EU-KI-Verordnung (EU AI Act)

Die EU-KI-Verordnung, international als EU AI Act bekannt, ist die erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz weltweit. Sie klassifiziert KI-Systeme nach Risikostufen und legt für jede Stufe spezifische Pflichten fest. Für den Mittelstand ist entscheidend: Die meisten Alltagsanwendungen fallen in die Kategorie "minimales Risiko" oder "begrenztes Risiko" und unterliegen nur wenigen Pflichten.

Was bedeutet die EU-KI-Verordnung im operativen Kontext?

Die Verordnung unterteilt KI-Systeme in vier Risikostufen. Stufe eins, unannehmbares Risiko, umfasst Systeme wie Social Scoring oder Manipulationstechniken. Diese sind verboten. Stufe zwei, hohes Risiko, betrifft KI in kritischen Infrastrukturen, Bildung, Beschäftigung, öffentlichen Diensten und Strafverfolgung. Diese Systeme unterliegen strengen Pflichten: Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht.

Stufe drei, begrenztes Risiko, umfasst Chatbots, KI-generierte Inhalte und Emotionserkennung. Hier gilt eine Transparenzpflicht: Nutzer müssen wissen, dass sie mit einer KI interagieren. Stufe vier, minimales Risiko, umfasst die meisten KI-Anwendungen im Mittelstand: Spam-Filter, Empfehlungssysteme, Anomalieerkennung in der Produktion, automatisierte Angebotsvergleiche. Für diese Systeme gibt es keine spezifischen Pflichten, nur eine freiwillige Verhaltenskodex-Empfehlung.

Für den Mittelstand ist die gute Nachricht: Die meisten KI-Anwendungen, die ein KMU einsetzt, fallen in die Kategorien minimales oder begrenztes Risiko. Ein Chatbot auf der Website muss als solcher erkennbar sein. Eine KI-gestützte Qualitätskontrolle in der Produktion muss dokumentiert werden. Aber es gibt keine aufwendige Zertifizierung, keine regelmäßigen Prüfungen, keine hohen Compliance-Kosten.

Welche Pflichten haben Mittelständler konkret?

Für KI-Systeme mit minimalem Risiko, also die große Mehrheit der Anwendungen, gibt es keine spezifischen Pflichten. Empfohlen wird ein interner Verhaltenskodex, der Leitlinien für den verantwortungsvollen Umgang mit KI festlegt. Das ist keine gesetzliche Pflicht, sondern eine Empfehlung.

Für KI-Systeme mit begrenztem Risiko gilt die Transparenzpflicht. Wenn ein Kundenchatbot auf der Website eingesetzt wird, muss der Nutzer wissen, dass er mit einer KI kommuniziert. Wenn ein Bild von einer KI generiert wird, muss dies gekennzeichnet sein. Diese Pflichten sind mit wenig Aufwand umsetzbar.

Für KI-Systeme mit hohem Risiko, die im Mittelstand selten sind, gelten umfassende Pflichten: ein Risikomanagementsystem, eine Daten-Governance, technische Dokumentation, Protokollierung, Transparenz gegenüber Nutzern, menschliche Aufsicht und Registrierung in einer EU-Datenbank. Wer solche Systeme einsetzt, sollte professionelle Beratung einholen. Die Rules Engine von NaveSight unterstützt bei der Dokumentation und Überwachung von Compliance-Anforderungen.

Praxisbeispiel

Ein Handelsunternehmen mit 120 Mitarbeitern setzte einen KI-Chatbot auf seiner Website ein. Der Chatbot beantwortete Kundenanfragen zu Öffnungszeiten, Produkten und Lieferstatus. Nach Inkrafttreten der EU-KI-Verordnung musste das Unternehmen sicherstellen, dass Nutzer erkennen konnten, dass sie mit einer KI kommunizierten.

Die Umsetzung war simpel. Ein Hinweis "Ich bin ein KI-Assistent" wurde in die Begrüßungsnachricht integriert. Eine kurze Erklärung, wie der Chatbot funktioniert, wurde in die Datenschutzerklärung aufgenommen. Die technische Dokumentation des Systems wurde in einer internen Wissensdokumentation gespeichert. Der gesamte Aufwand betrug zwei Stunden.

Das Beispiel zeigt: Die EU-KI-Verordnung ist kein Showstopper für den Mittelstand. Sie erfordert Aufmerksamkeit und Dokumentation, aber keine umfassende Reorganisation. Wer seine KI-Systeme kennt und dokumentiert, ist auf der sicheren Seite.

Verwandte Begriffe

• Change Management
• Rules Engine
• KI-Halluzination

Verwandte Inhalte

• EU AI Act im Mittelstand: Was KMUs wirklich tun müssen
• KI-Reifegradmodell für den Mittelstand
• KI-Pilotprojekt im Mittelstand