Hohe Risiken im Fokus

Rechtsanwältin Schultz: Bei diesen Systemen verlange die Verordnung von den KI-Entwicklern wie auch von den Nutzern „eine besondere Sorgfalt bei der Qualität und dem Risikomanagement“. Die sehr unspezifisch formulierten rechtlichen Vorgaben, die ab August 2026 gelten, seien für jede Praxisanwendung gesondert zu prüfen, zu konkretisieren und anzuwenden.

Als Orientierungshilfe für die praktische Umsetzung der Hochrisiko-Regularien will die EU-Kommission bis 2. Februar 2026 Leitlinien mit einer umfassenden Liste von Praxisbeispielen für hochriskante sowie anderweitig klassifizierte Systeme vorlegen. „Dies kann eine Einzelfallbetrachtung jedoch nicht ersetzen“, warnt die Rechtsanwältin.

Für Firmen sind Hochrisiko-KI-Systeme in vielen Fällen relevant: Ein Industrieunternehmen etwa nutzt im Produktionsbereich fahrende Roboter, die per KI-basierter Abschaltvorrichtung gestoppt werden, wenn ein Sensor Personen auf den Wegstrecken von Robotern erkennt. Ein anderes Unternehmen produziert medizinische Diagnosegeräte, die bei der Hautkrebserkennung zum Einsatz kommen und dabei künstliche Intelligenz verwenden. Diese Lösungen sind nach den Vorgaben des AI Acts als Hochrisiko-KI einzustufen.

Ab August 2026 endet die Schonfrist

Die EU trifft bei Systemen mit hohem Risiko eine Unterscheidung. KI-Systeme, die als Sicherheitskomponenten in Produkten eingesetzt werden oder selbst als Produkt im Sinne der verschiedenen EU-Harmonisierungsvorschriften gelten, fallen unter Anhang I des AI Acts und müssen erst ab August 2027 alle Verpflichtungen erfüllen. Anhang III hingegen listet 8 Bereiche auf, in denen der Einsatz von KI-Anwendungen als hochriskant für die Grundrechte des Einzelnen eingestuft wird. Hier müssen alle Verpflichtungen bereits ab August 2026 erfüllt werden.

Juristin Schultz rät Unternehmen, interdisziplinäre Arbeitsgruppen zu initiieren, die gemeinsam die rechtskonforme Umsetzung der EU-Verordnung sicherstellen. „Diese Teams sollten im Kern aus Technikern und Rechtsanwälten bestehen.“ Bei Bedarf sollten Datenschutzbeauftragte, Arbeitnehmervertreter sowie IT-Sicherheitsexperten hinzukommen. Neben dem AI Act seien zudem weitergehende Aspekte wie Haftungsfragen oder Urheberrechte zu beachten.

Betreiber und Anbieter: Pflichten variieren

Unternehmen sollten auch genau prüfen, welche Rolle sie laut AI Act einnehmen und welche Pflichten sich daraus ergeben. Für Anbieter, also diejenigen, die KI-Systeme entwickeln oder zur Nutzung bereitstellen, gelten andere Pflichten als für Betreiber, also Unternehmen, die KI-Systeme einsetzen oder in interne Prozesse integrieren.

Es ist wichtig zu wissen, dass im Rahmen des AI Acts verschiedene Akteure in die Rolle des Anbieters mit den damit verbundenen Pflichten wechseln können. So kann zum Beispiel ein Feintuning mit Inbetriebnahme oder Vermarktung unter eigenem Namen vielleicht ausreichen, um als Anbieter zu gelten.

Mitarbeitende in KI schulen

Der AI Act legt auch Kompetenzverpflichtungen für Unternehmen fest. Bereits seit Februar 2025 sollen Unternehmen sicherstellen, dass ihre Mitarbeiter über KI-Kompetenzen verfügen. Das bedeutet, dass die Beschäftigten ausreichend über die Funktionsweise, die potenziellen Risiken und die sicheren Einsatzmöglichkeiten der eingesetzten KI-Systeme informiert und bei Bedarf geschult werden.

Dazu müssen Unternehmen nicht unbedingt auf kostenpflichtige Angebote zurückgreifen, wenn kostenlose Optionen ihren Bedarf ausreichend abdecken. Kostenlose KI-Kompetenztrainings bietet beispielsweise der Bayerische KI-Innovationsbeschleuniger, ein Projekt des appliedAI Institute for Europe unter der wissenschaftlichen Leitung der LMU München gemeinsam mit der TU München und der TU Nürnberg, gefördert vom Bayerischen Staatsministerium für Digitales.

Welche Regeln gelten für ChatGPT & Co.?
Viele Unternehmen setzen Chatbots wie ChatGPT, Copilot oder Gemini ein. Unternehmen müssen dabei sicherstellen, dass Nutzer wissen, wenn sie mit einem KI-System interagieren. Zudem sind die per Chatbot generierten Inhalte klar als „künstlich erzeugt“ zu kennzeichnen. „Sobald Chatbots beispielsweise im Zusammenhang mit der Steuerung kritischer Infrastrukturen zum Einsatz kommen, ist nachzuprüfen, ob es sich dabei um ein Hochrisiko-KI-System handelt – mit den dann zusätzlichen Anforderungen“, so Expertin Schultz. Die Praxisanwendung ist hierfür in jedem Fall ausschlaggebend.

Wie gehen Unternehmen das Risikomanagement an?
Zahlreiche Dienstleister bieten Unterstützung rund um den AI Act. Die Münchner trail GmbH zum Beispiel will das Risikomanagement beim Einsatz von Hochrisiko-KI erleichtern. „Da die rechtlichen Vorgaben recht komplex sind, offerieren wir ein kostenloses Selbstbewertungstool mit Fragenkatalog, mit dem die Unternehmen feststellen können, in welche Risikoklassen ihre KI-Anwendungen einzustufen sind und welche Verpflichtungen im Rahmen der rechtlichen Vorgaben voraussichtlich auf sie zukommen“, erläutert Anna Spitznagel (26), Geschäftsführerin und Mitgründerin des Start-ups.

Tipp: Register mit KI-Werkzeugen

Sie empfiehlt den Unternehmen außerdem, ein KI-Register mit allen eingesetzten KI-Werkzeugen und Systemen samt Risikoeinstufung mit den Kontaktdaten der Verantwortlichen anzulegen, etwa automatisiert über die trail-Software oder manuell per Excel-Datei. Spitznagel: „Ein Register verschafft einen guten Überblick und ermöglicht die Kontrolle über alle im Betrieb eingesetzten KI-Lösungen.“

IHK-Info: Hilfen und IHK-Position zum AI Act

Es gibt eine Reihe kostenloser Angebote für Unternehmen, um sich einen Überblick über die Anforderungen des AI Acts zu verschaffen.

Die IHK begleitet den AI Act auf politischer Ebene seit Jahren kritisch, da die Gefahr groß ist, dass die Verordnung eine innovationshemmende Wirkung entfalten wird. Zuletzt fand in Brüssel eine Expertenrunde mit Unternehmensvertretern sowie Mitgliedern des Europäischen Parlaments und der Europäischen Kommission statt, um zu diskutieren, wie der AI Act und seine Umsetzung vereinfacht werden können, um den bürokratischen Aufwand für Unternehmen so gering wie möglich zu halten. Die IHK-Position zum AI Act gibt es auf der IHK-Website.