Was ist das Gesetz über künstliche Intelligenz der Europäischen Union (KI-Gesetz der EU)?
Entdecken Sie die KI-Governance-Lösung von IBM Abonnieren Sie KI-Updates
Abstraktes Diagramm eines Entscheidungsbaums

Veröffentlicht: 8. April 2024
Mitwirkende: Matt Kosinski

Was ist das KI-Gesetz der EU?

Das Gesetz über künstliche Intelligenz der EU (KI-Gesetz der EU) ist ein Gesetz, das die Entwicklung und Nutzung von künstlicher Intelligenz in der Europäischen Union (EU) regelt. Das Gesetz verfolgt bei der Regulierung einen auf Risiken basierenden Ansatz, indem es unterschiedliche Regeln für KI-Systeme anwendet, je nachdem, welche Bedrohungen sie für die menschliche Gesundheit, Sicherheit und Rechte darstellen.

Das KI-Gesetz der EU, das als weltweit erstes umfassendes Framework für KI-Anwendungen gilt, verbietet einige KI-Anwendungsbereiche vollständig und legt für andere strenge Sicherheits- und Transparenzstandards fest.

Das Gesetz schreibt auch gezielte Regeln für die Entwicklung, das Training und den Einsatz von KI-Modellen mit allgemeinem Verwendungszweck vor, wie z. B. die Foundation Models, auf denen ChatGPT und Google Gemini basieren.

Die Strafen für die Nichteinhaltung können bis zu 35.000.000 EUR oder 7 % des weltweiten Jahresumsatzes eines Unternehmens betragen, je nachdem, welcher Betrag höher ist.

So wie die Datenschutz-Grundverordnung (DSGVO) der EU andere Nationen zur Verabschiedung von Datenschutzgesetzen inspiriert hat, gehen Experten davon aus, dass das KI-Gesetz der EU die Entwicklung von strengeren KI-Governance- und Ethikstandards weltweit vorantreiben wird.

Was das KI-Gesetz der EU für Sie bedeutet und wie Sie sich vorbereiten können
Ähnliche Inhalte

Registrieren und IDC-Bericht lesen

Für wen gilt das KI-Gesetz der EU?

Das KI-Gesetz der EU gilt für Anbieter, Anwender, Importeure und Vertreiber von KI-Systemen und -Modellen in der EU.

Das Gesetz definiert KI-Systeme als Systeme, die mit einem gewissen Grad an Autonomie Eingaben verarbeiten können, um Outputs zu erzeugen, die Menschen und Umgebungen beeinflussen. Zu diesen einflussreichen Outputs gehören Dinge wie Vorhersagen, Entscheidungen und Inhalte. 

Im Gesetzestext bezieht sich der Begriff KI-Modell hauptsächlich auf künstliche Intelligenz mit allgemeinem Verwendungszweck (General-purpose AI, GPAI), die für die Entwicklung verschiedener KI-Systeme angepasst werden kann. Zum Beispiel ist das große Sprachmodell GPT-4 ein KI-Modell. Der ChatGPT-Chatbot, der auf GPT-4 basiert, ist ein KI-System.

Weitere wichtige Begriffe im Gesetz:

  • Anbieter sind die Menschen und Unternehmen, die KI-Systeme und -Modelle entwickeln.

  • Anwender sind Personen und Unternehmen, die KI-Tools nutzen. Zum Beispiel wäre ein Unternehmen, das einen intelligenten Chatbot für die Bearbeitung von Kundenserviceanfragen kauft und nutzt, ein Anwender.

  • Importeure sind Personen und Unternehmen, die KI-Systeme und -Modelle von außerhalb Europas in der EU auf den Markt bringen.
Anwendungen außerhalb der EU

Das KI-Gesetz der EU gilt für Personen und Unternehmen außerhalb Europas, wenn ihre KI-Tools oder die Outputs dieser Tools in der EU verwendet werden. 

Nehmen wir an, ein Unternehmen in der EU sendet Kundendaten an einen Dritten außerhalb der EU, und dieser Dritte verwendet KI, um die Kundendaten zu verarbeiten, und sendet die Ergebnisse an das Unternehmen zurück. Da das Unternehmen den Output des KI-Systems dieses Drittanbieters innerhalb der EU nutzt, ist der Drittanbieter an das KI-Gesetz der EU gebunden. 

Anbieter außerhalb der EU, die KI-Services in der EU anbieten, müssen autorisierte Vertreter in der EU benennen, um die Einhaltung der Vorschriften in ihrem Namen zu koordinieren.

Ausnahmen

Der Geltungsbereich des Gesetzes ist zwar weit gefasst, aber einige Anwendungsbereiche der KI sind davon ausgenommen. Dazu gehören:

  • Die rein persönliche Verwendung

  • Modelle und Systeme, die ausschließlich für militärische und nationale Verteidigung entwickelt wurden

  • Modelle und Systeme, die nur für Forschung und Entwicklung verwendet werden

  • Kostenlose Open-Source-KI-Modelle mit geringem Risiko, die ihre Parameter und Architektur öffentlich zugänglich machen, sind von den meisten Regeln des KI-Gesetzes ausgenommen, aber nicht von allen. (Weitere Informationen finden Sie weiter unten unter „Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI)“.)
Erfahren Sie, wie die KI- und Datenplattform IBM® watsonx Unternehmen dabei hilft, verantwortungsvolle, gesetzeskonforme KI-Anwendungen zu entwickeln
Erfahren Sie, wie die KI- und Datenplattform IBM® watsonx Unternehmen dabei hilft, verantwortungsvolle, gesetzeskonforme KI-Anwendungen zu entwickeln
Welche Anforderungen werden im KI-Gesetz der EU geregelt?

Das KI-Gesetz der EU enthält eine Reihe von Vorschriften, die die verantwortungsvolle Nutzung und Entwicklung von KI unterstützen sollen. Zu den wichtigsten Bestimmungen gehören das Verbot gefährlicher KI, Standards für die Entwicklung und den Einsatz von KI mit hohem Risiko, Transparenzverpflichtungen und Regeln für Modelle mit allgemeinem Verwendungszweck. 

Es ist erwähnenswert, dass viele der Feinheiten des KI-Gesetzes der EU in Bezug auf die Umsetzung noch nicht geklärt sind. So heißt es in dem Gesetz, dass die Europäische Kommission weitere Leitlinien zu einzelnen Anforderungen veröffentlichen wird, so zum Beispiel im Zusammenhang mit Plänen zur Überwachung nach dem Markteintritt und bzgl. Zusammenfassungen von Schulungsdaten. 

Risikobasierte KI-Vorschriften

Das KI-Gesetz der EU teilt KI-Systeme je nach Risikostufe in verschiedene Kategorien ein. Der Begriff Risiko bezieht sich hier auf die Wahrscheinlichkeit und den Schweregrad des potenziellen Schadens, den eine KI für die Gesundheit, Sicherheit oder die Menschenrechte verursachen könnte. 

Im Großen und Ganzen befasst sich das Gesetz mit vier Kategorien von KI-Risiken:

·       Inakzeptables Risiko

·       Hohes Risiko

-       Begrenztes Risiko

·       Minimales Risiko

Inakzeptables Risiko

KI-Anwendungen, die ein inakzeptables Risikoniveau darstellen, sind verboten. Das KI-Gesetz der EU listet explizit alle verbotenen KI-Praktiken auf, darunter:

  • Systeme, die Menschen absichtlich manipulieren und sie dazu bringen, gefährliche Entscheidungen zu treffen, die sie andernfalls nicht treffen würden.

  • Systeme, die das Alter, die Behinderung oder den sozialen oder ökonomischen Status einer Person ausnutzen, um ihr Verhalten wesentlich zu beeinflussen. 

  • Biometrische Kategorisierungssysteme, die biometrische Daten verwenden, um daraus vertrauliche personenbezogene Informationen wie Herkunft, sexuelle Orientierung oder politische Meinungen abzuleiten.

  • Social-Scoring-Systeme, die irrelevante oder unbedeutende Verhaltensweisen und Eigenschaften nutzen, um eine nachteilige Behandlung von Menschen zu fördern.

  • Biometrische Echtzeit-Fernidentifikationssysteme, die an öffentlichen Plätzen zu Strafverfolgungszwecken eingesetzt werden. Hier gibt es einige geringfügige Ausnahmen, wie z. B. die Verwendung dieser Tools bei der gezielten Suche nach Opfern bestimmter schwerer Straftaten.

  • Prädiktive Polizeisysteme, die Profile von Personen erstellen, um einzuschätzen, wie hoch die Wahrscheinlichkeit ist, dass sie eine Straftat begehen. 

  • Gesichtserkennungsdatenbanken, die ungezieltes Scraping von Bildern aus dem Internet oder Überwachungsaufnahmen durchführen.

  • Tools zur Erkennung von Emotionen, die in Schulen oder am Arbeitsplatz verwendet werden, es sei denn, diese Tools werden zu medizinischen oder Sicherheitszwecken eingesetzt.

Die Europäische Kommission behält sich das Recht vor, diese Liste zu überprüfen und zu ändern, sodass es möglich ist, dass in Zukunft weitere KI-Anwendungsfälle verboten werden.

Hohes Risiko

Der Großteil des Gesetzes befasst sich mit KI-Systemen mit hohem Risiko. Es gibt zwei Möglichkeiten, wie ein System nach dem KI-Gesetz der EU die Einstufung „hohes Risiko“ erhalten kann: wenn es in einem regulierten Produkt verwendet wird oder wenn es ausdrücklich als risikoreich eingestuft wird. 

Produkte in einigen Bereichen, wie Spielzeug, Funkgeräte und medizinische Geräte, werden bereits durch bestehende EU-Gesetze reguliert. Alle KI-Systeme, die als Sicherheitskomponenten dieser regulierten Produkte dienen oder die selbst als regulierte Produkte fungieren, gelten automatisch als Systeme mit hohem Risiko. 

Das Gesetz listet auch bestimmte KI-Anwendungsfälle auf, die immer die Einstufung „hohes Risiko“ erhalten. Dazu gehören:

  • Alle biometrischen Systeme, die nicht ausdrücklich durch das KI-Gesetz der EU oder andere Gesetze der EU oder der Mitgliedstaaten verboten sind, mit Ausnahme von Systemen, die die Identität einer Person überprüfen (z. B. die Verwendung eines Fingerabdruckscanners, um jemandem Zugriff auf eine Banking-App zu gewähren).

  • Systeme, die als Sicherheitskomponenten für kritische Infrastrukturen wie Wasser-, Gas- und Stromversorgung eingesetzt werden.

  • Systeme, die im Bereich der Schul- und Berufsausbildung verwendet werden, einschließlich Systeme zur Überwachung der Leistung von Lernenden, zur Erkennung von Betrug und zur direkten Zulassung.

  • Systeme, die im Beschäftigungsumfeld verwendet werden, z. B. zur Rekrutierung von Kandidaten, zur Bewertung von Bewerbern und zum Treffen von Beförderungsentscheidungen.

  • Systeme, die dazu dienen, den Zugang zu wesentlichen privaten oder öffentlichen Diensten zu bestimmen, einschließlich Systemen, die die Berechtigung zum Bezug öffentlicher Leistungen beurteilen und Kreditwürdigkeitsprüfungen vornehmen. Dazu gehören keine Systeme, die zur Erkennung von Finanzbetrug verwendet werden.

  • Systeme, die für die Durchsetzung von Klagen verwendet werden, z. B. KI-fähige Lügendetektoren und Beweisanalysen.

  • Systeme, die für die Migration und Grenzkontrolle verwendet werden, z. B. Systeme für die Bearbeitung von Visaanträgen. Dazu gehören keine Systeme zur Überprüfung von Reisedokumenten.

  • Systeme, die in juristischen und demokratischen Prozessen eingesetzt werden, beispielsweise Systeme, die den Ausgang von Wahlen direkt beeinflussen.

  • Profilerstellung– Die automatische Verarbeitung personenbezogener Daten zur Bewertung oder Vorhersage einiger Aspekte des Lebens einer Person, z. B. ihrer Produktpräferenzen, ist immer ein hohes Risiko.

Wie bei der Liste der verbotenen KI kann die Europäische Kommission diese Liste in Zukunft aktualisieren.

Anbieter von Systemen mit hohem Risiko müssen diese Regeln befolgen:

  • Implementierung eines kontinuierliches Risikomanagementsystems, um die KI zu überwachen und die Einhaltung der Vorschriften während des gesamten Lebenszyklus sicherzustellen. Es wird erwartet, dass Anbieter Risiken mindern, die sowohl durch den beabsichtigten Gebrauch als auch durch den vorhersehbaren Missbrauch ihrer Systeme entstehen.

  • Einsatz strenger Data-Governance-Standards, um sicherzustellen, dass Trainings- und Testdaten ordnungsgemäß erfasst, verarbeitet und geschützt werden. Darüber hinaus sollten die Daten von hoher Qualität, für den Zweck des Systems relevant und einigermaßen frei von Bias (Verzerrungen) sein.

  • Pflege einer umfassenden technischen Dokumentation der Designspezifikationen, Funktionen und Einschränkungen des Systems sowie der Einhaltung gesetzlicher Vorschriften.

  • Implementierung von automatisierten Ereignisprotokollen in KI-Tools, um den Systembetrieb zu verfolgen, Ergebnisse nachzuvollziehen und Risiken sowie schwerwiegende Vorfälle zu erkennen.

  • Bereitstellung von Informationen, die die Anwender von KI-Systemen benötigen, um die Vorschriften einzuhalten, einschließlich klarer Anweisungen zur Verwendung des Systems, zur Interpretation der Outputs und zur Risikominderung.

  • Entwicklung von Systemen zur Unterstützung und Förderung von menschlichen Kontrollen, z. B. durch die Bereitstellung von Benutzeroberflächen, die es den Benutzern ermöglichen, den Systembetrieb zu überwachen, außer Kraft zu setzen und in ihn einzugreifen.


  • Sicherstellung, dass KI-Systeme einigermaßen genau, robust und sicher sind. Hierzu können die Erstellung von Backup-Systemen, die Entwicklung von Algorithmen zur Vermeidung von Bias und die Implementierung geeigneter Cybersicherheitskontrollen gehören.

Wenn ein KI-System in eine der Kategorien mit hohem Risiko fällt, aber keine erhebliche Bedrohung für Gesundheit, Sicherheit oder Rechte darstellt, können Anbieter auf diese Anforderungen verzichten. Der Anbieter muss nachweisen, dass das System kein Risiko darstellt, und die Aufsichtsbehörden können Unternehmen für eine falsche Klassifizierung von Systemen bestrafen.

Erfahren Sie, wie watsonx.governance Unternehmen mit erklärbaren KI-Workflows hilft, Risiken zu mindern, Richtlinien zu verwalten und Compliance-Anforderungen zu erfüllen
Begrenztes Risiko

KI-Systeme mit begrenztem Risiko sind Systeme, die bestimmte Transparenzverpflichtungenerfüllen. Dabei handelt es sich um Regeln, die bestimmte KI-Typen unabhängig von ihrem Risikoniveau einhalten müssen. Zu diesen Regeln gehören:

  • KI-Systeme sollten die Benutzer klar informieren, wenn sie mit künstlicher Intelligenz interagieren. Zum Beispiel sollte ein Chatbot den Leuten sagen, dass es sich um einen Chatbot handelt.

  • Unternehmen müssen Menschen informieren, wenn sie Emotionserkennung oder biometrische Kategorisierungssysteme verwenden. Alle über diese Systeme erfassten personenbezogenen Daten müssen in Übereinstimmung mit der DSGVO verarbeitet werden. 

  • Generative KI-Systeme, die Text, Bilder oder andere Inhalte erstellen, müssen Wasserzeichen oder andere maschinenlesbare Signale verwenden, um diese Inhalte als KI-generiert zu kennzeichnen

  • Anwender müssen Deepfakes klar kennzeichnen und dies an die Zielgruppe weitergeben.

  • Anwender, die KI einsetzen, um Texte zu Themen von öffentlichem Interesse zu verfassen, z. B. Nachrichtenartikel, müssen den Text als KI-generiert kennzeichnen, es sei denn, ein menschlicher Redakteur überprüft ihn und übernimmt die Verantwortung dafür.
Minimales Risiko

Die Kategorie mit minimalem Risiko (manchmal auch als „Kategorie mit minimalem oder keinem Risiko“ bezeichnet) umfasst KI-Tools, die nicht direkt mit Menschen interagieren oder die, wenn sie es tun, nur sehr geringe wesentliche Auswirkungen haben. Beispiele hierfür sind E-Mail-Spam-Filter und KI in Videospielen. Viele gängige KI-Anwendungsfälle lassen sich heute in diese Kategorie einordnen. 

Die meisten Regeln des KI-Gesetzes gelten nicht für KI mit minimalem Risiko (obwohl einige möglicherweise die oben aufgeführten Transparenzverpflichtungen erfüllen müssen).

Erfahren Sie, wie watsonx.governance Unternehmen mit erklärbaren KI-Workflows hilft, Risiken zu mindern, Richtlinien zu verwalten und Compliance-Anforderungen zu erfüllen
Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI)

Da GPAI-Modelle („General purpose artificial intelligence“) so anpassungsfähig sind, kann es schwierig sein, sie nach dem Risikoniveau zu kategorisieren. Aus diesem Grund enthält das KI-Gesetz der EU eine separate Regelung, die explizit für GPAI gilt.

Alle Anbieter von GPAI-Modellen müssen Folgendes sicherstellen:

  • Pflege einer aktualisierten technischen Dokumentation, die unter anderem die Design-, Test- und Trainingsprozesse des Modells beschreibt.

  • Bereitstellung von Informationen für die Anwender der Modelle (z. B. Unternehmen, die darauf basierend KI-Systeme entwickeln), damit sie wissen, wie sie das Modell verantwortungsvoll nutzen. Zu diesen Informationen gehören die Funktionen, Einschränkungen und der beabsichtigte Zweck des Modells.

  • Festlegung von Richtlinien zur Einhaltung der EU-Urheberrechtsgesetze.

  • Erstellung und Veröffentlichung von detaillierten Zusammenfassungen der zum Training verwendeten Datensätze.

Die meisten kostenlosen Open-Source-GPAI-Modelle sind von den ersten beiden Anforderungen ausgenommen. Sie müssen lediglich die Urheberrechtsgesetze einhalten und Zusammenfassungen der Trainingsdaten zur Verfügung stellen.

Regeln für GPAI-Modelle, die ein systemisches Risiko darstellen

Nach dem KI-Gesetz der EU stellen einige GPAI-Modelle ein systemisches Risiko dar. Man spricht von einem systemischen Risiko, wenn ein Modell das Potenzial hat, der öffentlichen Gesundheit, der Sicherheit oder den Grundrechten ernsthaften, weitreichenden Schaden zuzufügen. 

Dem Gesetz zufolge stellt ein Modell ein systemisches Risiko dar, wenn es „erhebliche Auswirkungen“ haben kann. Im Wesentlichen bedeutet dies, dass die Fähigkeiten des Modells denen der fortschrittlichsten verfügbaren GPAI entsprechen oder diese übertreffen. 

Das Gesetz verwendet Trainingsressourcen als Schlüsselkriterien für die Identifizierung systemischer Risiken. Wenn die kumulative Rechenleistung, die zum Trainieren eines Modells verwendet wird, mehr als 1025 Gleitkommaoperationen (Floating Point Operations, FLOPs) beträgt, wird davon ausgegangen, dass es hohe Auswirkungen haben kann und ein systemisches Risiko darstellt. 

Die Europäische Kommission kann ein Modell auch als systemisches Risiko einstufen, wenn sie feststellt, dass das Modell ähnliche Auswirkungen hat wie die zuvor erwähnten Fähigkeiten mit hohen Risiken, auch wenn das Modell den FLOPs-Schwellenwert nicht erreicht. 

GPAI-Modelle, die ein systemisches Risiko darstellen – einschließlich kostenloser Open-Source-Modelle – müssen alle oben genannten Anforderungen sowie einige zusätzliche Verpflichtungen erfüllen:

  • Durchführung von standardisierten Modellbewertungen, einschließlich kontradiktorischer Tests, um systemische Risiken zu identifizieren und zu mindern.

  • Dokumentation und Meldung schwerwiegender Vorfälle an das KI-Büro der EU und die zuständigen Aufsichtsbehörden auf Länderebene.

  • Implementierung geeigneter Sicherheitskontrollen, um das Modell und seine physische Infrastruktur zu schützen.

Anbieter von GPAI-Modellen können die Einhaltung der Vorschriften sicherstellen, indem sie freiwillige Verhaltensregeln übernehmen, die das KI-Büro der EU derzeit ausarbeitet. Man geht davon aus, dass die Verhaltensregeln innerhalb von neun Monaten nach Inkrafttreten des Gesetzes fertiggestellt werden. Anbieter, die diese Verhaltensregeln nicht übernehmen, müssen die Einhaltung der Vorschriften auf andere Weise nachweisen. 

Zusätzliche Anforderungen

Anbieter, Anwender, Importeure und Distributoren sind im Allgemeinen dafür verantwortlich, dass die KI-Produkte, die sie entwickeln, verwenden oder in Umlauf bringen, den Vorschriften entsprechen. Sie müssen Beweise für die Einhaltung der Vorschriften dokumentieren und diese auf Anfrage den Behörden vorlegen. Sie müssen auch Informationen austauschen und zusammenarbeiten, um sicherzustellen, dass jedes Unternehmen in der KI-Lieferkette das KI-Gesetz der EU einhalten kann.

Anbieter und Anwender müssen außerdem sicherstellen, dass Mitarbeiter oder andere Parteien, die im Namen des Unternehmens mit KI arbeiten, über die erforderlichen KI-Kenntnisse verfügen, um verantwortungsvoll mit KI umzugehen.

Über diese allgemeinen Anforderungen hinaus hat jede Partei ihre eigenen spezifischen Verpflichtungen.

Pflichten der Anbieter
  • Entwicklung von KI-Systeme und -Modellen, die den relevanten Anforderungen entsprechen.

  • Einsendung neuer risikoreicher KI-Produkte an die zuständigen Behörden für Konformitätsbewertungen, bevor sie auf den Markt gebracht werden. Konformitätsbewertungen sind Bewertungen hinsichtlich der Konformität eines Produkts mit dem KI-Gesetz der EU durch Dritte. 

  • Wenn ein Anbieter eine wesentliche Änderung an einem KI-Produkt vornimmt, das seinen Zweck ändert oder seinen Compliance-Status beeinflusst, muss der Anbieter das Produkt erneut zur Bewertung einreichen.

  • Registrierung von KI-Produkten mit hohem Risiko in der EU-Datenbank.

  • Implementierung von Überwachungsplänen nach der Markteinführung, um die KI-Leistung zu verfolgen und die kontinuierliche Einhaltung der Vorschriften während des gesamten Lebenszyklus des Systems zu gewährleisten.

  • Meldung schwerwiegender KI-Vorfälle – wie Todesfälle, Störungen kritischer Infrastrukturen und Verletzungen von Grundrechten – an die Behörden der Mitgliedsstaaten und gegebenenfalls Durchführung von Korrekturmaßnahmen. 
Pflichten für Anwender
  • Verwendung von KI-Systemen für ihren vorgesehenen Zweck und gemäß den Anweisungen der Anbieter.

  • Sicherstellung, dass Systeme mit hohem Risiko einer angemessenen menschlichen Aufsicht unterliegen.

  • Bei ernsthaften KI-Vorfällen müssen Anbieter, Distributoren, Behörden und andere relevante Parteien davon in Kenntnis gesetzt werden.

  • Aufbewahrung von KI-Systemprotokollen mindestens sechs Monate oder länger, je nach Gesetzgebung des Mitgliedstaats.

  • Anwender, die KI-Systeme mit hohem Risiko zur Erbringung wesentlicher Dienste nutzen – wie Finanzinstitute, Regierungsbehörden und Strafverfolgungsbehörden – müssen vor dem ersten Einsatz einer KI eine Folgenabschätzung für die Grundrechte durchführen.
Pflichten für Importeure und Distributoren

Importer und Distributoren müssen sicherstellen, dass die KI-Systeme und -Modelle, die sie in Umlauf bringen, dem KI-Gesetz der EU entsprechen. 

Ein Importeur oder Distributor gilt als KI-Anbieter, wenn er ein Produkt mit seinem eigenen Namen oder seinem Markenzeichen versieht oder eine wesentliche Änderung am Produkt vornimmt. In diesem Fall muss der Importeur oder Distributor allen im Gesetz dargelegten Pflichten eines Anbieters nachkommen.

Erfahren Sie, wie IBM OpenPages Data Governance und regulatorische Compliance vereinfachen kann
Wie wird das KI-Gesetz der EU durchgesetzt?

Die Durchsetzung des Gesetzes wird auf mehrere verschiedene Stellen aufgeteilt.

Auf EU-Ebene hat die Europäische Kommission das KI-Büro eingerichtet, um die einheitliche Anwendung des Gesetzes in den Mitgliedstaaten zu koordinieren. Das KI-Büro wird auch die GPAI-Regeln direkt durchsetzen, mit der Möglichkeit, Unternehmen zu bestrafen und Korrekturmaßnahmen zu erzwingen. 

Einzelne Mitgliedsstaaten benennen nationale zuständige Behörden, um alle Nicht-GPAI-Vorschriften durchzusetzen. Das Gesetz verlangt, dass jeder Staat zwei verschiedene Behörden einrichtet: eine Marktaufsichtsbehörde und eine Benachrichtigungsbehörde.

Die Marktaufsichtsbehörden stellen sicher, dass die Unternehmen das KI-Gesetz der EU einhalten. Sie können Beschwerden von Verbrauchern entgegennehmen, Verstöße untersuchen und Geldbußen gegen Unternehmen verhängen.

Benachrichtigungsbehörden beaufsichtigen Dritte, die Konformitätsbewertungen für neue risikoreiche KI-Produkte durchführen.

Strafen des KI-Gesetzes der EU

Beim Einsatz verbotener KI-Praktiken können Unternehmen mit einer Geldstrafe von bis zu 35.000.000 EUR oder 7 % des weltweiten Umsatzes belegt werden, je nachdem, welcher Betrag höher ist.

Bei anderen Verstößen, einschließlich Verstößen gegen die GPAI-Regeln, können Unternehmen mit einer Geldstrafe von bis zu 15.000.000 EUR oder 3 % des weltweiten Umsatzes belegt werden, je nachdem, welcher Betrag höher ist.

Für die Angabe falscher oder irreführender Informationen an Behörden können Unternehmen mit einer Geldstrafe von bis zu 7.500.000 EUR oder 1 % ihres Umsatzes belegt werden, je nachdem, welcher Betrag höher ist.

Insbesondere sieht das KI-Gesetz der EU unterschiedliche Regeln für die Verhängung von Geldstrafen für Start-ups und andere kleine Unternehmen vor. Für diese Unternehmen ist die Geldbuße der niedrigere der beiden möglichen Beträge. Dies steht im Einklang mit den allgemeinen Bemühungen des Gesetzes, sicherzustellen, dass die Anforderungen nicht so hoch sind, dass kleinere Unternehmen vom KI-Markt ausgeschlossen werden.

Wann tritt das KI-Gesetz der EU in Kraft?

Das Europäische Parlament genehmigte das KI-Gesetz der EU am 13. März 2024. Der Europäische Rat wird eine letzte Kontrollrunde abschließen und das Gesetz wird 20 Tage nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft treten. Beobachter gehen davon aus, dass dies im Mai 2024 geschehen wird.

Das Gesetz wird erst 2026 in vollem Umfang in Kraft treten, wobei verschiedene Bestimmungen nach und nach eingeführt werden:

  • Nach sechs Monaten treten die Verbote für inakzeptabel riskante Systeme in Kraft.

  • Nach 12 Monaten werden die Regeln für KI-Modelle mit allgemeinem Verwendungszweck für neue GPAIs in Kraft treten. GPAI-Modelle, die bereits auf dem Markt sind, haben 24 Monate Zeit, um die Anforderungen zu erfüllen.

  • Nach 24 Monaten treten die Regeln für KI-Systeme mit hohem Risiko in Kraft.
Weiterführende Lösungen
watsonx

Auf nur einer Plattform können Sie KI in Ihrem Unternehmen bereitstellen und integrieren, alle Datenquellen verwalten und verantwortungsvolle KI-Workflows beschleunigen.

watsonx erkunden

IBM OpenPages

Vereinfachen Sie Datagovernance, Risikomanagement und die Einhaltung gesetzlicher Vorschriften mit IBM OpenPages – einer hoch skalierbaren, KI-gestützten und einheitlichen GRC-Plattform.

OpenPages entdecken

Ressourcen Verantwortungsvolle KI-Workflows aufbauen

Unser neuestes E-Book skizziert die wichtigsten Bausteine der KI-Governance und stellt ein detailliertes KI-Governance-Framework vor, das Sie in Ihrem Unternehmen anwenden können.

3 Hauptgründe, warum Ihr Unternehmen verantwortungsvolle KI braucht

Entdecken Sie das transformative Potenzial von verantwortungsvoller KI für Ihr Unternehmen und erfahren Sie mehr über die entscheidenden Treiber für die Einführung ethischer KI-Praktiken.

Ist Ihre KI vertrauenswürdig?

Nehmen Sie an der Diskussion teil, warum Unternehmen die KI-Governance priorisieren müssen, um verantwortungsvolle KI zu implementieren.

Was ist Data Governance?

Erfahren Sie, wie Data Governance sicherstellt, dass Unternehmen das Beste aus ihren Datenbeständen herausholen.

Was ist erklärbare KI?

Erklärbare KI ist für ein Unternehmen von entscheidender Bedeutung, wenn es darum geht, Vertrauen zu schaffen, wenn KI-Modelle in der Produktion eingesetzt werden.

Was ist KI-Ethik?

Die KI-Ethik ist ein multidisziplinäres Gebiet, das sich mit der Frage befasst, wie die positiven Auswirkungen der KI optimiert und gleichzeitig Risiken und negative Folgen reduziert werden können. Erfahren Sie mehr über den Ansatz von IBM im Bereich KI-Ethik.

Machen Sie den nächsten Schritt

Beschleunigen Sie verantwortungsbewusste, transparente und erklärbare KI-Workflows im gesamten Lebenszyklus für generative und maschinelle Lernmodelle. Leiten, verwalten und überwachen Sie die KI-Aktivitäten Ihres Unternehmens, um die wachsenden KI-Vorschriften besser zu handhaben und Risiken zu erkennen und zu mindern.

watsonx.governance erkunden Buchen Sie eine Live-Demo