KI-upskilling +++ KI- Strategie +++ ICE/ISO 42001 +++ KI-Governance +++ EU AI Act +++

Compliance-Checkliste

Nach Inkrafttreten des EU AI Act am 1. August 2024 sind Unternehmen im Europäischen Wirtschaftsraum (EWR) verpflichtet, spezifische Maßnahmen zu ergreifen, die sich je nach Risikoklasse ihrer KI-Anwendungen unterscheiden. Der zeitliche Rahmen für die Umsetzung variiert, und die Anforderungen umfassen verschiedene Compliance-, Sicherheits- und Transparenzpflichten. Hier ist eine detaillierte Übersicht:

1. Unannehmbares Risiko – Verbotene KI-Praktiken

- Pflicht: Unternehmen müssen sicherstellen, dass sie keine KI-Systeme verwenden, die in die Kategorie „unannehmbares Risiko“ fallen. Solche Systeme sind per Gesetz sofort verboten und dürfen weder entwickelt, eingeführt, vermarktet noch verwendet werden.

- Beispiele für Maßnahmen:

- Interne Überprüfung und Audit: Unternehmen sollten umgehend eine interne Prüfung ihrer bestehenden und geplanten KI-Systeme durchführen, um festzustellen, ob eine Anwendung in diese Kategorie fällt. Dazu zählt die Überprüfung auf potenziell manipulative Techniken, Social Scoring oder emotionserkennende Systeme im öffentlichen Raum.

- Abschaltung und Anpassung: Systeme, die als unannehmbar eingestuft werden, müssen sofort stillgelegt werden. Unternehmen sollten zudem Technologien, die diesen Anwendungen ähneln, auf notwendige Anpassungen oder Alternativen prüfen.

- Zeitrahmen: Da das Gesetz diese Systeme vollständig verbietet, müssen die Abschaltung und die interne Überprüfung ab Inkrafttreten des Gesetzes sofort umgesetzt werden.

2. Hohes Risiko – Hochrisiko-KI-Systeme mit umfassenden Compliance-Anforderungen

Unternehmen, die Hochrisiko-KI-Systeme entwickeln oder einsetzen, müssen verschiedene Maßnahmen ergreifen, um Sicherheits- und Compliance-Anforderungen zu erfüllen. Die Umsetzung erfordert mehrstufige Prozesse und Dokumentationen.

- Pflichtmaßnahmen:

- Risikobewertung und Konformitätserklärung: Unternehmen müssen eine umfassende Risikobewertung des Systems durchführen und eine Konformitätserklärung erstellen. Dies ist die Grundlage für den Nachweis, dass das System den gesetzlichen Anforderungen entspricht.

- Technische Dokumentation und Datensicherheit: Detaillierte technische Dokumentation ist erforderlich, um die Funktionsweise, Sicherheitsvorkehrungen und Risikominimierungsstrategien des Systems zu dokumentieren. Dazu gehört die Einhaltung hoher Standards in Bezug auf Datensicherheit und Schutz personenbezogener Daten.

- Regelmäßige Audits und Überwachung: Unternehmen müssen das System kontinuierlich überwachen und regelmäßige Audits durchführen, um sicherzustellen, dass es weiterhin den Vorschriften entspricht. Sicherheitsprotokolle und Funktionsprüfungen sind durchzuführen.

- Transparenz- und Aufklärungspflichten: Informationen über die Funktionsweise und Risiken der KI-Anwendung müssen für die Nutzer nachvollziehbar bereitgestellt werden.

- Meldung von Zwischenfällen: Bei potenziellen Sicherheitsproblemen oder Zwischenfällen, die den Betrieb oder die Sicherheit des KI-Systems beeinträchtigen könnten, muss innerhalb von 15 Tagen eine Meldung an die zuständige Aufsichtsbehörde erfolgen.

- Zeitrahmen:

- Die Konformitätserklärung, technische Dokumentation und Risikobewertung müssen vor Inverkehrbringung eines neuen Hochrisiko-KI-Systems abgeschlossen sein.

- Kontinuierliche Überwachung und regelmäßige Audits sind fortlaufend nach der Einführung erforderlich.

- Bei bestehenden Systemen sollten Unternehmen spätestens bis 2025 vollständige Konformität und die erforderlichen Dokumentationen abgeschlossen haben.

3. Begrenztes Risiko – Transparenzanforderungen für Interaktion mit Menschen

Unternehmen, die begrenzt risikobehaftete KI-Systeme betreiben, müssen Transparenzmaßnahmen einhalten, um sicherzustellen, dass Menschen wissen, wenn sie mit einer KI interagieren.

- Pflichtmaßnahmen:

- Hinweis auf KI-Interaktion: Bei Anwendungen wie Chatbots oder virtuellen Assistenten muss klar und unmissverständlich darauf hingewiesen werden, dass es sich um eine KI handelt. Ein gut sichtbarer Hinweis (z. B. „KI-gesteuerter Chat“) ist erforderlich.

- Erklärungen zur Funktionsweise: Unternehmen sollten eine kurze Erklärung zur Funktionsweise und möglichen Auswirkungen der KI-Interaktionen bereitstellen, insbesondere bei der Verarbeitung persönlicher oder sensibler Daten.

- Zeitrahmen:

- Unternehmen müssen diese Transparenzhinweise ab sofort bei neuen Anwendungen einführen. Bei bestehenden Anwendungen ist eine Übergangsfrist bis spätestens Mitte 2025 vorgesehen, bis zu der alle Systeme entsprechend angepasst sein müssen.

### 4. Minimales Risiko – Freiwillige Richtlinien und Best-Practice-Empfehlungen

Für Systeme mit minimalem Risiko bestehen keine verpflichtenden Auflagen. Unternehmen werden jedoch ermutigt, freiwillige Maßnahmen zu ergreifen, um Transparenz und das Vertrauen der Nutzer zu fördern.

- Optionale Maßnahmen:

- Freiwillige Kennzeichnung: Unternehmen können freiwillig Hinweise bereitstellen, dass bestimmte Anwendungen KI-basiert sind. Besonders empfehlenswert ist dies bei Anwendungen, die in sensiblen Bereichen wie Gesundheitsdiensten oder Finanzberatung zum Einsatz kommen.

- Ethische Standards und Verhaltenskodizes: Entwicklung und Anwendung eines eigenen Verhaltenskodex für den Einsatz von KI-Systemen, die keine besondere Regulierungsanforderung erfüllen müssen.

- Zeitrahmen:

- Es besteht kein rechtlicher Druck zur sofortigen Umsetzung. Unternehmen können freiwillige Maßnahmen jedoch jederzeit einführen, um sich von Wettbewerbern abzuheben und Transparenz in der Anwendung zu fördern.

---

Zusammenfassung und zeitlicher Ablauf

1. Unannehmbares Risiko: Sofortige Abschaltung und Überprüfung der KI-Anwendungen.

2. Hohes Risiko: Gründliche Vorbereitungen und vollständige Dokumentation bis zur Einführung neuer Systeme; bestehende Systeme müssen bis spätestens 2025 vollständig konform sein.

3. Begrenztes Risiko: Transparenzmaßnahmen bei neuen Anwendungen sofort; bestehende Anwendungen bis Mitte 2025 anpassen.

4. Minimales Risiko: Keine verpflichtenden Fristen; freiwillige Maßnahmen können jederzeit umgesetzt werden.

Die Unternehmen stehen damit vor der Herausforderung, insbesondere bei Hochrisiko-Anwendungen rechtzeitig alle Auflagen zu erfüllen und die notwendigen personellen, technischen und organisatorischen Maßnahmen zu etablieren. Unternehmen, die diese Pflichten proaktiv angehen, profitieren langfristig durch erhöhtes Vertrauen und mehr Sicherheit im Umgang mit KI.