Der AI Act: Erste Verpflichtungen bereits ab 2.2.2025!

08.12.2024: Der AI Act ist bereits am 2. August 2024 in Kraft getreten. Doch aufgrund der langen Fristen – viele relevante Teile werden erst im August 2025 oder später relevant – haben viele Unternehmen das Thema etwas auf die Seite geschoben.

Doch die ersten Bereiche werden bereits am 2. Februar 2025 wirksam! Konkret sind das die Kapitel I und II des AI Acts. Diese beiden Kapitel betreffen folgende Bereiche:

  • Kapitel I regelt die Verpflichtung zum Aufbau einer KI-Kompetenz,
  • Kapitel II definiert, welche KI-Anwendung ab dem 2.2.2025 verboten sein werden.
 

KI-Kompetenz wird verpflichtend.

Artikel 4 des AI Act verpflichtet Anbieter und Betreiber, interne KI-Kompetenzen aufzubauen. Betreiber sind all jene, die KI in ihrer Organisation bloß anwenden, egal welchen Risikograd die KI hat, d.h. die Verpflichtung gilt auch beim Einsatz von KI mit bloß minimalem Risiko.

Anbieter und Betreiber müssen also sicherstellen, dass die eigenen Mitarbeiter, aber auch jene der Auftragsverarbeiter, die KI-Systeme betreiben, über ein ausreichendes Maß an KI-Kompetenz verfügen.

In der Praxis bedeutet dies, dass Mitarbeiter, die noch keine ausreichenden Kenntnisse und Erfahrungen haben, für die KI-Anwendung ausgebildet oder geschult werden müssen.

 

Verbotene KI-Systeme

Ab dem 2. Februar 2025 sind manche KI-Systeme im privatwirtschaftlichen Bereich generell verboten:

  • KI-Systeme, die Personen beeinflussen, indem unterschwellige Techniken zur Beeinflussung oder absichtlich manipulative oder täuschende Techniken eingesetzt werden, mit dem Ziel oder der Wirkung, das Verhalten einer Person oder einer Gruppe wesentlich zu verändern und dabei ihren freien Willen zu umgehen, wodurch ihr ein erheblicher Schaden zugefügt wird oder werden kann.
  • KI-Systeme, die die Schwächen von Menschen (z.B. aufgrund ihres Alters, ihrer Behinderung oder sozialen oder wirtschaftlichen Situation) ausnutzen, wodurch diesen ein erheblicher Schaden zugefügt wird oder werden kann.
  • KI-Systeme, die Personen oder Gruppen auf Grundlage ihres sozialen Verhaltens oder persönlicher Eigenschaften oder Merkmale bewerten oder klassifizieren, wobei die dadurch hergeleitete soziale Bewertung zu einer Schlechterstellung oder Benachteiligung dieser Personen oder Gruppen führt (sog. Social Scoring).
  • KI-Systeme, die gezielt Gesichtsbilder aus dem Internet oder aus Überwachungsaufnahmen auslesen, um Gesichtserkennungsdatenbanken zu erstellen (gilt nicht für Strafverfolgungsbehörden).
  • KI-Systeme, die Emotionserkennung von Personen am Arbeitsplatz oder in Bildungseinrichtungen durchführen (mit Ausnahmen im medizinischen Bereich oder aus Sicherheitsgründen.
  • KI-Systeme, die biometrische Kategorisierungen von Personen durchführen, um deren Rasse, politische Einstellung, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugung, Sexualleben oder sexuelle Ausrichtung daraus abzuleiten (mit Ausnahme im Bereich der Strafverfolgung).
 

In welche Kategorien fallen die KI-Systeme?

Der AI Act definiert folgende vier Risikokategorien für alle KI-Systeme:

  • Unannehmbares Risiko: Diese Systeme sind ab 2.2.2025 verboten, da sie europäische Werte oder Grundrechte verletzen könnten. Beispiele sind Social Scoring und manipulative Techniken (siehe oben).
  • Hohes Risiko: Diese Systeme unterliegen strengen Anforderungen, da sie potenziell die Gesundheit, Sicherheit oder Grundrechte beeinträchtigen können. Dazu gehören etwa biometrische Identifikationssysteme und KI in kritischen Infrastrukturen.
  • Begrenztes Risiko: Systeme, die Transparenzpflichten erfüllen müssen, wie z.B. Chatbots, die Nutzer über den Einsatz von KI informieren. Darunter fällt normalerweise auch der Einsatz von ChatGPT-basierten Systemen.
  • Minimales oder kein Risiko: Diese Systeme unterliegen keinen besonderen Vorschriften des AI Acts, da von ihnen keine Gefahr für die Betroffenen ausgeht.
 

Hohe Strafen drohen.

Ähnlich wie bei der DSGVO drohen den Unternehmen hohe Strafen, wenn sie sich nicht an die Vorgaben des AI Acts halten, wobei die Höchststrafen des AI Acts sogar noch höher als jene der DSGVO sind:

Der AI Act sieht Strafen in der Höhe von bis zu 35 Mio. Euro oder bis zu 7% des weltweiten Vorjahresumsatzes vor. Verstöße können also richtig ins Geld gehen.

 

Was sollten Sie nun tun?

Aus derzeitiger Sicht sollten Unternehmen zeitnah mehrere Dinge tun:

  • Bestandsaufnahme: Zunächst sollte erhoben werden, welche KI-Tools im gesamten Unternehmen für welche Einsatzgebiete verwendet werden, inkl. einer Einstufung des Risikos der Anwendung für die Betroffenen.
  • Policy: Außerdem empfiehlt es sich, im Unternehmen eine Policy für die Verwendung von KI zu implementieren. Das ist zwar keine explizite Verpflichtung des Artikel 4 AI Act, aber dennoch sehr empfehlenswert.
  • Schulungen: Und jene Mitarbeiter, die mit ChatGPT & Co. arbeiten, sollten entsprechend geschult werden – nicht zuletzt auch hinsichtlich der rechtlichen und datenschutz-rechtlichen Konsequenzen, die sich aus der Verwendung der KI-Tools ergeben.