← Alle Artikel anzeigen

  • August 8, 2025

EU AI Act Phase 2: Warum der August 2025 dringende Maßnahmen zur Einhaltung der Vorschriften erfordert

Da die grundlegenden Governance-Anforderungen für Allzweck-KI am 2. August 2025 in Kraft treten, müssen Unternehmen jetzt handeln, um hohe Geldstrafen, Reputationsschäden und rechtliche Risiken zu vermeiden.

Das Gesetz über künstliche Intelligenz (KI-Gesetz) der Europäischen Union, das weltweit einen Meilenstein in der Gesetzgebung darstellt, wird schrittweise eingeführt. Diese strategische Einführung gibt Unternehmen Zeit, sich an die umfassenden Anforderungen für Systeme der künstlichen Intelligenz (KI) anzupassen. Ein entscheidender Meilenstein nähert sich am August 2, 2025wenn eine bedeutende neue Welle von Verpflichtungen in Kraft treten wird. Diese Bestimmungen zielen speziell auf Allzweck-KI-Systeme (GPAI) die als "hochriskant" eingestuft werden.

AI-Systeme mit hohem Risiko sind solche, die als Sicherheitskomponenten von Produkten eingesetzt werden sollen oder die in bestimmte Bereiche fallen, wie z. B:

  • Kritische Infrastrukturen (z. B. in den Bereichen Energie, Wasser, Verkehr)
  • Allgemeine und berufliche Bildung (z. B. Beeinflussung des Zugangs zu Bildung oder beruflichen Möglichkeiten)
  • Beschäftigung, Arbeitnehmermanagement und Zugang zur Selbstständigkeit (z. B. für Einstellung, Beförderung, Aufgabenzuweisung)
  • Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen und Leistungen (z. B. Kreditwürdigkeitsprüfung, Abfertigung von Notdiensten)
  • Strafverfolgung, Migration, Asyl und Grenzkontrollmanagement
  • Rechtspflege und demokratische Prozesse

Diese Kategorie umfasst in der Regel KI-Tools, die in wichtigen Funktionen eingesetzt werden, z. B. Überwachung der Einhaltung von Vorschriften, Einstellungsprozesse, Kreditwürdigkeitsprüfung und fortschrittliche Analyseverfahren die sich auf Einzelpersonen auswirken. Parallel zu den verbindlichen Bestimmungen des AI-Gesetzes hat die EU auch eine freiwilliger Verhaltenskodex zu AI. Dieser Kodex ist zwar nicht rechtsverbindlich, bietet aber wertvolle, auf ethischen Grundsätzen beruhende Orientierungshilfen und fördert die Entwicklung und den Einsatz vertrauenswürdiger KI-Systeme, die mit den umfassenderen Compliance-Zielen des Gesetzes in Einklang stehen. Er dient als starke Empfehlung für bewährte Praktiken und hilft Organisationen, sich auf künftige Verpflichtungen vorzubereiten und ihren guten Glauben zu beweisen.

 
Warum dies von entscheidender Bedeutung ist: Der Anstoß für die Verordnungen

Das KI-Gesetz der EU stellt einen bahnbrechenden Versuch dar, einen Rechtsrahmen für KI zu schaffen, der sich mit den inhärenten Risiken befasst und sicherstellt, dass die Entwicklung und der Einsatz von KI menschenzentriert, ethisch und sicher sind. Die Konzentration auf "risikoreiche" KI-Systeme ergibt sich aus dem Potenzial dieser Technologien, die Grundrechte, die Sicherheit und das gesellschaftliche Wohlergehen erheblich zu beeinträchtigen.

Die Frist im August 2025 ist besonders kritisch, weil sie vorschreibt, dass KI-Tools, die an der Herstellung von Empfehlungen, Einstufungen oder Entscheidungen in Bezug auf Personen müssen nun eine Reihe von strengen Vorschriften einhalten. Das zentrale "Warum" hinter diesen strengen Anforderungen ist Folgendes:

  • Schutz der Grundrechte: Schutz der Menschenwürde, Nichtdiskriminierung, Privatsphäre und anderer Grundrechte, die durch unkontrollierte KI-Systeme untergraben werden könnten.
  • Sorgen Sie für Sicherheit und Vertrauen: Verhindern, dass KI-Systeme Schaden anrichten, und sicherstellen, dass sie robust, genau und sicher sind, um so das Vertrauen der Öffentlichkeit in die KI-Technologie zu stärken.
  • Förderung verantwortungsvoller Innovation: Förderung der Entwicklung von KI zum Nutzen der Gesellschaft bei gleichzeitiger Abmilderung möglicher negativer Folgen.
  • Legen Sie eine klare Verantwortlichkeit fest: Festlegung klarer Zuständigkeiten für Entwickler, Anwender und Nutzer von KI-Systemen, um die Rechenschaftspflicht im Falle von Verstößen oder Schäden zu gewährleisten.

Das Gesetz schreibt ausdrücklich mehrere Schlüsselbereiche für KI-Systeme mit hohem Risiko vor:

  • Dokumentierte Risikobewertungen: Ein systematischer Prozess zur Identifizierung, Analyse und Bewertung der mit dem KI-System verbundenen Risiken während seines gesamten Lebenszyklus.
  • Human Oversight: Mechanismen, die sicherstellen, dass der Mensch den Betrieb von KI-Systemen wirksam überwachen und in ihn eingreifen kann, um zu verhindern, dass autonome Entscheidungen zu negativen Ergebnissen führen.
  • Transparenzmaßnahmen: Anforderungen an klare und verständliche Informationen über die Fähigkeiten, Grenzen und Entscheidungsprozesse des KI-Systems, insbesondere für betroffene Personen.
  • Technische Sicherheitsprüfung: Strenge Test- und Validierungsverfahren, um sicherzustellen, dass das System wie vorgesehen funktioniert, robust gegen Fehler ist und die Sicherheitsstandards einhält.

Die Uhr tickt unmissverständlich. Die Nichteinhaltung dieser neuen Verpflichtungen hat erhebliche Konsequenzen, unter anderem:

  • Erhebliche Geldbußen: Die Strafen können bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes einer Organisationje nachdem, welcher Wert höher ist, für schwere Verstöße.
  • Schädigung des Rufs: Die Nichteinhaltung von Vorschriften kann das Vertrauen der Öffentlichkeit erheblich schwächen, dem Markenimage schaden und zu einem Verlust von Wettbewerbsvorteilen führen.
  • Rechtliche Herausforderungen: Erhöhtes Risiko von Klagen von Einzelpersonen oder Gruppen, die durch nicht konforme KI-Systeme geschädigt werden.
 
Was für die Einhaltung der Vorschriften erforderlich ist: Umsetzbare Schritte

Um sich auf den Termin im August 2025 und darüber hinaus vorzubereiten, müssen Organisationen einen systematischen und proaktiven Ansatz verfolgen:

  1. Inventarisieren und kategorisieren Sie AI-Systeme:
    • Führen Sie ein umfassendes Audit aller KI-Systeme durch, die derzeit in Ihrem Unternehmen eingesetzt oder entwickelt werden.
    • Entscheidend ist, zu ermitteln, welche dieser Systeme in die "Hochrisikokategorie" gemäß Artikel 6 des AI-Gesetzes und Anhang III fallen. Dies erfordert oft juristisches und technisches Fachwissen, um die spezifischen Anwendungsfälle zu interpretieren.
  2. Strukturierte AI-Risikobewertungen und Tests durchführen:
    • Für ermittelte Hochrisikosysteme ist ein robustes Risikomanagementsystem einzuführen. Dies beinhaltet:
      • Management von Vorurteilen: Proaktive Identifizierung und Abschwächung von Verzerrungen in Daten, Algorithmen und Entscheidungsprozessen, um Fairness zu gewährleisten und Diskriminierung zu verhindern.
      • Robustheit: Sicherstellen, dass das KI-System gegenüber Fehlern, Störungen und Angriffen von außen widerstandsfähig ist und unter verschiedenen Bedingungen zuverlässig funktioniert.
      • Genauigkeit: Überprüfen Sie die Genauigkeit des Systems bei der Erfüllung der vorgesehenen Aufgaben.
      • Erklärbarkeit: Entwicklung von Mechanismen zur Bereitstellung klarer und verständlicher Erklärungen für die Ergebnisse und Entscheidungen des KI-Systems, insbesondere für die betroffenen Personen.
  3. Definieren Sie die Rollen der menschlichen Aufsicht und die Transparenzverpflichtungen:
    • Festlegung klarer Protokolle für die menschliche Aufsicht, einschließlich der Definition von Rollen, Verantwortlichkeiten und Eingriffsmöglichkeiten für Personen, die KI-Systeme mit hohem Risiko überwachen.
    • Entwicklung und Umsetzung von Strategien zur Gewährleistung der Transparenz. Dazu gehört eine klare Kommunikation mit Nutzern und Betroffenen über die Funktionsweise des KI-Systems, seinen Zweck und seine Grenzen.
  4. Anwendung bewährter Praktiken aus dem EU-Verhaltenskodex:
    • Die Übernahme von Grundsätzen aus dem EU-Verhaltenskodex für künstliche Intelligenz ist zwar freiwillig, wird aber dringend empfohlen. Dazu gehören:
      • Datenverwaltung: Einführung strenger Datenqualitätsstandards, um sicherzustellen, dass die für das KI-Training verwendeten Daten repräsentativ, genau und frei von schädlichen Verzerrungen sind.
      • Überwachung nach der Entsendung: Einrichtung kontinuierlicher Überwachungsmechanismen, um die Leistung von KI-Systemen nach ihrer Einführung zu verfolgen und entstehende Risiken oder unbeabsichtigte Folgen zu ermitteln und zu beseitigen.
  5. Alles dokumentieren: Führen Sie ein umfassendes "AI Compliance Dossier":
    • Gründliche Dokumentation ist das A und O. Erstellen und pflegen Sie ein zentrales "AI Compliance Dossier" für jedes AI-System mit hohem Risiko. Dieses Dossier sollte Folgendes enthalten:
      • Detaillierte Risikoprotokolle und Strategien zur Risikominderung.
      • Interne Richtlinien und Verfahren im Zusammenhang mit der Entwicklung und dem Einsatz von KI.
      • Aufzeichnungen über menschliche Aufsichtstätigkeiten und Interventionen.
      • Umfassende Testergebnisse, einschließlich Bias-Audits und Leistungsbewertungen.
      • Transparenzerklärungen und Informationen für die Nutzer.
      • Alle relevanten Zertifizierungen oder Konformitätsbewertungen.

Durch diese proaktiven und umfassenden Schritte können Unternehmen nicht nur die Einhaltung des sich entwickelnden EU-KI-Gesetzes sicherstellen, sondern auch vertrauenswürdigere, ethischere und verantwortungsvollere KI-Systeme aufbauen, von denen sowohl ihr Unternehmen als auch die Gesellschaft profitieren.

  • Wir können Ihnen helfen, FADP-konform zu werden!

Fachkundige Beratung, erschwingliche Lösungen und ein nahtloser Weg zur Einhaltung der Vorschriften

Nehmen Sie Kontakt auf

Was meinen Sie dazu?

Verwandte Einblicke

  • Verwandte Artikel
Zusammenfassung der Veranstaltung: Menschliche Expertise trifft auf maschinelle Skalierung bei "Scaling AI in Banking"
ComplianceRT nahm zusammen mit über 200 Branchenführern an der Veranstaltung "Scaling AI in Banking" teil, die gemeinsam von
ComplianceRT treibt strategische Partnerschaften auf der Tech4Trust Roadshow in Zürich voran
ComplianceRT präsentiert AI-gesteuerte Compliance-Lösungen im Fongit Café+Croissant
Letzte Woche war ComplianceRT stolz darauf, an der Fongit Café+Croissant Networking-Veranstaltung teilzunehmen, die am