Eine wichtige Frist für das EU-KI-Gesetz rückt näher: Hier erfahren Unternehmen, was sie wissen müssen.

Die EU-KI-Richtlinie erreicht die letzte Phase ihres langwierigen Weges vom Gesetzesvorschlag zum geltenden Recht. Es hat lange gedauert. Die Richtlinie trat am 1. August 2024 in Kraft, wobei die gestaffelte Umsetzung in den darauffolgenden Monaten und Jahren zu zahlreichen Fristen führte. Sofern nicht eine vielbeachtete Maßnahme ergriffen wird, … Vorschlag für einen digitalen Omnibus Sollte das Europäische Parlament demnächst zustimmen, rückt der 2. August 2026 als wichtige Frist näher.

Britische Unternehmen, die in der Region risikoreiche Systeme entwickeln oder nutzen, haben bis dahin Zeit, ihre KI-Governance zu verbessern. Die Aufsichtsbehörden werden Nachweise über die tatsächliche Kontrolle verlangen, nicht nur die Zusicherung der Einhaltung der Vorschriften. Für manche Organisationen kann dies einen tiefgreifenden Kulturwandel erfordern. Pragmatische Best-Practice-Standards wie ISO 42001 können ihnen dabei helfen.

Die Geschichte so weit

Seit Inkrafttreten des Gesetzes sind verschiedene Aspekte in Kraft getreten. Besonders hervorzuheben sind die neuen Anforderungen an die KI-Kompetenz von Mitarbeitern, die Einrichtung von Governance-Strukturen wie dem KI-Büro und dem KI-Gremium sowie das Verbot von KI-Systemen, die „inakzeptable Risiken“ bergen. Doch dies ist nach dem risikobasierten Ansatz des Gesetzes der einfachere Teil. Da Systeme mit inakzeptablen Risiken verboten sind und keine neuen Regeln für Systeme mit minimalem oder keinem Risiko (z. B. Spamfilter) gelten, rücken Systeme mit „begrenztem“ und „hohem Risiko“ in den Fokus.

Systeme mit geringem Risiko (wie Chatbots und einige Deepfake-Generatoren) müssen laut deren Aussage „sicherstellen, dass Menschen bei Bedarf informiert werden, um das Vertrauen zu wahren“. Europäische KommissionDie größten Herausforderungen im Bereich der Compliance liegen jedoch bei Hochrisikosystemen.

Unter dem Compliance-Mikroskop

So wie wir zuvor erklärtHochrisikosysteme sind solche, die in Bereichen wie der biometrischen Identifizierung, kritischen Sektoren wie dem Gesundheitswesen, dem Bildungswesen und dem Arbeitsmarkt (wo KI-Entscheidungen Auswirkungen auf das Leben der Menschen haben können) sowie in essenzieller Infrastruktur (z. B. Energienetzen und Verkehrssystemen) eingesetzt werden. Zu den von der Kommission angeführten Anwendungsfällen gehören die Bewertung von Prüfungen, roboterassistierte Chirurgie, die Sortierung von Lebensläufen, die Kreditwürdigkeitsprüfung und Software zur Visaentscheidung und zur Erstellung von Gerichtsurteilen.

Diese Produkte unterliegen strengen Auflagen, bevor sie auf den Markt gebracht werden dürfen, nämlich:

• Kontinuierliche Risikobewertung und -minderung
• Hochwertige Datensätze zum Trainieren und Testen der KI
• Detaillierte Protokollierung der Aktivitäten und Dokumentation
• Dem Anwender (Organisationen, die die Modelle nutzen) müssen klare Informationen zur Verfügung gestellt werden.
• Angemessene menschliche Aufsicht
• Hohes Maß an „Robustheit, Sicherheit und Genauigkeit“

Diese Verpflichtungen werden durch die unterschiedlichen Anforderungen an Anbieter (Modellentwickler), Anwender (Nutzer), Importeure und Distributoren etwas verkompliziert. Theoretisch klingen diese Anforderungen klar. Ein Anwender wird jedoch als Anbieter eingestuft, wenn er den vorgesehenen Zweck eines Systems wesentlich verändert oder modifiziert. Erschwerend kommt hinzu, dass Organisationen mehrere Rollen gleichzeitig einnehmen können. Man denke beispielsweise an ein SaaS-Unternehmen, das ein Drittanbieter-Basismodell verwendet, es optimiert und anschließend bei Kunden in verschiedenen Ländern einsetzt.

Beginnen wir mit der Sichtbarkeit

All dies macht eine verantwortungsvolle KI-Governance unerlässlich. Doch was sollte eine optimale Strategie in diesem sich rasant entwickelnden Markt beinhalten? Für Chris Jones, Geschäftsführer von PSE Consulting, sollte Transparenz oberste Priorität haben.

„Viele Unternehmen setzen KI bereits in kleinem Umfang und dezentral in verschiedenen Funktionen ein, doch nur wenige verfügen über einen klaren Überblick darüber, wo sie eingesetzt wird, welche Entscheidungen sie beeinflusst und ob sie in eine Risikokategorie fällt“, erklärt er gegenüber IO (ehemals ISMS.online). „Ausgangspunkt sollte eine strukturierte Überprüfung der KI-Anwendungsfälle, der Verantwortlichkeiten für die damit verbundenen Risiken und deren Verknüpfung mit bestehenden Verpflichtungen aus Rahmenwerken wie der DSGVO und NIS2 sein.“

Hier kann die Einhaltung der Vorschriften kompliziert werden, da sich die jeweiligen Verpflichtungen überschneiden, sagt Nick Reed, Chief Strategy Officer von Bizzdesign.

„Ein KI-System, das personenbezogene Daten in einer kritischen Infrastruktur verarbeitet, kann beispielsweise gleichzeitig die Anforderungen der DSGVO, des NIS2-Gesetzes und des AI Act erfüllen. Wenn Unternehmen diese als separate Compliance-Richtlinien behandeln, führen sie zu Doppelarbeit und übersehen möglicherweise die Gemeinsamkeiten, die eine deutlich effizientere Verwaltung der Compliance ermöglichen würden“, erklärt er gegenüber IO.

„Um diesem Problem zu begegnen, ist strukturelle Transparenz im gesamten Unternehmen erforderlich. Organisationen benötigen ein einheitliches Verständnis davon, wie KI, Geschäftsaktivitäten, Daten und kritische Systeme zusammenwirken – nicht nur innerhalb einzelner regulatorischer Rahmenbedingungen, sondern über alle hinweg. Die Unternehmensarchitektur bietet dieses gemeinsame unternehmensweite semantische Modell und verbindet KI-Systeme mit den Fähigkeiten, Prozessen, Daten, Drittanbietern und Verpflichtungen, die sie berühren. Dadurch wird eine koordinierte Steuerung ermöglicht, anstatt fragmentierter Initiativen, die zu Doppelarbeit führen.“

Der nächste Schritt für die konformen Organisationen besteht darin, ihre Position in der KI-Lieferkette zu verstehen.

„Viele Organisationen gehen davon aus, dass sie lediglich KI-Nutzer sind, doch in der Praxis agieren sie möglicherweise als Integratoren oder Distributoren, sobald sie Modelle anpassen oder in ihre eigenen Dienste integrieren“, so Jones von PSE Consulting. „Dadurch ändern sich ihre Pflichten und ihr Risiko, weshalb eine frühzeitige Zuordnung dieser Rollen unerlässlich ist.“

Reed von Bizzdesign stimmt dem zu und argumentiert, dass Sichtbarkeit wieder einmal von entscheidender Bedeutung sei.

„Um die Rolle zu bestimmen und das Risiko einzuschätzen, müssen Unternehmen sehen, wie KI-Systeme mit dem Gesamtunternehmen verbunden sind: welche Geschäftsfunktionen sie unterstützen, welche Prozesse sie ermöglichen, auf welche Daten sie zugreifen und welche Anbieter sie liefern“, sagt er.

„Ohne diese vernetzte Sichtweise besteht die Gefahr, dass die Rollenklassifizierung auf Meinungen statt auf Fakten basiert. Die Bewährungsprobe kommt, wenn sich etwas ändert. Wenn ein Anbietertool als risikoreich eingestuft oder vom Markt genommen wird, können Sie dann sofort beantworten, welche Prozesse davon abhängen, welche Daten es berührt, ob Alternativen existieren und wie schnell Sie reagieren könnten?“

Ein ausgereifter Ansatz mit ISO 42001

Um angesichts regulatorischer Änderungen, Lieferantenneuklassifizierungen und strategischer Neuausrichtungen die nötige Agilität zu entwickeln, um die Compliance zu gewährleisten, müssen Unternehmen laut Reed einen strukturierten und konsistenten Governance-Ansatz verfolgen. Hierbei kann ISO 42001 helfen.

„Es formalisiert die Erwartungen an Risikomanagement, Dokumentation, Aufsicht und kontinuierliche Verbesserung im gesamten KI-Lebenszyklus“, sagt er. „Für Organisationen, die sich mit dem EU-KI-Gesetz, der DSGVO und NIS2 auseinandersetzen müssen, helfen Rahmenwerke wie ISO 42001 dabei, regulatorische Anforderungen in wiederholbare Prozesse zu übersetzen, die Compliance- und Risikoteams sicher umsetzen können.“

Nik Kairinos, CEO und Mitbegründer von RAIDS AI, nennt weitere pragmatische Gründe, warum ISO 42001 hilfreich sein kann.

„Die EU hat einen Entwurf für eine europäische Norm entwickelt, der speziell auf die Anforderungen von Artikel 17 des Gesetzes eingeht, der Qualitätsmanagementsysteme (QMS) für Anbieter von KI-Dienstleistungen mit hohem Risiko vorschreibt: prEN 18286 „(Künstliche Intelligenz – Qualitätsmanagementsystem für regulatorische Zwecke des EU-KI-Gesetzes)“, erklärt er gegenüber IO.

„Organisationen mit einer bestehenden ISO 42001-Zertifizierung haben einen deutlichen Vorsprung bei der Einhaltung des EU-Gesetzes zur Bekämpfung von Krankheiten, da diese die operative Grundlage für prEN 18286 bildet. Aufgrund der Konformitätsvermutung können Organisationen, die prEN 18286 implementieren, davon ausgehen, dass sie die Verpflichtungen aus Artikel 17 erfüllen – darauf sollten sich die Unternehmen also konzentrieren.“

Ziel sollte nicht sein, bei Null anzufangen, sondern vielmehr bestehende relevante Kontroll- und Sicherungsmodelle auf den Bereich der KI auszuweiten, sagt Jones von PSE Consulting.

„Die Organisationen, die sich am erfolgreichsten anpassen werden, sind diejenigen, die vertrauenswürdige KI als operative Disziplin und nicht als reine Compliance-Übung behandeln“, schlussfolgert er. „Wenn Sie wissen, wo sich Ihre KI befindet, wem sie gehört und wie sie sich bei Fehlern verhält, haben Sie bereits einen Großteil der regulatorischen Ziele erreicht.“

Bei potenziellen Strafen wegen Nichteinhaltung von bis zu 15 Millionen Euro (13 Millionen Pfund) oder 3 % des weltweiten Jahresumsatzes gibt es keine Zeit zu verlieren.