KI-Verordnung: Überblick über die Risikokategorien & erste Maßnahmen!
Im Folgenden erfahren Sie mehr darüber, wie der EU AI Act Risiken klassifiziert und wie sich Organisationen am besten auf die KI-Regulierung vorbereiten können, um parallel KI-Governance-Strukturen zu schaffen. Zusätzlich zu diesen Informationen finden Sie ein spezielles AI Act Angebot und eine Checkliste zum Herunterladen.
Der weltweit erste Rechtsrahmen für vertrauenswürdige KI
Was ist die EU-KI- Verordnung?
Der EU AI Act schafft einen regulatorischen Rahmen für rechtmäßige, ethische und robuste KI. Als erster seiner Art weltweit zielt er darauf ab, vertrauenswürdige KI-Anwendungen innerhalb der EU zu fördern und potenzielle technologische Risiken zu minimieren. Die daraus resultierenden Anforderungen stellen jedoch neue Herausforderungen für Unternehmen dar, die versuchen, Compliance sicherzustellen und wettbewerbsfähig zu bleiben. Gleichzeitig bietet der AI Act sowohl Chancen als auch Herausforderungen bei der Gestaltung und Nutzung von KI-Systemen. Weitere Informationen finden Sie in der Q&A.
Der AI-Act basiert auf einem risikobasierten Ansatz.
Das Herzstück des EU-KI-Gesetzes ist der risikobasierte Ansatz. Dieser stellt sicher, dass Anwendungen mit höherem Risiko, etwa solche, die sich auf kritische Infrastrukturen oder Grundrechte auswirken, strengeren Kontrollen und Compliance-Anforderungen unterliegen, was das Vertrauen in KI-Technologien und deren Sicherheit fördert. Der risikobasierte Ansatz berücksichtigt Variablen wie die verantwortliche Rolle, den Anwendungsbereich oder das Modell, andere EU-Verordnungen, Lizenzrechte, sowie bestimmte Ausnahmen und Besonderheiten.
Der EU AI-Act ist seit dem 01. August 2024 in Kraft und sieht einen gestaffelten Zeitplan für die Umsetzung vor. Die ersten Anforderungen müssen bis zum 02. Februar 2025 erfüllt werden.
#Get EU AI Act ready
Unser Angebot:
AI Inventory
+ AI Act risk assessment
- =Strukturierte Erfassung aller Ihrer KI-Anwendungsfälle in Casebase
- =Systematische Bewertung Ihres gesamten KI-Inventars gemäß der EU KI-Verordnung.
- =Identifizierung der rechtlichen Anforderungen für jeden Anwendungsfall
Ab € 14.000 ,- inkl. Casebase Lizenz.
Regulierte Bereiche des EU-AI- Acts
Einerseits reguliert der AI-Act bestimmte risikoreiche Anwendungsbereiche, in denen ein KI-System eingesetzt werden kann. Außerdem reguliert die EU-Verordnung das Inverkehrbringen und die Inbetriebnahme von bestimmten GPAI-Modelle. Für beide Fälle definiert das KI-Gesetz Einstufungskriterien, um eine Risikoklassifizierung vornehmen zu können. Die Herausforderung besteht darin, die Komplexität der Verordnung zu entschlüsseln und die spezifische Risikoklasse und Compliance-Anforderungen abzuleiten.
Verbotene Praktiken
…… bedeutet, dass diese KI-Systeme ein inakzeptables Risiko darstellen und nicht auf dem europäischen Markt betrieben oder vertrieben werden dürfen. z.B. biometrische Identifikation in Echtzeit. (Titel II, Artikel 5).
KI-Systeme mit hohem Risiko
Die Identifizierung solcher KI-Systeme erfolgt auf der Grundlage klar definierter Anwendungsbereiche in Übereinstimmung gemäß Artikel 6.
- High-risk AI-systems are, on the one hand, an AI-system that is considered a product safety component or a stand-alone product that is regulated in accordance with an EU regulation listed in Annex I and must also undergo a conformity assessment by a third party as part of this regulation.
- On the other hand, AI systems are considered high-risk if their intended purpose corresponds to a use case from Annex III, such as use cases for critical infrastructures or the creditworthiness assessment of natural persons.
Although these systems are permitted, they must undergo various conformity requirements and ex-ante conformity checks, as well as post-market surveillance (Title III). Irrespective of this classification, they may also contain transparency obligations. They can also be based on GPAI models, but are regulated independently.
KI-Systeme mit beschränktem Risiko
Da Ausnahmen die Regel beschreiben, gilt ein Hochrisikosystem gemäss Annex III nicht als Hochrisikosystem, sofern es das Ergebnis eines Entscheidungsprozesses nicht wesentlich beeinflusst – unabhängig davon, ob es sich um menschliche oder automatisierte Entscheidungen handelt. Das KI-Gesetz definiert hierfür verschiedene Voraussetzungen (Art. 6 (3)). Unabhängig davon können sie auch Transparenzpflichten enthalten.
KI-System mit geringem Risiko
Erlaubt, aber mit Informations- und Transparenzpflichten verbunden, sind z. B. Chatbot-Anwendungen oder Bildmanipulationen. Diese Systeme sind Teil der Risikoklasse die ein geringes Risiko ausweist (Titel IV, Artikel 52).
Nicht regulierte KI-Systeme
Für KI-Anwendungen, wie z. B. die Predictive Maintenance, gelten keine spezifischen Compliance-Anforderungen oder -Verpflichtungen. Im Allgemeinen wird jedoch die freiwillige Einhaltung des Verhaltenskodex empfohlen (Titel IX, Artikel 69).
GPAI-Modelle mit systemischen Risiken
Diese Kategorie konzentriert sich auf GPAI-Modelle, von denen erwartet wird, dass sie erhebliche Auswirkungen auf den europäischen Binnenmarkt haben werden, da ihre Fähigkeiten als besonders hoch eingestuft werden können oder ein große Nutzungsreichweite aufweisen (Art. 51).
Da eine valide Beurteilung der Modellfähigkeiten und Nutzungsreichweite nur schwer vor dem Markteintritt möglich ist, wird auch die Gesamtzahl der für das Training eingesetzten Berechnungen, gemessen in Gleitkomma-Operationen (FLOPs), als Kriterium herangezogen. Ein Schwellenwert von mehr als 10^25 FLOPs gilt als Indikator dafür, dass das GPAI-Modell über Fähigkeiten mit hohem Wirkungsgrad verfügt und somit der Gruppe GPAI-Modell mit systemischen Risiken zuzuordnen ist. Diese werden von der EU öffentlich aufgelistet.
GPAI-Modelle ohne systemische Risiken
Auch wenn ein GPAI-Modell nicht die Bedingungen eines systematischen Risikos erfüllt, wird es durch den AI-Act gereguliert. So müssen beispielsweise bestimmte Transparenzpflichten eingehalten werden (Artikel 51).
Verbotene Praktiken
…… bedeutet, dass diese KI-Systeme ein inakzeptables Risiko darstellen und nicht auf dem europäischen Markt betrieben oder vertrieben werden dürfen. z.B. biometrische Identifikation in Echtzeit. (Titel II, Artikel 5).
KI-Systeme mit hohem Risiko
Die Identifizierung solcher KI-Systeme erfolgt auf der Grundlage klar definierter Anwendungsbereiche in Übereinstimmung gemäß Artikel 6.
- High-risk AI-systems are, on the one hand, an AI-system that is considered a product safety component or a stand-alone product that is regulated in accordance with an EU regulation listed in Annex I and must also undergo a conformity assessment by a third party as part of this regulation.
- On the other hand, AI systems are considered high-risk if their intended purpose corresponds to a use case from Annex III, such as use cases for critical infrastructures or the creditworthiness assessment of natural persons.
Although these systems are permitted, they must undergo various conformity requirements and ex-ante conformity checks, as well as post-market surveillance (Title III). Irrespective of this classification, they may also contain transparency obligations. They can also be based on GPAI models, but are regulated independently.
KI-Systeme mit beschränktem Risiko
Da Ausnahmen die Regel beschreiben, gilt ein System mit hohem Risiko gemäß Anhang III nicht als risikoreich, sofern es das Ergebnis eines Entscheidungsprozesses nicht wesentlich beeinflusst – unabhängig davon, ob es sich um menschliche oder automatisierte Entscheidungen handelt. Der AI-Act definiert hierfür verschiedene Bedingungen (Artikel. 6 (3)) Unabhängig davon können diese KI-System zusätzliche Transparenzpflichten einzuhalten haben.
KI-System mit geringem Risiko
Erlaubt, aber mit Informations- und Transparenzpflichten verbunden, sind z. B. Chatbot-Anwendungen oder Bildmanipulationen. Diese Systeme sind Teil der Risikoklasse die ein geringes Risiko ausweist (Titel IV, Artikel 52).
Nicht regulierte KI-Systeme
Für KI-Anwendungen, wie z. B. die Predictive Maintenance, gelten keine spezifischen Compliance-Anforderungen oder -Verpflichtungen. Im Allgemeinen wird jedoch die freiwillige Einhaltung des Verhaltenskodex empfohlen (Titel IX, Artikel 69).
GPAI-Modelle mit systemischen Risiken
Diese Kategorie konzentriert sich auf GPAI-Modelle, von denen erwartet wird, dass sie erhebliche Auswirkungen auf den europäischen Binnenmarkt haben werden, da ihre Fähigkeiten als besonders hoch eingestuft werden können oder ein große Nutzungsreichweite aufweisen (Art. 51).
Da eine valide Beurteilung der Modellfähigkeiten und Nutzungsreichweite nur schwer vor dem Markteintritt möglich ist, wird auch die Gesamtzahl der für das Training eingesetzten Berechnungen, gemessen in Gleitkomma-Operationen (FLOPs), als Kriterium herangezogen. Ein Schwellenwert von mehr als 10^25 FLOPs gilt als Indikator dafür, dass das GPAI-Modell über Fähigkeiten mit hohem Wirkungsgrad verfügt und somit der Gruppe GPAI-Modell mit systemischen Risiken zuzuordnen ist. Diese werden von der EU öffentlich aufgelistet.
GPAI-Modelle ohne systemische Risiken
Auch wenn ein GPAI-Modell nicht die Bedingungen eines systematischen Risikos erfüllt, wird es durch den AI-Act gereguliert. So müssen beispielsweise bestimmte Transparenzpflichten eingehalten werden (Artikel 51).
Möchten Sie die Risikoklassen des AI Act für Ihre Anwendungsfälle bestimmen?
Wie Sie sich vorbereiten
Was Unternehmen tun sollten
Da das KI-Gesetz den rechtlichen Rahmen zur Förderung des Vertrauens gestaltet, besteht die Herausforderung nun darin, wie Unternehmen diese Änderungen effektiv umsetzen und verwalten können. Der KI-Anwendungsfall rückt dabei in den Mittelpunkt der Risikobewertung und Use Case Management wird der Schlüssel zur Einhaltung des KI-Gesetzes sein. Daher ist ein nachhaltiges Portfoliomanagement von KI-Anwendungsfällen der Kern, um für das KI-Gesetz gerüstet zu sein und KI-Governance-Strukturen aufzubauen.
Laden Sie hier Ihre Checkliste mit 10 Punkten herunter, die Sie bei der Einführung von KI-Governance und der Vorbereitung auf das KI-Gesetz beachten sollten.
Use Case Inventory Library
Aufbau und Pflege eines Portfolios von KI- & ML-Anwendungsfällen
Governance entlang Ihres AI- und ML-Lebenszyklus
Definition von Qualitätsstandards und Anforderungen für die Entwicklung und den Betrieb auf der Grundlage von Compliance-Verpflichtungen und vertrauenswürdigen KI-Prinzipien.
Management von Verantwortlichkeiten
Klären Sie die Verantwortlichkeiten und machen Sie diese transparent.
Umfassendes Risikomanagement
Erkennen und mindern Sie systematisch Risikopotenziale und behalten Sie stets den Überblick.
Revisionsfähige Berichterstattung und Rückverfolgbarkeit
Stellen Sie sicher, dass die Informationen über Ihre KI-Initiativen schnell und einfach zu finden und für die Beteiligten verständlich sind.
Möchten Sie tiefer ins Thema einsteigen? Dann schauen Sie sich unser Webinar in Koorperation mit unserem Partner[at] an. Dort erhalten Sie weitere Einblicke in das KI-Gesetz, wie es in der Praxis umgesetzt werden kann und wie Casebase Sie unterstützen kann.
Wie Sie sich vorbereiten
Was Unternehmen tun sollten
Der AI Act formt den rechtlichen Rahmen, um das Vertrauen zu fördern. Die Herausforderung besteht nun darin, wie Unternehmen diese Änderungen effektiv umsetzen und verwalten können. KI Use Cases rücken in den Mittelpunkt der Risikobewertung und das managen von Use Case wird der Schlüssel zur Einhaltung des KI-Gesetzes sein. Ein nachhaltiges Portfoliomanagement ist daher die Grundlage zur Vorbereitung auf den AI-Act und zum Aufbau von AI-Governance-Strukturen.
Use Case Inventory Library
Aufbau und Pflege eines Portfolios von KI- & ML-Anwendungsfällen
Governance entlang Ihres AI- und ML-Lebenszyklus
Definition von Qualitätsstandards und Anforderungen für die Entwicklung und den Betrieb auf der Grundlage von Compliance-Verpflichtungen und vertrauenswürdigen KI-Prinzipien.
Management von Verantwortlichkeiten
Klären Sie die Verantwortlichkeiten und machen Sie diese transparent.
Umfassendes Risikomanagement
Erkennen und mindern Sie systematisch Risikopotenziale und behalten Sie stets den Überblick.
Revisionsfähige Berichterstattung und Rückverfolgbarkeit
Stellen Sie sicher, dass die Informationen über Ihre KI-Initiativen schnell und einfach zu finden und für die Beteiligten verständlich sind.
Laden Sie hier Ihre Checkliste mit 10 Punkten herunter, die Sie bei der Einführung von KI-Governance und der Vorbereitung auf das KI-Gesetz beachten sollten.
Möchten Sie tiefer ins Thema einsteigen? Dann schauen Sie sich unser Webinar in Koorperation mit unserem Partner[at] an. Dort erhalten Sie weitere Einblicke in das KI-Gesetz, wie es in der Praxis umgesetzt werden kann und wie Casebase Sie unterstützen kann.
EU AI-Act kompakt
Was steckt hinter dem EU AI-Act?
Der EU AI-Act ist ein zukunftsweisende Verordnung zur Regulierung von KI-Systemen in der Europäischen Union, die auf der Grundlage der Empfehlungen der High-Level Expert Group on Artificial Intelligence entwickelt wurden. Hiermit wird das Ziel verfolgt, dass KI-Technologien rechtmäßig und ethisch und robust entwickelt und betrieben werden. Dies sind genauer gesagt die Grundsätze einer vertrauenswürdigen KI. Denn Eins ist klar, Daten und KI können nur dann ihr volles Potenzial entfalten, wenn Nutzer den Anwendungen vertrauen schenken können. Daher werden auch nicht spezifische Algorithmen reguliert, sondern der Fokus liegt auf konkreten Anwendungsgebieten bzw. Use Cases.
Was wird als KI definiert?
KI wird sehr umfassend und technologieunabhängig definiert, um auch künftige Entwicklungen, z. B. im Zusammenhang mit Stiftungsmodellen, einbeziehen zu können. Zudem orientiert sich die Definition an der OECD-Definition, um eine gewisse Interoperabilität zwischen verschiedenen Rechtssystemen zu ermöglichen.
Definition eines KI Systems im AI-Act
An AI system is a machine-based system designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments. (Title I, article 2, 5g (1))
Wer ist betroffen?
Die Harmonisierungsvorschriften gelten für alle Branchen. Kritische digitale Infrastrukturen wie etwa der Straßenverkehr und die Versorgung mit Wasser, Gas, Wärme und Strom sind jedoch besonders betroffen (Annex III). Die Harmonisierungsvorschriften gelten für alle Branchen. Kritische digitale Infrastrukturen wie etwa der Straßenverkehr und die Versorgung mit Wasser, Gas, Wärme und Strom sind jedoch besonders betroffen (Anhang III). Generell betrifft die Verordnung Betreiber [Hersteller], Händler und Importeure [Zwischenhändler] und Anwender [Anwenderorganisation] von bereits aktiven oder zukünftigen KI-Systemen, die innerhalb der EU eingesetzt werden.
Ab wann gilt die Verordnung?
Dies ist der Zeitplan für das EU-KI-Gesetz auf dem Weg zu dessen Umsetzung.
| Datum | Meilenstein |
|---|---|
| 21. April 2021 | EU-Kommission schlägt den AI-Act vor. |
| 06. December 2022 | EU-Rat nimmt einstimmig die allgemeine Ausrichtung des Gesetzes an. |
| 09. December 2023 | Die Verhandlungsführer des Europäischen Parlaments und die Ratspräsidentschaft einigen sich auf die endgültige Fassung. |
| 02. Februar 2024 | EU-Ministerrat billigt einstimmig den Gesetzesentwurf zum EU AI Act. |
| 13. Februar 2024 | Parlamentsausschüsse billigen den Gesetzentwurf. |
| 13. March 2024 | EU-Parlament billigt den Gesetzesentwurf. |
| 12. Juli 2024 | Publication of the law in the Official Journal of the European Union |
| 02. August 2024 | Inkrafttreten des Rechtsakts. |
| 02. Februar 2025 | Verbot von KI-Systemen mit inakzeptablem Risiko und KI-Literacy Schulungen (Art.4) |
| 02. August 2025 | Governance-Regeln und Verpflichtungen für General Purpose AI (GPAI) finden Anwendung. |
| 02. August 2026 | Beginn der Anwendung des EU-AI-Acts für AI-Systeme mit hohem Risiko gemäß Anhang III. |
| 02. August 2027 | Anwendung des gesamten EU-AI-Acts, insbesondere AI-Systeme mit hohem Risiko gemäß Anhang I. |
Updated 02/08/2024
Was ist mit GPAI bzw. Foundations-Models?
General Purpose AI („Foundation Models“) werden gesondert betrachtet. Ein “ General Purpose AI System“ ist ein KI-System, das auf einem universellen KI-Modell basiert, das die Fähigkeit hat, einer Vielzahl von Einsatzzwecken zu dienen, sowohl zur direkten Nutzung als auch zur Integration in andere KI-Systeme (Title I, article 2).
Generell unterliegen Anbieter von GPAI-Systemen einer gesonderten Transparenzpflicht und müssen daher Informationen (z. B. technische Dokumentation, Einhaltung des EU-Urheberrechts) an nachgelagerte Betreiber weitergeben (Title IV A; article 52c).
Wenn ein GPAI-System auch als High Impact eingestuft werden kann (Title IV A; articles 52a & d), sind zusätzliche Verpflichtungen erforderlich.
- Modell-Bewertungen
- Bewertung und Risikominderung von systemischen Risiken
- Bericht an die Kommission über schwerwiegende Vorfälle
- Adversarial Tests
- Bericht über Energieeffizienz
- Cybersecurity
Welche Geldstrafen sind zu erwarten?
Bis zu 7 % des weltweiten Jahresumsatzes oder 35 Mio. € bei Verstößen gegen den AI-Act.
Bis zu 3 % des weltweiten Jahresumsatzes bzw. 15 Mio. € für die meisten anderen Verstöße.
Bis zu 1,5 % des weltweiten Jahresumsatzes oder 7,5 Mio. EUR für die Angabe falscher Informationen Obergrenzen für Geldbußen für KMU und Start-ups.
Welche zusätzlichen Aufwendungen sind erforderlich?
Als Unternehmen, das KI-Systeme entwickelt oder einsetzt, sind Sie für die Einhaltung des EU AI-Acts verantwortlich und sollten die Zeit nutzen, sich darauf vorzubereiten.
Denn die Einhaltung der Vorschriften verursacht zusätzliche Aufwände, die sich wie folgt unterteilen lassen:
-
Einmalige Aufwände für den Aufbau der Compliance (z. B. Governance-Strategie und Qualitäts- und Risikomanagementprogramm
-
Wiederkehrende Aufwände für die Umsetzung der Compliance (z. B. Risikobewertung, Risikominderung, Audits, Dokumentation usw.)
Die Compliance-Verpflichtungen hängen von der Höhe des Risikos eines KI-Systems ab. Die meisten Anforderungen werden an KI-Systeme gestellt, die als „hohes Risiko“ eingestuft werden, und an „GPAI“, die als „systemische Risiken“ mit hoher Auswirkung eingestuft werden.
Abhängig von der Risikostufe Ihrer Systeme könnten einige Ihrer Pflichten folgende sein (Title III):
- Durchführen einer Risikobewertung
- Bereitstellung einer Konformitätsbewertung
- Führen einer angemessenen technischen Dokumentation und Aufzeichnungen
- Gewährleistung von Transparenz und Offenlegung Ihres KI-Systems
Wie Casebase sie unterstützt
Wir sind uns der Größe dieser Aufgabe und ihrer Bedeutung für die Zukunft eines KI-Lebenszyklus bewusst und begleiten Sie mit Casebase auf diesem Weg. Neben einer systematisch dokumentierten Bibliothek Ihres Portfoliobestandes oder dem zentralen AI & ML Lifecycle Management können Sie sich auf weitere spezielle AI-Act Features freuen.
AI Act Risk Check
Bereiten Sie sich auf die neue Verordnung vor. Identifizieren und klassifizieren Sie Ihr Portfolio nach Risikogruppen des EU AI-Acts.
EU AI ACT Assistent
Dieser smarte Chatbot unterstützt Sie bei allen Fragen zum EU AI Act.
Quality Gate Checklist
Stellen Sie sicher, dass spezifische Workflow-Anforderungen und Konformitätsstandards erfüllt werden, um qualitativ hochwertige Use Cases zu entwickeln.
–> Weitere Casebase Features.
Free Trial, fast Onboarding
Schulung und Support inklusive
