EU AI Act

Hintergrund und Ziele des AI Act

Die Einführung des AI Act ist eine Reaktion auf die rasante Entwicklung und Verbreitung von KI-Technologien, die sowohl Chancen als auch Risiken mit sich bringen. Die EU verfolgt mit dieser Verordnung mehrere Ziele: 

• Schutz der Grundrechte: Der AI Act soll sicherstellen, dass KI-Systeme die Grundrechte der EU-Bürger respektieren und nicht diskriminierend oder schädlich sind.
• Verbesserung des Binnenmarkts: Der AI Act soll einen einheitlichen Rechtsrahmen schaffen, der die Entwicklung, Vermarktung und Nutzung von KI-Systemen in der EU harmonisiert.
• Transparenz und Innovation: Durch klare Regeln und Standards möchte die EU ein vertrauensvolles Umfeld schaffen für Innovationen im KI Bereich.

Risikokategorisierung 

Um diese Ziele zu erreichen, verfolgt die Verordnung einen risikobasierten Ansatz und kategorisiert KI-Systeme in vier Hauptkategorien: 

• Verbotene KI-Systeme: KI-Systeme, die die Grundrechte der Menschen gefährden, sind grundsätzlich verboten. Darunter fallen zum Beispiel Social Scoring (Bewertung von Menschen basierend auf öffentlichem Verhalten) oder Predictive Policing (Vorhersagen von Verbrechen). Ihre Nutzung ist nur in Ausnahmefällen und unter strengen Auflagen erlaubt. Art. 5, Beispiele aus c) und d) aus  Kapitel 2
• Hochriskantes KI-System: Systeme, die ein hohes Risiko für Einzelpersonen oder die Gesellschaft darstellen, müssen strenge Anforderungen an Transparenz, Nachvollziehbarkeit und Risikomanagement erfüllen. Beispiele sind KI-Systeme, die in kritischen Infrastrukturen oder bei der Verarbeitung biometrischer Daten eingesetzt werden. Kapitel 3
• KI-Systeme mit limitiertem Risiko: Hierunter fallen Systeme wie Chatbots oder Textgeneratoren, die moderate Risiken darstellen. Unternehmen müssen sicherstellen, dass Nutzer über die Interaktion mit diesen Systemen informiert werden und Hinweise auf mögliche Fehlinformationen gegeben werden.
• KI-Systeme mit minimalem Risiko: Systeme wie Spamfilter oder KI-unterstützte Videospiele, die ein geringes Risiko darstellen, unterliegen kaum speziellen regulatorischen Anforderungen. Für diese Systeme werden freiwillige Verhaltenskodizes empfohlen, die Unternehmen unterstützen können, um gute Praktiken im Umgang mit KI zu fördern.

Timeline der Vorschriften 

Die Umsetzung des AI Act erfolgt schrittweise, um Unternehmen Zeit zur Anpassung zu geben. Wichtige Termine sind:

August 2024: Inkrafttreten des EU AI Act

• Anforderungen werden stufenweise eingeführt
• Betroffen sind alle Unternehmen, die KI-Technologien verwenden

Februar 2025: Verbotene KI-Systeme müssen aus dem Verkehr gezogen werden

• Unternehmen sind verpflichtet, ihre Systeme zu überprüfen und gegebenenfalls anzupassen
• Anbieter und Betreiber von KI-Systemen haben eine Pflicht zur Mitarbeiterschulung
• Betroffen sind Unternehmen mit Hochrisiko-KI-Systemen und verbotenen KI-Systemen sowie alle Unternehmen, die KI-Systeme entwickeln oder einsetzen 

August 2025: Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck treten in Kraft

• Dies umfasst Dokumentationspflichten und Anforderungen an die Transparenz
• Betroffen sind Unternehmen, die KI-Technologien nutzen oder entwickeln

August 2026: Vollständige Geltung des AI Acts, einschliesslich der Regelungen für Hochrisiko-KI-Systeme

• Unternehmen müssen sicherstellen, dass ihre hochriskanten Systeme den neuen Anforderungen entsprechen 
• Betroffen sind alle Unternehmen, die KI-Technologien nutzen oder entwickeln, insbesondere Hochkrisiko-KI-Systeme

August 2027: Geltung der Einstufungsvorschriften für Hochrisiko-KI-Systeme, die eine längere Umsetzungsfrist haben

• Betroffen sind gewisse Unternehmen mit Hochrisiko-KI-Systemen

 Bedeutung für Schweizer Unternehmen 

Der AI Act kann auch für Schweizer Unternehmen weitreichende Folgen haben. Vor allem Unternehmen, die in der EU tätig sind oder deren Produkte in der EU verwendet werden, aber auch Schweizer Unternehmen, bei denen lediglich der Output des KI-Systems in der EU verwendet werden, müssen die Vorschriften des AI Acts beachten, zusätzlich zu den Anforderungen des Schweizer Datenschutzgesetzes (DSG) und der Datenschutz-Grundverordnung der EU (DSG-VO). 

Schweizer Unternehmen fallen unter den EU AI Act, wenn sie: 

• in der EU KI-Systeme in den Verkehr oder in Betrieb nehmen (Art. 2 Abs. 1 a) 1. Alt) oder
• KI-Systeme mit allgemeinem Verwendungszweck in Verkehr bringen, unabhängig davon, wo der Geschäftssitz ist (Art. 2 Abs. 1 a 2. Alt.) oder
• wenn die vom KI-System hervorgebrachten Ergebnisse in der EU verwendet werden (Art. 2 Abs. 1 c))
• KI-Systeme in die EU einführen oder mit diesen handeln (Art. 2 Abs. 1 d))

Während Forschung und Entwicklung an und mit KI-Systemen in der Schweiz weitestgehend zulässig sein werden, ist spätestens beim Inverkehrbringen und beim Handel zu prüfen, ob eine EU-Betroffenheit vorliegt. Wenn dies der Fall ist und der AI-Act gilt, greifen weitreichende rechtliche Vorgaben, die erheblich strafbewehrt sind. So kann es bei einem Verstoss gegen den AI Act hohe Strafen geben, bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. 

Handlungsempfehlungen für Schweizer Unternehmen 

Um den Anforderungen des AI Acts gerecht zu werden, sollten Schweizer Unternehmen folgende Schritte unternehmen: 

1. Anwendbarkeit prüfen: Unternehmen sollten klären, ob sie unter den AI Act fallen, insbesondere wenn sie KI-Systeme in der EU anbieten oder betreiben oder der Output des KI-Systems in der EU verwendet wird. Dies umfasst die Überprüfung der eigenen IT-Tools, Produkte und Dienstleistungen auf ihre Relevanz für den EU-Markt.
2. Compliance-Überprüfung: Eine gründliche Überprüfung der aktuellen KI-Systeme und -Prozesse ist notwendig, um sicherzustellen, dass sie den neuen Vorschriften entsprechen. Dies kann durch interne Audits, externe Beratungen oder via EU AI Act Compliancy Checker geschehen. 
3. Schulung und Sensibilisierung: Mitarbeiterschulungen sind entscheidend, um das Bewusstsein für die neuen Anforderungen zu schärfen und sicherzustellen, dass alle Mitarbeitenden die Bedeutung der Compliance verstehen. Die Schulung sollte auch die spezifischen Anforderungen des AI Acts abdecken.
4. Technologische Anpassungen: Gegebenenfalls müssen technologische Anpassungen vorgenommen werden, um die Einhaltung der Vorschriften sicherzustellen. Dies kann die Anpassung bestehender Systeme oder die Implementierung neuer Technologien umfassen.

Fazit 

Der EU AI Act stellt eine bedeutende regulatorische Herausforderung dar, bietet jedoch auch die Möglichkeit, das Vertrauen in KI-Systeme zu stärken und Innovationen zu fördern. Für Schweizer Unternehmen ist es entscheidend, sich frühzeitig auf diese neuen Anforderungen vorzubereiten und die notwendigen Anpassungen vorzunehmen, um sowohl den regulatorischen Vorgaben gerecht zu werden als auch Wettbewerbsvorteile zu sichern. Die proaktive Auseinandersetzung mit den neuen Regelungen wird nicht nur die Compliance sicherstellen, sondern auch das Vertrauen der Kunden in die eigenen KI-Systeme stärken.  

In Anbetracht der bevorstehenden Änderungen und der potenziellen Auswirkungen auf die Geschäftstätigkeit ist es ratsam, sich frühzeitig mit den neuen Anforderungen auseinanderzusetzen. Wir bieten gezielte Schulungen und individuelle Beratung an, um gemeinsam die Herausforderungen des AI Acts erfolgreich zu meistern. Dazu arbeiten wir zusammen mit Caroline Gaul von MME Legal , welche viel Expertise zum Thema mitbringt. 

Quellen:

artificialintelligenceact.eu/de/bewertung/eu-ai-act-compliance-checker/  

Verordnung – EU – 2024/1689 – EN – EUR-Lex  

Zeitplan für die Umsetzung | EU-Gesetz über künstliche Intelligenz  

Der EU AI Act und seine Folgen für Schweizer Unternehmen - BDO  

AI-Act: Was Schweizer Unternehmen jetzt tun müssen und was nicht — Wicki Partners AG | Rechtsanwälte Zürich