Industrie

Das EU-AI-Gesetz: Was es tatsächlich für Unternehmen bedeutet, die AI versenden

Vincent Wahidi
Vincent Wahidi · 5 Min. Lesezeit
Das EU-AI-Gesetz: Was es tatsächlich für Unternehmen bedeutet, die AI versenden

Wenn Sie AI bauen, kaufen oder einsetzen, das Menschen in der EU berührt, legt das AI-Gesetz jetzt die Regeln fest, auf die Sie reagieren müssen. Bußgelder für verbotene Praktiken gelten bereits seit Februar 2025, und die Frist, die für die meisten gewöhnlichen Unternehmen zählt, wenn die Pflichten für Hochrisiko-Systeme und die dazugehörigen Strafen in Kraft treten, ist der 2. August 2026. Die meisten Teams müssen nicht in Panik geraten. Sie müssen wissen, in welche Risikostufe ihr System fällt, und mit der für diese Stufe erforderlichen Dokumentation beginnen.

Vier Stufen und nur zwei, die Sie wirklich Mühe kosten

Das Gesetz ordnet jedes AI-System in vier Risikostufen ein. Inakzeptable Risiken sind gänzlich verboten: staatliches Social-Scoring, die meisten biometrischen Identifizierungen in Echtzeit im öffentlichen Raum und Manipulationen, die Schaden anrichten. Diese Praktiken sind seit dem 2. Februar 2025 verboten. Minimal Risk, das die meisten Softwareprogramme einschließlich Spamfilter und Empfehlungsmaschinen abdeckt, bringt keine neuen Verpflichtungen mit sich.

Zwischen diesen beiden Extremen liegen die Ebenen, die tatsächlich die Art und Weise bestimmen, wie Sie bauen. Ein begrenztes Risiko bringt eine Transparenzpflicht mit sich: Informieren Sie die Leute, wenn sie mit einem Bot sprechen, und kennzeichnen Sie synthetische Medien. Ein hohes Risiko besteht darin, dass die hohen Verpflichtungen bestehen und der Großteil der Compliance-Arbeit und des Budgets fließen wird. Wenn Sie ein hohes Risiko für ein System noch nicht ausschließen können, gehen Sie davon aus, bis Sie es können. Die Kosten für falsche Schätzungen gehen nur in eine Richtung.

Was eigentlich als Hochrisiko gilt

Dies ist die Frage, die über Ihre Arbeitsbelastung entscheidet, und sie ist enger gefasst, als die Schlagzeilen vermuten lassen. Ein System ist in zwei Fällen hochrisikoreich. Erstens, wenn es sich um eine Sicherheitskomponente eines bereits regulierten Produkts handelt, beispielsweise eines medizinischen Geräts, einer Maschine oder eines Fahrzeugs. Zweitens, wenn es in einem der im Gesetz in Anhang III aufgeführten Bereiche tätig ist: Einstellung und Arbeitnehmermanagement, Zugang zu Bildung, Kreditwürdigkeitsprüfung und wesentliche Finanzdienstleistungen, wesentliche öffentliche Dienste und Leistungen, Strafverfolgung, Migration und Rechtspflege.

Der rote Faden ist die Konsequenz. Wenn Ihr Modell bei der Entscheidung hilft, wer einen Job, ein Darlehen, einen Schulplatz oder eine Sozialleistung erhält, ist es wahrscheinlich mit einem hohen Risiko verbunden, und Sie müssen das Gegenteil beweisen. Ein Chatbot, der Produktfragen beantwortet, birgt kein hohes Risiko. Derselbe Chatbot, der zur Überprüfung von Stellenbewerbern umfunktioniert wurde, ist es auch.

Die Daten, die mit Geldstrafen verbunden sind

Das Gesetz trat am 1. August 2024 in Kraft und wird stufenweise in Kraft gesetzt. Verbotene Praktiken und die AI-Alphabetisierungspflicht gelten seit dem 2. Februar 2025. Die Verpflichtungen für allgemeine AI-Modelle, die großen Sprachmodelle, auf denen die meisten Teams jetzt aufbauen, gelten ab dem 2. August 2025. Das Datum, das für normale Unternehmen am wichtigsten ist, ist der 2. August 2026, an dem die Hochrisikoanforderungen und die finanziellen Strafen in Kraft treten. Das in regulierte Produkte eingebettete Hochrisiko-AI gilt bis zum 2. August 2027.

Die Strafen sind spürbar. Der Einsatz eines verbotenen Systems kann bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes kosten, je nachdem, welcher Betrag höher ist. Ein Verstoß gegen die risikoreichen Verpflichtungen kann bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes betragen. Die Bereitstellung falscher oder irreführender Informationen an Regulierungsbehörden kann bis zu 7,5 Millionen Euro oder 1 Prozent betragen. Dabei handelt es sich um Obergrenzen, die auf den Verstoß abgestimmt sind, aber so hoch, dass „wir kümmern uns später darum“ kein Plan mehr ist.

Wie Hochrisikopflichten in der Praxis aussehen

Entfernen Sie die juristische Sprache und das Hochrisikoregime ist größtenteils gute technische Disziplin, niedergeschrieben. Sie benötigen einen Risikomanagementprozess, der sich über die gesamte Lebensdauer des Systems erstreckt, und keine einmalige Freigabe. Sie brauchen Daten-Governance: Sie müssen wissen, was Ihre Trainings- und Eingabedaten sind, woher sie kommen und wie sie das Ergebnis beeinflussen können. Sie benötigen eine technische Dokumentation und eine automatische Protokollierung, um im Falle einer Anfechtung einer Entscheidung nachvollziehen zu können, wie das System zu dieser Entscheidung gelangt ist. Sie brauchen eine sinnvolle menschliche Aufsicht, eine Person, die das System verstehen, außer Kraft setzen und stoppen kann, und nicht einen Stempel. Und bevor es in Betrieb geht, benötigt ein Hochrisikosystem eine Konformitätsbewertung und Registrierung in der EU-Datenbank.

Nichts davon ist exotisch. Es ist dieselbe Disziplin, die ein Modell, das in der Produktion läuft von einer Demo unterscheidet, die zufällig einmal funktioniert.

Was jetzt zu tun ist

Eine kurze, ehrliche Checkliste ist besser als ein Compliance-Ordner, den niemand liest.

  • Inventarisieren Sie jedes AI-System, das Sie bauen oder kaufen, einschließlich der Funktionen, die stillschweigend von einem Modell eines Anbieters bereitgestellt werden.
  • Ordnen Sie jede einzelne Kategorie der Kategorie zu und achten Sie streng auf die Hochrisikobereiche in Anhang III.
  • Geben Sie jedem Hochrisikosystem einen benannten Eigentümer. Eine Einhaltung ohne Eigentümer kommt nicht vor.
  • Beginnen Sie jetzt mit der technischen Dokumentation und Protokollierung, solange das System noch klein ist. Eine spätere Nachrüstung kostet deutlich mehr.
  • Bauen Sie den Weg der menschlichen Aufsicht in das Produkt ein, nicht als Zusatz am Ende.
  • Lesen Sie die Geschäftsbedingungen Ihres AI-Allzweckanbieters. Ihre Verpflichtungen löschen Ihre nicht aus.

Die Zuordnung Ihrer Systeme zu den Risikostufen des Gesetzes und der Aufbau der dafür jeweils nötigen Dokumentation ist Teil unserer Arbeit im Bereich AI-Beratung.

Imbiss

Beim AI-Gesetz geht es weniger darum, AI zu verbieten, als vielmehr darum, Sie zu zwingen, den AI zu dokumentieren und zu überwachen, der folgenreiche Entscheidungen über Menschen trifft. Bei Systemen, die eindeutig ein minimales oder begrenztes Risiko aufweisen, ist der Aufwand gering. Bei Hochrisikosystemen ist die Arbeit real und der 2. August 2026 ist näher als es aussieht. Ordnen Sie Ihre Systeme zunächst den Ebenen zu. Fast alles Weitere ergibt sich daraus, dass man weiß, wo man steht.

Vincent Wahidi

Autor

Vincent Wahidi is the director of Encelyte, a computer engineer who builds production AI, automation, and custom software for enterprises across Cyprus and the wider region. He writes the strategy, cost and decision-maker pieces himself; the practical how-to guides are curated under the five mission-cat bylines below.

Als Nächstes lesen

AI für Hotels und Tourismusbetriebe: mehr als der Chatbot

Haben Sie ein Problem, das es zu lösen lohnt?

Sagen Sie uns, was Sie bauen oder reparieren. Wir antworten innerhalb eines Werktags mit einem klaren nächsten Schritt.