Der AI Act ist nun verabschiedet, und wir befinden uns in einer zweijährigen Übergangsphase. Diese Zeit ist entscheidend für Unternehmen, um sich auf die neuen Anforderungen vorzubereiten und ihre KI-Systeme entsprechend anzupassen. Es ist wichtig zu verstehen, dass diese Übergangsphase nicht als Aufschub, sondern als aktive Vorbereitungszeit genutzt werden sollte.
Vergleich mit anderen Regulierungen
Die Frage, ob der AI Act in der Szene so stark präsent ist wie beispielsweise die ISG-Verordnung im Immobilienbereich, lässt sich nicht einfach beantworten. Tatsächlich wäre ein Vergleich mit der Datenschutz-Grundverordnung (DSGVO) treffender. Die DSGVO trat im Mai 2018 in Kraft, und die Reaktionen darauf waren zunächst ähnlich wie jetzt beim AI Act.
Bei der Einführung der DSGVO gab es anfänglich wenig Auseinandersetzung mit dem Thema. Viele Unternehmen dachten, sie seien nicht betroffen. Erst kurz vor Inkrafttreten der Verordnung wurde vielen klar, wie weitreichend die Auswirkungen tatsächlich waren, insbesondere in Bereichen wie Online-Marketing und Kundenkommunikation.
Im Vergleich dazu scheint die Auseinandersetzung mit dem AI Act in der KI-Szene intensiver zu sein. Personen und Unternehmen, die KI-Systeme entwickeln, beschäftigen sich früher und gründlicher mit den Anforderungen der neuen Regulierung. Dies könnte darauf zurückzuführen sein, dass die Erfahrungen mit der DSGVO zu einem erhöhten Bewusstsein für die Bedeutung von Regulierungen geführt haben.
Das vierstufige Modell des AI Act
Ein wichtiger Aspekt des AI Act ist das vierstufige Modell, das von der EU als Pyramide dargestellt wird. Diese Darstellung ist nicht nur ästhetisch gewählt, sondern spiegelt auch die Mengenverhältnisse wider. Die Europäische Kommission geht davon aus, dass bis zu 80% der KI-Anwendungen nicht zertifiziert werden müssen. Dies bedeutet, dass ein Großteil der Unternehmen, die sich heute mit KI beschäftigen, in diese Kategorie fallen.
Beispiele für nicht zertifizierungspflichtige KI-Anwendungen sind:
· Qualitätskontrolle in der Produktion (z.B. Überprüfung von Mikrofonen am Fertigungsband)
· Einfache Chatbots
Für diese Anwendungen reicht oft ein einfacher Disclaimer aus, der darauf hinweist, dass der Nutzer mit einem KI-System kommuniziert.
Die Zertifizierungspflicht beginnt erst in sensibleren Bereichen wie:
· HR und Recruiting-Lösungen
· Systeme, die kritische Infrastruktur betreffen
Es ist wichtig zu verstehen, dass der AI Act zwar weitreichend ist, aber nicht alle KI-Anwendungen gleichermaßen betrifft. Dies unterscheidet ihn von der DSGVO, die praktisch alle Unternehmen betraf, die mit personenbezogenen Daten arbeiten.
Umsetzung des AI Act in den einzelnen Ländern
Obwohl der AI Act nun verabschiedet ist und sich die Branche bereits darauf vorbereitet, hängt viel von der Umsetzung in den einzelnen Ländern ab. Jedes Land wird seine eigene AI-Behörde gestalten und den Act entsprechend implementieren.
Zum jetzigen Zeitpunkt ist es noch zu früh, um konkrete Aussagen darüber zu treffen, wie die einzelnen Länder damit umgehen werden. Österreich war nach Spanien unter den Top 3 Ländern bei der Vorbereitung auf den AI Act, aber ob sich daraus ein regulatorischer Wettstreit entwickeln wird, wie es bei vielen anderen Themen der Fall ist, lässt sich noch nicht beurteilen. Eine klarere Einschätzung wird voraussichtlich erst Ende des Jahres oder eher 2025 möglich sein.
Vorbereitung der Unternehmen
Die Frage, wie sich Unternehmen vorbereiten können, wenn die genaue Auslegung des Gesetzes noch nicht feststeht, ist berechtigt. Es gibt zwei Hauptgruppen von Unternehmen, die sich mit dem AI Act auseinandersetzen müssen:
1. Konsumenten-Seite: Unternehmen, die KI-Lösungen kaufen und einsetzen
2. Anbieter-Seite: Unternehmen, die KI-Lösungen entwickeln und verkaufen
Für die Konsumenten-Seite ist es wichtig zu wissen, dass der erste Entwurf des AI Act bereits im April 2021 veröffentlicht wurde. Obwohl sich Details geändert haben, sind die Grundzüge weitgehend gleich geblieben. Dies betrifft insbesondere die Pyramidenstruktur, die Einschätzung, dass 70-80% der Systeme nicht zertifizierungspflichtig sind, und die Notwendigkeit der Zertifizierung für bestimmte Systeme wie Recruiting-Tools.
Der AI Act lässt sich in seiner Struktur und Umsetzung am ehesten mit der ISO 27001 vergleichen, einem Standard für Informationssicherheit. Ähnlich wie bei der ISO 27001 müssen Unternehmen beim AI Act systematisch vorgehen und verschiedene Aspekte berücksichtigen, wie zum Beispiel:
· Wie oft werden Passwörter gewechselt?
· Gibt es einen abschließbaren Serverraum?
· Welchen Zugriff haben Externe?
· Wie erfolgt der Datenaustausch?
· Werden Kundendaten nach einer bestimmten Zeit gelöscht?
Es gibt unterschiedliche Sicherheitsstufen, und Unternehmen haben gelernt, sich mit solchen Anforderungen zu arrangieren. In Österreich gibt es beispielsweise hunderttausende ISO 27001-zertifizierte Unternehmen. Der Prozess läuft in der Regel so ab, dass das Unternehmen seine Regeln und Systeme dokumentiert und dann ein Auditor zur Überprüfung vorbeikommt.
Schritte zur Vorbereitung auf den AI Act
Auch wenn die genaue Auslegung des AI Act noch nicht feststeht, können Unternehmen bereits jetzt wichtige Vorbereitungen treffen:
3. Bestandsaufnahme: Identifizieren Sie alle KI-Systeme, die in Ihrem Unternehmen verwendet werden.
4. Risikoanalyse: Bewerten Sie, in welche Kategorie des vierstufigen Modells Ihre KI-Anwendungen fallen.
5. Dokumentation: Beginnen Sie mit der Dokumentation Ihrer KI-Systeme, ihrer Funktionsweise und ihrer Verwendung.
6. Ethische Richtlinien: Entwickeln Sie interne Richtlinien für den ethischen Einsatz von KI.
7. Schulungen: Bereiten Sie Schulungsprogramme für Mitarbeiter vor, die mit KI-Systemen arbeiten.
8. Technische Anpassungen: Identifizieren Sie mögliche technische Anpassungen, die für die Compliance erforderlich sein könnten.
9. Rechtliche Beratung: Holen Sie sich rechtliche Unterstützung, um die Anforderungen des AI Act besser zu verstehen und umzusetzen.
10. Monitoring: Etablieren Sie ein System zur kontinuierlichen Überwachung der Entwicklungen rund um den AI Act.
Fazit und Ausblick
Der AI Act stellt einen wichtigen Schritt in der Regulierung von KI in Europa dar. Obwohl noch viele Details der Umsetzung unklar sind, ist es für Unternehmen wichtig, sich frühzeitig mit den Anforderungen auseinanderzusetzen. Die Erfahrungen mit der DSGVO haben gezeigt, wie wichtig eine rechtzeitige Vorbereitung ist.
Die kommenden Monate und Jahre werden entscheidend sein für die Gestaltung der KI-Landschaft in Europa. Unternehmen, die proaktiv handeln und sich frühzeitig auf die neuen Anforderungen einstellen, werden einen Wettbewerbsvorteil haben. Gleichzeitig bietet der AI Act die Chance, das Vertrauen in KI-Systeme zu stärken und deren verantwortungsvolle Entwicklung und Nutzung zu fördern.
Es bleibt spannend zu beobachten, wie sich die Umsetzung des AI Act in den verschiedenen europäischen Ländern entwickeln wird und welche Auswirkungen dies auf die globale KI-Landschaft haben wird. Eines ist jedoch sicher: Der AI Act wird die Art und Weise, wie wir KI entwickeln, einsetzen und regulieren, nachhaltig prägen.
