Blaue Illustration einer Platine mit den Buchstaben AI von der Netzwerklinien verlaufen
© Aozora | stock.adobe.com

AI Act – Die KI-Ver­ordnung der EU

Übersicht über die wesentlichen Inhalte

Lesedauer: 4 Minuten

Nach gut drei Jahren der Verhandlungen haben sich das EU-Parlament und der Rat im Frühjahr 2024 über Regeln zum Umgang mit künstlicher Intelligenz (KI) geeinigt. Mitte Juli wurde die EU-Verordnung 2024/1689 über künstliche Intelligenz (AI Act) nun im Amtsblatt L vom 12.7.2024 veröffentlicht. 

Etappen des In-Geltung-Tretens

Der AI Act der EU ist damit weltweit der erste Rechtsakt, der konkrete Regelungen für den Einsatz von künstlicher Intelligenz (KI) enthält. Er tritt grundsätzlich mit 1.8.2024 (20 Tage nach dessen Veröffentlichung im Amtsblatt) in Kraft, die einzelnen Bestimmungen des Rechtsaktes sollen für die jeweiligen KI-Systeme gestuft nach deren risikobasierten Einstufung in Geltung treten:

  • Ab 2.2.2025 gelten die Regelungen für verbotene KI-Systeme, deren Nutzung eingestellt werden muss.
  • Ab 2.2.2025 sollen Mitarbeiter über die im Unternehmen eingesetzten KI-Systeme nachweislich geschult werden.
  • Ab 2.8.2026 gelten die übrigen Verpflichtungen des AI Act (z.B. Transparenzpflichten für generative KI-Systeme).
  • Für Hochrisiko-KI-Systeme ist eine verlängerte Übergangsfrist von 36 Monaten vorgesehen.

Anwendungsbereich

Der AI Act weist einen weiten Anwendungsbereich auf und gilt für alle, die Produkte oder Dienstleistungen auf der Grundlage von künstlicher Intelligenz anbieten. Er umfasst Anwendungen, die Inhalte, Vorhersagen und Empfehlungen bereitstellen oder die Entscheidungsfindung der Nutzer beeinflussen. Er schließt dabei neben kommerziellen Angeboten auch die Nutzung von KI im öffentlichen Sektor wie z.B. bei der Strafverfolgung ein. Der "AI Act" soll die bestehenden Rechtsakte wie insbesondere die EU-Datenschutz-Grundverordnung (DSGVO) ergänzen. 

Auflagen für KI-Anwendungen

KI-Anwendungen werden grundsätzlich unterschiedlichen Risiko-Kategorien zugeordnet- von "minimal" über "hoch" bis "inakzeptabel". Je nach Einstufung haben die Anbieter bestimmte Sicherheits- und Transparenz-Anforderungen einzuhalten.

Anbieter von KI-Programmen, die potenziell Gesundheit, Sicherheit, Bürgerrechte, Umwelt, Demokratie, Wahlen und Rechtsstaatlichkeit gefährden, müssen beispielsweise für eine Zulassung eine Reihe von Auflagen erfüllen. Dazu zählt u.a. eine Analyse, welche Folgen die Anwendung für die Grundrechte zeitigen könnte (Folgenabschätzung).

KI, die als weniger riskant betrachtet wird, unterliegt vor allem Transparenzregeln. Dabei müssen von KI-Programmen erstellte Inhalte als solche gekennzeichnet werden, damit Nutzer selbst entscheiden können, wie sie mit diesen umgehen wollen.

KI-Nutzung durch Behörden in der Strafverfolgung

Behörden sind ermächtigt, biometrische Echtzeit-Erkennung im öffentlichen Raum zu nutzen, um Opfer von Entführungen, von Menschenhandel und von sexueller Gewalt zu identifizieren sowie eine konkrete und unmittelbare Terrorismus-Gefahr abzuwehren. KI darf ferner bei der Fahndung nach Personen eingesetzt werden, die terroristischer Straftaten, anderer Kapitalverbrechen, der Mitgliedschaft in einer kriminellen Vereinigung oder der Umweltkriminalität verdächtigt werden. 

Verbote bestimmter KI-Anwendungen

Eine Reihe von KI-Anwendungen, die als inakzeptabel eingestuft werden, werden vom AI Act verboten. Dazu gehören biometrische Kategorisierungssysteme, die sensible Merkmale wie politische oder religiöse Überzeugungen, sexuelle Orientierung oder ethnische Zugehörigkeit nutzen.

Nicht zulässig ist außerdem ein ungezieltes Durchsuchen des Internets oder von Aufnahmen von Überwachungsanlagen zur Erstellung von Gesichtsdatenbanken.

Auch darf KI nicht zur Erkennung von Emotionen am Arbeitsplatz und in Bildungseinrichtungen eingesetzt werden. Programme zur Manipulation von menschlichem Verhalten sind ebenso verboten wie Anwendungen, die Schwächen von Menschen aufgrund Alter, Behinderung, sozialer oder wirtschaftlicher Situation ausnutzen. Schließlich darf KI auch nicht zur Erstellung eines Benotungssystems für soziales oder persönliches Verhalten ("Social Scoring") verwendet werden. 

Generative KI und allgemein einsetzbare KI Systeme

Allgemein einsetzbare KI Systeme (General Purpose AI Systems bzw. kurz: GPAIS) sind eine Kategorie, die gegen Ende des Rechtsetzungsprozesses für die recht neue generative KI eingeführt wurde. Dazu zählen Programme wie z.B. ChatGPT, die unter anderem anhand weniger Stichworte komplette Texte oder Bilder erstellen und in unterschiedlichen Anwendungsbereichen eingesetzt werden können.

Die Anbieter von allgemein einsetzbarer KI (GPAIS) bzw. Grundlagenmodellen ("Foundation Models") müssen allen voran Transparenzpflichten erfüllen, wozu insbesondere eine detaillierte technische Dokumentation und Informationen über diejenigen Daten, die für das Training der KI genutzt wurden, zählen. Dabei ist von ihnen sicherzustellen, dass die Vorgaben des EU-Urheberrechts eingehalten werden.

Weitergehende Verpflichtungen bestehen bei systemisch riskant eingestuften Grundlagenmodellen: hier müssen die Anbieter ihre Modelle zusätzlich umfangreich testen, evaluieren und Risiken minimieren. Für schwerwiegende Vorfälle besteht eine Meldepflicht.

Zu den ab 2.2.2025 geltenden Regelungen (verbotene KI; Mitarbeiterschulung)

Die für viele Unternehmen wichtigste Regelung ab Februar 2025 ist neben dem Verbot inakzeptabler KI-Systeme vor allem die Bestimmung, Mitarbeitern entsprechende Kompetenz im Umgang mit den eingesetzten KI-Tools zu vermitteln. Die Sicherstellung zum kompetenten Umgang mit KI-Systemen betrifft grundsätzlich auch Vertragspartner und Lieferanten. Die Verordnung selbst enthält keine Konkretisierung dieser Bestimmung und auch keine Strafbestimmungen. Die österreichische KI-Servicestelle führt jedoch den Bereich anhand von Beispielen weiter aus.

Wir empfehlen jedenfalls zwei Schritte:

1. Schulung von betroffenen Mitarbeitern und entsprechende Dokumentation.

Tipp: Nutzen Sie die Angebote des Wifi: Fit für die digitale Zukunft: Mit dem WIFI-KI-Führerschein den Umgang mit KI sicher meistern 

2. Einführung allgemeiner Regelungen zum Umgang mit KI-Tools. 

Tipp: Nutzen Sie unsere KI-Guidelines für KMU: WKO KI Leitfaden 

Strafen und Sanktionen

Die Strafen richten sich nach der Schwere des Regelverstoßes und Größe des betroffenen Unternehmens. Sie beginnen bei 7,5 Mio. EUR oder 1,5 Prozent des weltweiten Jahresumsatzes eines Unternehmens und können bis zu 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes erreichen.

Behörden und Verfahren

Jedem Mitgliedstaat obliegt es, eine oder mehrere zuständige nationale Behörden zu ernennen, die das Land im Europäischen Ausschuss für künstliche Intelligenz vertritt bzw. vertreten. Die EU-Kommission wird ein Europäisches KI-Büro einrichten, das KI-Modelle mit allgemeinem Verwendungszweck überwacht.

Weiterführende Informationen

In Österreich wurde Anfang 2024 die KI-Servicestelle bei der Regulierungsbehörde RTR GmbH eingerichtet. Sie stellt auf ihrer Website ein umfassendes Informationsangebot zur Verfügung.

Informationsangebote der WKO: Künstliche Intelligenz - KI.

Stand: 01.02.2025

Weitere interessante Artikel
  • Weißer Roboter klickt mit seinem Zeigefinger auf Fragen
    Chat-Fragen: Webinar "KI-Anwendungen rechtssicher umsetzen"
    Weiterlesen
  • Person mit Brillen hält eine Hand an Kinn und blickt auf Tablet, im Hintergrund Bücherregal
    6 Tipps: So finden Sie die passende KI-Strategie für Ihr Unternehmen
    Weiterlesen