Wie der AI-Act die Einführung künstlicher Intelligenz in Unternehmen beeinflusst
Risikogestützte Regulierung und KMU-Förderung im EU-AI-Act – Ein Überblick
Um zu verstehen, was die Konsequenzen des AI-Acts sind und welche Anforderungen sich daraus für deutsche Unternehmen ergeben, müssen wir zuerst einmal klären, was genau eigentlich mit dem Begriff „AI-Act“ beschrieben wird.
Was ist der AI-Act?
Konkret handelt es sich bei dem AI-Act (im weiteren auch KI-Verordnung genannt) um eine EU-Verordnung „zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz“ (Europäische Union, 2024. Die Kernaspekte der Verordnung lassen sich in vier Kategorien unterteilen:
- Schutz der Grundrechte und öffentlicher Interessen (vgl. z.B. Artikel 5, 96)
- Vermeidung von Marktfragmentierung (vgl. z.B. Artikel 43,47,48)
- Förderung von Innovation (vgl. z.B. Artikel 57-63, 60-62)
- Etablierung eines risikobasierten Regulierungsansatzes (vgl. z.B. Artikel 5, 9-15)
- Verstärkte Unterstützung kleiner und mittlerer Unternehmen (vgl. z.B. Artikel 62-63, 96)
In diesem Beitrag werden vor allem die Punkte vier und fünf kurz beleuchtet um Unternehmen eine bessere Orientierung zu ermöglichen. Zuerst soll daher geklärt werden, was mit einem risikobasierten Regulierungsansatz gemeint ist.
Wie ist der risikobasierte Regulierungsansatz zu verstehen?
Durch diesen Ansatz werden KI-Systeme in verschiedene Risikokategorien unterteilt. Die Einteilung erfolgt zum einen aufgrund des Zwecks, für welchen das KI-System entwickelt wurde. Zum anderen anhand der Funktionen, welche das System aufweist und zudem durch die Bewertung des Kontextes, in welchem die KI verwendet werden soll.
Auf Basis der drei zuvor erwähnten Einteilungskriterien kann ein System in vier Risikokategorien zugeordnet werden. Diese werden in der KI-Verordnung umfassend beschrieben. Dabei ist zu beachten, dass die dritte Risikostufe in gewisser Hinsicht eine Unterkategorie enthält, welche manchmal auch als eigenständige Kategorie gesehen wird. Die vier Risikokategorien sind folgendermaßen ausdifferenziert:
EU AI Act Risikokategorien
1. Minimales Risiko
Lässt sich eine KI keiner der anderen Kategorien zuordnen, wird ihr Risiko als minimal eingestuft.
2. Begrenztes Risiko (vgl. Artikel 50)
KIs, die mit Menschen interagieren, Inhalte erzeugen, Emotionen erkennen oder Nutzerverhalten analysieren.
3.1 Systemisches Risiko (vgl. Artikel 51)
KIs, bei deren Training mehr als 1025 Rechenoperationen durchgeführt wurden und die eine gewisse gesellschaftliche Reichweite aufweisen.
Die Einstufung gilt hier als modellbezogen und nicht anwendungsspezifisch, zudem kann die Empfehlung eines Gremiums ausgesprochen werden.
3.2 Hohes Risiko (vgl. Artikel 6)
KIs, welche in die in Anhang III der Verordnung aufgeführten Bereiche fallen, also bspw. in der Strafverfolgung, Bildung, öffentlichen Leistungen oder der Medizin zur Anwendung kommen.
4. Inakzeptables Risiko (vgl. Artikel 5)
KIs, die für verbotene Zwecke entwickelt wurden wie bspw. die soziale Bewertung von Privatpersonen, Manipulationen unterhalb der Wahrnehmungsschwelle und andere.
Doch auch wenn man die Einteilungskriterien und die vier bzw. fünf Risikokategorien kennt, kann man vor allem als kleines oder mittleres Unternehmen (KMU) schnell den Überblick verlieren, was das ganze nun konkret bedeutet. Wie wirken sich der AI-Actzum Beispiel auf eine geplante Anschaffung einer KI-Anwendung aus? Aus diesem Grund legt die EU Verordnung speziellen Wert auf die Förderung kleiner und mittlerer Unternehmen.
Was bedeutet der AI-Act für mich als KMU?
Möchte ich als KMU ein KI-System oder eine KI-Anwendung einführen, so muss zuerst die Frage geklärt werden, welche KI eingeführt werden soll, von welchem Anbieter, ob Anpassungen vorgenommen werden sollen oder sogar eine eigene KI entwickelt werden soll. Je nachdem welche Entscheidung hier getroffen wird, müssen verschiedene Anforderungen erfüllt werden. Zum Beispiel ist eine eigene Entwicklung mit wesentlich mehr Auflagen versehen als der Kauf einer kommerziellen Lösung. Als nächstes muss geklärt werden, für was das KI-System genutzt werden soll und in welchem Kontext es zukünftig agieren wird. Wird es beispielsweise in der Automatisierung genutzt, so müssen Fragen hinsichtlich der Arbeitssicherheit geklärt werden. Soll die KI Mitarbeiter bei Bürotätigkeiten unterstützen, so muss zuvor geklärt werden, wie mit generell mit Unternehmensdaten und sensiblen Daten umgegangen werden soll. Oder soll das System sogar eigenständige Entscheidungen treffen? Dann ist eine gründliche und dementsprechend aufwendige rechtliche Abklärung nicht zu vermeiden.
Der Aufwand wie auch der Umfang der relevanten Auflagen durch die KI-Verordnung können also stark variieren, weshalb es wichtig ist, als Unternehmen eine klare Vorstellung davon zu haben, welches KI-System benötigt wird und welche Aufgaben dieses erfüllen soll.
Geht es um die Entwicklung eines eigenen KI-Systems, so sieht der AI-Act vor, dass es sogenannte „Reallabore“ für die Entwicklung von KIs gibt, die für ein solches Vorhaben genutzt werden sollen. Ein Beispiel eines solchen Reallabor existiert bereits in Osnabrück unter dem Akronym CRAI (Center of research and development of trustworthy AI applications for mid-sized companies) und wird von dem DFKI und anderen Partnern betreut (DFKI 2025).
Des Weiteren bietet die EU einen Leitfaden für KMU mit weiteren Impulsen und Empfehlungen, wie das Thema KI in KMUs konkret angegangen werden kann: https://artificialintelligenceact.eu/de/small-businesses-guide-to-the-ai-act/
Zusätzlich gibt es auch einen Überblick über alle noch geplanten Umsetzungen, von Seiten der EU, zur Erfüllung der in der Verordnung gesetzten Ziele: https://artificialintelligenceact.eu/de/national-implementation-plans/
Quellen:
Europäische Union. (2024). Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz. Amtsblatt der Europäischen Union, L, 1–144. https://data.europa.eu/eli/reg/2024/1689/oj
Future of Life Institute (2025, 19. Februar). Leitfaden für kleine Unternehmen zum AI Act. EU-Gesetz über künstliche Intelligenz. https://artificialintelligenceact.eu/de/small-businesses-guide-to-the-ai-act/
Future of Life Institute (2024, 8. November). Überblick über alle nationalen Umsetzungspläne zum KI-Gesetz. EU-Gesetz über künstliche Intelligenz. https://artificialintelligenceact.eu/de/national-implementation-plans/
Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI). (2025). CRAI – Center of research and development of trustworthy AI applications for mid-sized companies. https://www.dfki.de/web/forschung/projekte-publikationen/projekt/crai
