudem, dass es sich beim AI Act um ein laufendes Gesetzgebungsverfahren handelt. Änderungen an den genannten Anforderungen sind möglich.
disruptive AI Academy: die neue Art der KI-Ausbildung
Eigene Mitarbeitenden in der Nutzung von GenAI auszubilden, ist der wichtigste Hebel, um die neuen Technologien produktiv zu nutzen. Nur: Klassische Workshops und Trainings sind zu wenig flexibel und zu aufwändig, um Menschen unterschiedlicher Wissensstände und Bedürfnisse effizient zu schulen.
Unsere neue AI Academy ermöglicht es Firmen, dass jede:r Mitarbeitende:n entlang individueller Lernpfade das trainiert, was er oder sie wirklich braucht. Die Software läuft auf jedem Device – man kann also seine KI-Sessions im Büro, im Mobile Office oder unterwegs bearbeiten. Gamification- und Video-Formate machen das Training interaktiv und kurzweilig.
Die disruptive AI Academy ist DSGVO-konform und entspricht Konzern-Sicherheitsstandards. Erfahren Sie hier mehr.
Bildquelle: Midjourney/Disruptive