Am zweiten Februar dieses Jahres war es so weit: Die erste Frist zur Umsetzung der KI-Verordnung der Europäischen Union (AI-Act) lief ab. Seitdem sind einige besonders gefährliche Anwendungen verboten und Unternehmen, die künstliche Intelligenz (KI) einsetzen, müssen nachweisen, dass ihre Mitarbeiter die Technologie ausreichend kennen. Damit ist die EU-Regulierung von KI Praxis geworden. Auch für Compliance-Abteilungen gibt es spätestens jetzt einiges zu tun, um den AI-Act umzusetzen. Denn gut gesteuerte KI-Technologien bieten auf vielen Ebenen Vorteile: Sie mindern Risiken und geben Mitarbeitern, Kunden und anderen Stakeholdern Sicherheit.
Der AI-Act als Aufgabe der Compliance
Ganz allgemein besteht das Ziel der KI-Governance darin, dass KI-Anwendungen sicher und vor allem rechtskonform sind, also Menschen nicht diskriminieren oder ihre Privatsphäre verletzen. Gleichzeitig sollen sie aber Unternehmen oder anderen Anwendern helfen, ihre Ziele zu erreichen. Und das kann nur gelingen, wenn die Systeme im besten Fall schon transparent und verantwortungsvoll entwickelt werden, spätestens aber beim Einsatz diese Kriterien erfüllen. KI-Governance soll also dafür sorgen, dass die Anwendungen mit gesellschaftlichen Werten, rechtlichen Anforderungen und Organisationszielen im Einklang stehen. So formuliert es die niederländische Anwältin und Governance-Expertin Lucia Loyo in einem Artikel für das Netzwerk Women in AI. Dennoch waren vor allem Datenschutzbeauftragte für die sichere Anwendung verantwortlich, als das Thema vor etwa zwei Jahren durch die großen LLMs, allen voran ChatGPT, groß wurde. Doch spätestens seit die EU den AI-Act verabschiedet hat, hat sich das geändert: „Die Zuständigkeiten haben sich verschoben und viele Unternehmen haben verstanden, dass man das Thema KI auch in Sachen Compliance holistisch angehen muss“, sagt Alexandra Ciarnau. Die Rechtsanwältin ist Expertin für die KI-Verordnung und Vorstandsmitglied von Women in AI Austria. „Insbesondere Unternehmen und Branchen, die ohnehin stark reguliert sind und Erfahrung damit haben, etwa Banken oder Versicherungen, schichten die Verantwortung zunehmend in Richtung Compliance und Risikomanagement um“, beobachtet Ciarnau. Bei kleineren Unternehmen oder Start-ups sei das Bewusstsein, dass sie nun einigen Pflichten nachkommen müssen, hingegen noch nicht überall angekommen.
KI-Governance-Agenda für 2025
Wenn noch nicht geschehen, sollten Unternehmen dem strategischen Aufbau einer KI-Governance daher nun Priorität einräumen. „Es geht darum zu klären, wer im Unternehmen wofür zuständig ist und wie man hier die nötigen Kompetenzen aufbaut“, sagt Ciarnau. Sie empfiehlt, eine diverse Taskforce einzurichten, die auflistet, welche KI-gestützten Anwendungen in welchen Abteilungen zu welchem Zweck im Einsatz sind. Außerdem sollte die Taskforce eine unternehmensinterne KI-Governance-Richtlinie erarbeiten, die einen Zeitplan für die langfristige Umsetzung von KI-Compliance enthält. „Wer damit jetzt erst anfängt, ist zwar spät dran, aber besser spät als nie“, sagt Ciarnau.
Der zweite wichtige Punkt, der nun im Rahmen der KI-Compliance angegangen werden muss, ist, alle im Unternehmen genutzten KI-Anwendungen auf verbotene Programme zu überprüfen. Aufgelistet sind diese im Verbotskatalog der Verordnung. Doch manchmal ist es schwer zu erkennen, ob eine KI verbotene Praktiken enthält. „Bei Transkription-KIs, die beispielsweise Meetings aufzeichnen und auswerten, ist teils eine Emotionsanalyse eingebaut, die die Stimmung im Meeting oder Reaktionen einzelner Teilnehmerinnen und Teilnehmer auswertet“, warnt Ciarnau. Im HR-Kontext sei das ein Tabu. Unternehmen müssten also genau prüfen, dass die Programme nicht im Hintergrund mitlaufen und Daten auswerten. Das gilt auch für Zulieferer oder Sub-Unternehmen.
Drittens müssen sich, eigentlich ebenfalls seit Februar, alle Mitarbeiter, die KI benutzen, damit auskennen. Kritiker der Verordnung bemängeln, dass die Vorgaben für die erforderlichen Kompetenzen zu ungenau sind. Tatsächlich ist das Ganze noch recht schwammig: „Was genau als ausreichende Kompetenz gilt, hängt immer von der genutzten KI und dem Zweck der Anwendung ab“, sagt Ciarnau. Für Anwendungen, die von der Unternehmenskommunikation eingesetzt werden, um etwa Pressemeldungen zu verfassen, sind nur geringe Kenntnisse nötig. Anders sieht es in der HR aus, die damit beispielsweise Bewerbungen auswertet oder Leistungsevaluierungen erstellt. Vieles dürfte sich aber erst in den kommenden drei bis vier Jahren mit der Rechtspraxis klären. Das kennen Compliance-Verantwortliche ja bereits von der Umsetzung der DSGVO vor einigen Jahren. Trotzdem müssen Unternehmen ihre Belegschaft unbedingt heute schon in Schulungen weiterbilden und dies auch nachweisen.
Bislang sind viele allerdings noch nicht so weit: Laut einer Bitkom-Befragung von November 2024 haben nur fünf Prozent der befragten Unternehmen alle Mitarbeiter im Umgang mit KI-Tools geschult. Beinahe die Hälfte gab an, gar keine Weiterbildungen zu KI anzubieten. Doch es gibt auch Unternehmen, die vorangehen: Einige hätten beispielsweise Compliance Manager eingestellt oder Personen weitergebildet, erzählt Ciarnau. Oft seien das Angestellte aus Rechtsabteilungen. „Diese kennen sich mit den Vorgaben aus und werden dann projektübergreifend eingesetzt. Das ist keine Pflicht, aber sehr sinnvoll“, sagt Ciarnau.
Ethische Aspekte der AI-Governance
Die EU hat gemeinsame wirtschaftliche Ziele und auch gemeinsame Werte wie Freiheit, Gleichstellung und Rechtsstaatlichkeit. „Diese Grundwerte liegen auch dem AI-Act zugrunde“, sagt Cornelia Diethelm, Gründerin des Schweizer Thinktanks Centre for Digital Responsibility. „Die Verordnung soll dafür sorgen, dass Anwendungen, die gegen diese Werte verstoßen, in der EU nicht auf den Markt gelangen beziehungsweise das Risiko minimieren, dass durch KI diese Werte verletzt werden.“ Das fange schon bei den Transparenzpflichten an: „Denn in einer Demokratie gilt, dass ich einer Sache nur zustimmen oder sie ablehnen kann, wenn ich von ihr weiß“, sagt Diethelm. Es gebe in der EU den Konsens, dass technisch zwar vieles geht, aber nicht alles, was möglich ist, auch gewollt ist. Daher käme der KI-Compliance nun und künftig – wenn die Technologie vermutlich in immer mehr Lebensbereichen Einzug hält – eine so wichtige Rolle zu.
„Eine ethisch verantwortungsvolle KI-Compliance kann ein Unternehmen aber nur mit einer klaren Strategie und Leitlinien aufbauen, die definieren, welche Werte zugrunde liegen.“ Diese gemeinsam aufzustellen, sei immer der erste Schritt. Die Motivation von Unternehmen, verantwortungsvoll mit der neuen Technologie umzugehen, ist laut Diethelm aber da. Sie unterstützt Unternehmen unter anderem mit einer Umfeldanalyse dabei, einen Überblick über aktuelle Entwicklungen und Vorgaben zu behalten, und merkt allein an der Nachfrage, dass bei diesem sensiblen Thema niemand Fehler machen will. Sogar in der Schweiz, wo Unternehmen der EU-Gesetzgebung nicht unterstehen, würden viele freiwillig Vorgaben des AI-Acts umsetzen.
Verantwortungsvolle KI als europäisches Alleinstellungsmerkmal
Patrick Gilroy überrascht das nicht. Er ist beim unabhängigen TÜV-Verband, der Interessenvertretung der Technischen Überwachungsvereine, unter anderem für das Thema Umsetzung des AI-Acts zuständig. Auch er beobachtet eine große Nachfrage nach einem korrekten Umgang mit KI. „Viele Menschen sind trotz des Hypes skeptisch“, sagt er. Unternehmen seien sich den gesellschaftlichen Vorbehalten gegenüber der Technologien bewusst. Der Experte rät ihnen daher, möglichst transparent mit der Anwendung von KI umzugehen, auch wenn dies gemäß dem AI-Act gar nicht vorgeschrieben ist. Etwa wenn sie nur Anwendungen der niedrigsten Risikoklasse nutzen. Und gerade jetzt, wo US-Präsident Trump die Regulierung komplett streichen will, chinesische KI-Modelle mit teils undurchsichtigen Trainingsdaten auf den Markt kommen und die US-Tech-Branche ethische Standards abschafft, könnte der Wunsch vieler Menschen nach verlässlichen Regeln größer werden. So hat Google beispielsweise Anfang Februar das Versprechen zurückgenommen, keine KI für Waffen zu entwickeln. Weil es aktuell also scheint, als ob in vielen Teilen der Welt bald immer weniger Prinzipien der Rechtsstaatlichkeit gelten könnten, kann der AI-Act für Europa ein Vorteil sein. Künftig könnten etwa immer mehr Stakeholder verlangen, dass KI nur zum Einsatz kommt, wenn gewisse Standards – etwa dass die Daten nicht auf Servern in den USA landen oder dass unethische Praktiken ausgeschlossen sind – eingehalten werden. Damit hätte die Verordnung entgegen vieler kritischer Stimmen, die die Regeln als Bremse für Innovation sehen, gerade aufgrund dieser Regeln einen positiven Effekt. „Denn die Technologie kann in einem Rechtsraum wie der EU nur dann wirklich überall ankommen, wenn sie als akzeptiert gilt“, sagt auch Gilroy. Und der AI-Act könnte diese Akzeptanz schaffen. Der Experte betont daher, dass Unternehmen, die Qualitätsanforderungen von Beginn an mitdenken, ethische KI zum europäischen Alleinstellungsmerkmal machen könnten. „Noch kann es First-Mover-Vorteile für alle geben, die sich um das Einhalten ethischer Standards kümmern und auf unabhängige Zertifizierungen setzen“, sagt Gilroy. Compliance-Abteilungen, die bereits daran arbeiten, haben das verstanden.
Der AI-Act
- Was ist der AI-Act?
Der AI-Act ist eine Verordnung der EU, die KI-Systeme, die in Europa auf den Markt kommen, reguliert. Sie ist bereits seit dem 02. August 2024 in Kraft und wird seitdem – wie für eine EU-Verordnung üblich – als direkter Rechtsakt in allen Mitgliedsstaaten umgesetzt. Ziel ist es, einen EU-weit harmonisierten Rechtsrahmen für die Anwendung von KI-Systemen zu schaffen und deren Risiken für Menschen und Unternehmen zu minimieren.
- Warum ein risikobasierter Ansatz?
Eine dynamische Technologie, wie KI, zu regulieren, ohne dabei Fortschritt auszubremsen, ist nicht ganz einfach. Daher verbietet die EU diese nicht als Ganzes, sondern macht Verbote und Einschränkungen davon abhängig, wie die Technologie genutzt wird. Die KI-Systeme werden also je nach ihrem Zweck in vier Risikostufen eingeordnet: von inakzeptabel bis minimal riskant. Reguliert sind überhaupt nur Systeme, die einer der drei oberen Risikostufen zuzuordnen sind.
- Was sind die vier Risikoklassen?
Die vier Klassen sind: minimales Risiko, begrenztes Risiko, hohes Risiko und inakzeptables Risiko. Die EU stellt sie meist in einem Dreieck dar.
- Inakzeptables Risiko: Die Spitze bilden die Anwendungen der höchsten Risikoklasse. Sie gelten als Bedrohung für die Grundrechte und sind im EU-Raum seit Februar komplett verboten – etwa das sogenannte Social Scoring, wie es Berichten zufolge in einigen Regionen Chinas Praxis ist. Kritik gibt es an Ausnahmen, etwa daran, dass die Live-Gesichtserkennung durch die Polizei in Ausnahmefällen weiter möglich ist.
- Hohes Risiko: Die sogenannten Hochrisiko-Systeme sind grundsätzlich erlaubt, unterliegen aber strengen Auflagen. Für die meisten, etwa KI in kritischer Infrastruktur oder Bildung, gelten die Regeln aber erst ab August 2026. Das ist ein Zugeständnis an die Industrie, denn es ist komplex, die Auflagen für Hochrisiko-Systeme umzusetzen: Die Anbieter müssen etwa Risikobewertungen, technische Dokumentationen und Qualitätsmanagementsysteme einführen.
- Begrenztes Risiko: Für diese Anwendungen, etwa Large Language Models (LLMs) wie ChatGPT und Perplexity AI, sind die Auflagen hingegen geringer. Hier müssen die Unternehmen hauptsächlich Transparenzpflichten erfüllen, so beispielsweise Texte, die allein von LLMs geschrieben sind, als solche kennzeichnen.
- Minimales / kein Risiko: Für die letzte Risikostufe gelten keinerlei Auflagen. Das sind beispielsweise KI-gestützte Spamfilter. In diese Risikoklasse fallen die allermeisten Anwendungen. Deswegen hat der AI-Act vorerst auch für weniger Unternehmen unmittelbare Wirkungen als oft angenommen.
Dieser Beitrag erschien zuerst in der gedruckten Ausgabe Künstliche Intelligenz & Legal Tech. Das Heft können Sie hier bestellen.
