Quo Vadis KI: Was der AI Act für Unternehmen bedeutet

In den vergangenen zwei Jahren hat Künstliche Intelligenz (KI) enorme Fortschritte gemacht und mannigfaltige Chancen und Möglichkeiten eröffnet. Damit einher gehen jedoch auch Risiken. Die EU hat daher den AI Act eingeführt, um mögliche Gefahren und Missbräuche zu minimieren – mit aktuellstem Stand vom 14.06.2023. Dieser soll den ethischen und rechtskonformen Einsatz von KI und Datenmodellen in Forschung und Wirtschaft regeln und gilt für KI-Systemanbieter:innen sowie KI-einsetzende Unternehmen. Er folgt dem Marktortprinzip der DSGVO, wodurch er für alle KI-Anwendungen im EU-Gebiet gilt, unabhängig vom Firmensitz der Anbieter:innen oder des einsetzenden Unternehmens.

Ein weitaus spannenderer Punkt des Gesetzes ist, dass es KI-Systeme und Anwendungen nach Risikogruppen klassifiziert und daran Bedingungen für den Betrieb knüpft: Je höher das klassifizierte Risiko, desto strenger die Regulierungen. In extremen Fällen können Systeme sogar verboten sein, wenn sie beispielsweise Menschen manipulieren oder negative soziale Bewertungen ermöglichen. Aber auch Vorgaben wie die Einrichtung eines Risiko-Management-Systems, transparente Daten-Governance-Prozesse sowie eine technische Dokumentation oder eine verbindliche menschliche Aufsicht sind für einige Kategorien vorgesehen.

Was das konkret für Unternehmen bedeutet, ist noch nicht vollkommen absehbar.

Im Folgenden finden Lesende eine Einschätzung dazu. Zudem erhalten Entscheidende in Unternehmen einige Tipps und Handlungsanweisungen, wie sie sich auf die KI-Zukunft vorbereiten können.

Auswirkungen des EU AI Acts: Höhere Kosten für Unternehmen

Der AI Act wird sich vor allem erheblich auf Unternehmen auswirken, die bereits KI-Technologien einsetzen – unabhängig davon, ob sie selbst Systementwickler:innen sind oder KI-Tools ‚nur’ in ihren Produkten oder Prozessen zum Einsatz bringen. Die Einhaltung der EU-Regulierungen bedeutet einen deutlich höheren Ressourceneinsatz – sowohl in Bezug auf das Budget als auch auf den Personaleinsatz.

Dies liegt vor allem daran, dass gerade die ‚First Mover’, die sich früh in einen bisher quasi unregulierten Markt wagten, nun sämtliche neuen Anforderungen des Regelwerks in bereits aufgesetzte Infrastrukturen und Prozesse integrieren müssen – und das im laufenden Betrieb. Diese Anpassungen sind vielfältig und reichen von der Einrichtung effektiver Risiko-Management-Systeme bis hin zur Umsetzung von Prozessen, die Transparenz- und Informationspflichten für KI-Systeme erfüllen – je nach Risikostufe der jeweiligen Anwendung.

Zudem entstehen neben diesen strukturellen noch weitere Kosten für Unternehmen. So sind sie ebenfalls dazu verpflichtet, ihre KI-Systeme im Hinblick auf die Risikokategorien selbst zu  bewerten und zu dokumentieren – und diese gegebenenfalls an die zuständigen Behörden zu melden.

Und wenn das alles noch nicht genug wäre, drohen bei akuten Verstößen gegen die Richtlinien des AI Acts empfindliche Strafen und Sanktionen. Diese können bis zu 200 Millionen Euro betragen oder bis zu vier Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres ausmachen. Zudem können die Behörden bei falschen, unvollständigen oder irreführenden Angaben im Rahmen der Selbstklassifizierung Strafen von bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen.

Es ist also ratsam, ganz genau zu prüfen, ob alle strukturellen und regulatorischen Bedingungen erfüllt sind.

Wie können sich Unternehmen wappnen 

Um sich auf die Umsetzung des AI Acts (voraussichtlich bis spätestens 2026) effektiv vorzubereiten, sollten Entscheidende in Unternehmen unverzüglich ihre vorhandenen KI-Systeme überprüfen, um festzustellen, ob diese unter eine der Risikokategorien fallen. Dies ist insbesondere für Hochrisiko-KI-Systeme wichtig, da sie zusätzliche Verpflichtungen erfüllen müssen – beispielsweise die Einführung von Risiko-Management- und Daten-Governance-Maßnahmen oder die Überwachung der Modelle auf die Einhaltung von Fairness. Da diese Herausforderung hochkomplex ist, gilt es, frühzeitig einen Regelkreislauf für KI-basierte Risiken zu etablieren.

Eine der wichtigsten Maßnahmen, die KI-entwickelnde oder KI-einsetzende Unternehmen unbedingt auf dem Schirm haben sollten: einen Code of Conduct für den Umgang mit KI erstellen und implementieren. Eine angemessene KI-Governance dient als Grundlage für einen strukturierten Umgang mit KI vom Entwicklungsprozess bis hin zum Betrieb sowie für die Akzeptanz in der Öffentlichkeit.

Grundsätzlich sollten Unternehmen so früh wie möglich handeln, um potenzielle Risiken zu minimieren und die erforderlichen Regularien umzusetzen. Diese Vorbereitungen sind entscheidend, um das Vertrauen der Nutzenden zu wahren und vom vollen Potenzial der Künstlichen Intelligenz profitieren zu können. Dazu zählt auch ein wachsames Auge auf die Entwicklung des Gesetzgebungsprozesses zu haben. Gerade bei KI-Technologien mit ihren aktuell sehr kurzen Entwicklungszyklen gilt es genau zu beobachten, wo die Reise hin geht und so früh wie möglich Maßnahmen zu ergreifen, um sich zukunftssicher aufzustellen. Die EU ist nämlich bestrebt, mit ihren regulatorischen Maßnahmen international eine Führungsrolle zu übernehmen. Es ist also zu erwarten, dass sich in den kommenden Jahren noch viel tun wird. Also: wachsam bleiben!

Lohnt es sich, noch in KI einzusteigen?

Trotz potenziell höherer Kosten und Ressourcen-Aufwendungen, die sich aus dem AI Act ergeben, sollten sich Unternehmen nicht davon abhalten lassen, in KI-Technologien zu investieren, um Prozesse zu optimieren oder Produkte wertvoller für Kund:innen zu machen.

Für eine (kosten-)effiziente Implementierung von KI ist jedoch eine sorgfältige Planung unerlässlich, die durch den AI Act noch dringlicher wird. Daher empfehlen wir allen Verantwortlichen, die intelligente Datenmodelle für sich nutzen wollen, nach folgenden sieben Schritten vorzugehen:

Diese Schritte garantieren nicht nur, dass alle KI-Aktivitäten rechtskonform geplant und durchgeführt werden. Vielmehr helfen sie Entscheidenden auch dabei, bereits im Vorfeld genau zu definieren, welche Anwendungen wirklich für das Unternehmen einen Wert generieren und sich Investitionen schnell amortisieren.

Schlussbetrachtung und persönliche Einschätzung

Zum Abschluss noch eine persönliche Einschätzung zum aktuellen Stand des AI Acts: So sinnvoll es ist, eine vergleichsweise neue Technologie wie KI regulieren zu wollen, ist zu befürchten, dass die EU zu viel des Guten will. Zugegeben: KI birgt viele Risiken. Dennoch sollten Gesetzgeber:innen darauf achten, die Entwicklung innovativer Algorithmen und Datenmodelle nicht vorschnell zu überregulieren und uns damit der vielen Chancen zu berauben, die sie uns in wirtschaftlicher, sozialer und gesellschaftlicher Hinsicht bieten können. Selbst Expert:innen sind heute noch nicht in der Lage sicher einzuschätzen, wie sich die hochkomplexen Systeme hinter der KI weiterentwickeln werden. Es bleibt zu hoffen, dass der durchaus richtige Gedanke der Regulierung nicht in übertriebenen Aktionismus ausartet.

Abgesehen davon noch ein Appell an alle Unternehmensentscheidungen, die in KI einsteigen wollen: Wagt den Sprung! Aber mit Bedacht und genauer Planung. Denn die Regulierung kann auch ein Vorteil sein, zwingt sie doch dazu, noch konzentrierter und gezielter vorzugehen als bisher. Künftig werden nur die innovativsten und auf die Bedürfnisse der Anwendenden orientierten Applikationen zum Erfolg führen. Nutzt also die Chance und sichert euch einen Vorsprung.