Gilt das EU-Gesetz über künstliche Intelligenz auch für britische Unternehmen?
Ja, das EU-KI-Gesetz gilt für britische Unternehmen, wenn sie KI-Systeme auf dem EU-Markt anbieten oder die Ergebnisse ihrer KI-Systeme in der EU genutzt werden – unabhängig vom Sitz des Unternehmens. Diese extraterritoriale Geltung entspricht der DSGVO. Britische Unternehmen, die Kunden in der EU bedienen, müssen neben den branchenspezifischen KI-Vorschriften Großbritanniens auch die Bestimmungen des EU-KI-Gesetzes einhalten.
Kurz gesagt, der Brexit befreit britische Organisationen nicht von der Anwendung des EU-KI-Gesetzes. Wenn Ihr KI-Produkt in einem der 27 EU-Mitgliedstaaten genutzt, vermarktet wird oder Ergebnisse generiert, die dort konsumiert werden, fällt es unter dessen Geltungsbereich. Die praktische Frage ist nicht ob Sie fallen unter den Geltungsbereich, aber welche Es gelten Verpflichtungen und es wird erläutert, wie Sie die Einhaltung nachweisen können.
Eine vollständige Erläuterung des Gesetzes selbst finden Sie in unserem Zentrum zur Einhaltung des EU-KI-GesetzesDiese Seite konzentriert sich speziell auf die Anwendbarkeit im Vereinigten Königreich, die Verpflichtungen und wie diese aussehen sollen. ISO 42001 bietet britischen Organisationen einen strukturierten Weg zur Einhaltung der Vorschriften.
Wann reicht das EU-KI-Gesetz über die EU hinaus?
Artikel 2 des EU-Gesetzes über künstliche Intelligenz (EU AI Act) legt dessen Anwendungsbereich fest, und die extraterritorialen Auslöser sind weit gefasst. Ein britisches Unternehmen fällt unter das Gesetz, wenn eine der folgenden Bedingungen zutrifft:
- Sie sind ein Anbieter, der ein KI-System auf dem EU-Markt anbietet.Unabhängig davon, ob Sie in der EU ansässig sind: Wenn Ihr KI-Produkt oder Ihr allgemeines KI-Modell (GPAI) in der EU in Betrieb genommen oder Nutzern dort zugänglich gemacht wird, fallen Sie unter die Bestimmungen.
- Sie sind ein in der EU ansässiger Entsorger.oder ein Anbieter außerhalb der EU, dessen KI-Systemausgabe in der EU verwendet wird.
- Sie sind ein Importeur oder Händler Platzierung eines KI-Systems eines Drittanbieters auf dem EU-Markt aus Großbritannien.
- Sie sind ein Produkthersteller Die Platzierung eines KI-Systems auf dem EU-Markt zusammen mit Ihrem Produkt unter Ihrem eigenen Namen oder Ihrer eigenen Marke.
- Sie sind ein bevollmächtigter Vertreter eines in der EU ansässigen Anbieters, der nicht aus der EU stammt.
Der entscheidende Begriff lautet „Ausgaben, die in der Union verwendet werden“. Ein britisches SaaS-Unternehmen, dessen KI-Funktion von einem EU-Kunden genutzt wird oder dessen Modell Empfehlungen generiert, die von einem EU-Unternehmen verwendet werden, fällt in den Anwendungsbereich, selbst wenn es keine Niederlassung, keinen Server und keinen Mitarbeiter in der EU gibt.
Wie sich die extraterritoriale Reichweite im Vergleich zur DSGVO verhält
Britische Teams, die bereits mit dem extraterritorialen Geltungsbereich der DSGVO vertraut sind, werden das Muster wiedererkennen. Wo die DSGVO für Verantwortliche außerhalb der EU gilt, die Waren oder Dienstleistungen für EU-Bürger anbieten oder deren Verhalten überwachen, gilt das EU-KI-Gesetz für Anbieter und Anwender außerhalb der EU, deren KI-Systeme oder -Ergebnisse den EU-Markt berühren. Die praktische Lehre bleibt dieselbe: Nicht der Sitz des Unternehmens bestimmt den Geltungsbereich, sondern wo Ihre Nutzer und Ergebnisse eingesetzt werden.
Wie sehen die KI-Regeln Großbritanniens aus?
Großbritannien hat bewusst einen anderen Weg eingeschlagen. Anstelle eines einheitlichen, übergreifenden KI-Gesetzes legte das Weißbuch der britischen Regierung von 2023 mit dem Titel „Ein innovationsfreundlicher Ansatz zur KI-Regulierung“ einen branchenorientierten, prinzipienbasierten Rahmen vor. Dieser Ansatz stützt sich auf fünf branchenübergreifende Prinzipien:
- Sicherheit, Schutz und Robustheit
- Angemessene Transparenz und Erklärbarkeit
- Fairness
- Rechenschaftspflicht und Governance
- Anfechtbarkeit und Rechtsbehelf
Diese Prinzipien werden von den bestehenden britischen Regulierungsbehörden (ICO, FCA, Ofcom, CMA, MHRA u. a.) im Rahmen ihrer bestehenden Zuständigkeiten umgesetzt, anstatt durch eine neue gesetzliche KI-Behörde. Großbritannien hat außerdem das AI Safety Institute (heute AI Security Institute) zur Bewertung zukunftsweisender Modelle gegründet und gezielte Gesetze für die leistungsfähigsten Modelle angekündigt, wobei die übergeordneten Rahmenbedingungen weiterhin auf Prinzipien basieren.
Für britische Organisationen entsteht dadurch eine zweigleisige Realität:
- Aktivität nur für Großbritannien: Erwartungen der Branchenaufsichtsbehörden, geltendes Recht (Datenschutz, Gleichstellung, Verbraucherschutz, Produktsicherheit, Finanzdienstleistungen) und die branchenübergreifenden Grundsätze.
- EU-Marktaktivitäten: das vollständige Risikostufenregime des EU-KI-Gesetzes, zusätzlich zu den Verpflichtungen des Vereinigten Königreichs.
An KI-Governance-Programm Eine Lösung, die sich ausschließlich auf die Erwartungen Großbritanniens konzentriert, ist für Unternehmen mit EU-Bezug unzureichend. Ebenso verfehlt ein Projekt zum EU-KI-Gesetz, das die Erwartungen der britischen Regulierungsbehörden außer Acht lässt, einen wichtigen Aspekt für Organisationen mit Hauptsitz in Großbritannien. ISO 42001 vs. EU-KI-Gesetz Der Vergleich erklärt, wie ein einziges Managementsystem beides erfüllen kann.
Welche britischen Unternehmen müssen die EU-KI-Gesetzgebung einhalten?
Nicht jedes britische Unternehmen fällt automatisch unter das Gesetz. Es gilt für bestimmte Funktionen entlang der KI-Wertschöpfungskette. Britische Organisationen sollten den folgenden Test durchlaufen.
| Rolle gemäß dem EU-KI-Gesetz | Typisches Beispiel eines britischen Unternehmens | Im Geltungsbereich, wenn… |
|---|---|---|
| Provider | Britisches SaaS- oder KI-Produktunternehmen, das an EU-Kunden verkauft | Sie entwickeln ein KI-System oder ein GPAI-Modell und bringen es unter Ihrem eigenen Namen oder Ihrer eigenen Marke auf den EU-Markt oder setzen es in der EU ein. |
| Deployer | Ein britisches Unternehmen nutzt ein KI-System, dessen Ergebnisse Auswirkungen auf EU-Nutzer haben. | Sie nutzen ein KI-System, das unter Ihrer Aufsicht steht, und die Ergebnisse werden in der EU verwendet (z. B. zur Vorauswahl von EU-Bewerbern oder zur Bearbeitung von Anfragen von EU-Kunden). |
| Import | Britischer Wiederverkäufer bringt ein KI-Produkt von außerhalb der EU in die EU. | Sie bringen ein KI-System eines Anbieters außerhalb der EU auf den EU-Markt. |
| Vertriebspartner | Ein britischer Partner stellt ein KI-System in der EU-Lieferkette zur Verfügung. | Sie stellen ein KI-System auf dem EU-Markt zur Verfügung, ohne dessen Eigenschaften zu verändern. |
| Produkthersteller | Britischer Hersteller integriert KI in ein reguliertes Produkt (Medizinprodukt, Fahrzeugkomponente). | Sie bringen das Produkt mit dem KI-System unter Ihrem Namen auf dem EU-Markt auf den Markt. |
| Bevollmächtigter Vertreter | in der EU ansässige Einrichtung, die für einen britischen Anbieter tätig ist | Sie wurden formell von einem britischen Anbieter eines risikoreichen KI-Systems oder GPAI-Modells ernannt. |
Ein britisches Unternehmen kann mehrere Rollen einnehmen. Ein schnell wachsendes britisches Unternehmen, das sein eigenes Geschäftsmodell entwickelt, es in ein Produkt integriert und dieses auch weiterverkauft. Drittanbieter-KI Die Funktionen umfassen die gleichzeitige Rolle des Anbieters, Implementierers und gegebenenfalls des Distributors. Jede Rolle bringt ihre eigenen Verpflichtungen mit sich, weshalb eine klare Abgrenzung des Aufgabenbereichs der erste praktische Schritt ist.
Alles, was Sie für ISO 42001 brauchen
Strukturierte Inhalte, abgebildete Risiken und integrierte Workflows helfen Ihnen, KI verantwortungsvoll und sicher zu verwalten.
Welche zentralen Verpflichtungen ergeben sich aus dem EU-KI-Gesetz für britische Anbieter und Anwender?
Der EU-KI-Gesetzentwurf klassifiziert KI-Systeme nach Risiko: verboten, hohes Risiko, geringes Risiko und minimales Risiko. Für allgemeine KI-Modelle (GPAI) gilt eine separate Regelung. Die Verpflichtungen skalieren mit dem Risiko. Die strengsten Auflagen gelten für Anbieter von KI-Systemen mit hohem Risiko und Anbieter von GPAI-Modellen mit systemischem Risiko.
Pflichten der Anbieter
- Verbotene Praktiken (Artikel 5)Kein britischer Anbieter darf KI-Systeme auf dem EU-Markt in Verkehr bringen oder in Betrieb nehmen, die verbotene Techniken verwenden (z. B. das ungezielt gesammelte Auslesen von Gesichtsbildern zum Aufbau von Erkennungsdatenbanken, Social Scoring, die Erkennung bestimmter Emotionen an Arbeitsplätzen und Schulen).
- Hochrisiko-KI-Systeme (Kapitel III): Ein Risikomanagementsystem über den gesamten Lebenszyklus hinweg einrichten und pflegen, die Datengovernance für Trainings-, Validierungs- und Testdatensätze sicherstellen, technische Dokumentationen erstellen, automatische Protokolle führen, die menschliche Aufsicht gewährleisten, angemessene Genauigkeit, Robustheit und Cybersicherheit erreichen, das System in der EU-Datenbank registrieren, eine Konformitätsbewertung durchführen und die CE-Kennzeichnung anbringen.
- GPAI-Modelle: technische Dokumentation veröffentlichen, eine ausreichend detaillierte Zusammenfassung der Schulungsinhalte veröffentlichen, eine Urheberrechtsrichtlinie implementieren und, bei Modellen mit systemischem Risiko, Modellevaluierungen durchführen, systemische Risiken bewerten und mindern, schwerwiegende Vorfälle verfolgen und melden sowie den Schutz der Cybersicherheit gewährleisten.
- Transparenz (Artikel 50): Benutzer darüber zu informieren, wann sie mit einem KI-System interagieren, Deepfakes und KI-generierte Inhalte zu kennzeichnen und KI-generierte Texte zu Themen von öffentlichem Interesse zu markieren.
Pflichten der Entsendeten
- Hochrisiko-KI-Systeme dürfen nur gemäß der Gebrauchsanweisung verwendet werden.
- Die menschliche Aufsicht sollte kompetenten, geschulten Personen übertragen werden.
- Sicherstellen, dass die Eingangsdaten relevant und für den beabsichtigten Zweck ausreichend repräsentativ sind.
- Überwachen Sie den Betrieb des KI-Systems und informieren Sie den Anbieter und die Marktaufsichtsbehörde über schwerwiegende Vorfälle und Fehlfunktionen.
- Automatisch generierte Protokolle sollten mindestens sechs Monate lang aufbewahrt werden.
- Führen Sie gegebenenfalls eine Folgenabschätzung für die Grundrechte durch (bestimmte Anbieter im öffentlichen Sektor und bei Anbietern wesentlicher Dienstleistungen).
- Informieren Sie die Arbeitnehmervertreter und die betroffenen Arbeitnehmer, bevor Sie ein risikoreiches KI-System am Arbeitsplatz in Betrieb nehmen.
Diese Verpflichtungen lassen sich problemlos einem Managementsystem nach ISO-Normen zuordnen. Die Kontrollen gemäß Anhang A der ISO 42001 umfassen Daten-Governance, Lebenszykluskontrolle, Folgenabschätzung, menschliche Aufsicht, Beziehungen zu Dritten und die Information interessierter Parteien. Daher nutzen viele britische Organisationen die ISO 42001 als Grundlage ihrer Reaktion auf das EU-Gesetz zur künstlichen Intelligenz. Weitere Informationen finden Sie in unserem vollständigen Dokument. Anhang A-Kontrollen Weitere Details finden Sie in der Referenz.
Wann tritt das EU-KI-Gesetz in Kraft?
Das EU-Gesetz zur Bekämpfung von KI trat am 1. August 2024 in Kraft, seine Verpflichtungen gelten jedoch schrittweise. Britische Organisationen sollten ihre Planung an den folgenden Meilensteinen ausrichten.
| Verpflichtung aus dem EU-KI-Gesetz | Datum des Inkrafttretens | Für wen gilt es? | Auswirkungen auf Großbritannien |
|---|---|---|---|
| Verbotene Praktiken (Artikel 5) und Verpflichtungen zur KI-Kompetenz (Artikel 4) | 2 Februar 2025 | Alle Anbieter und Implementierer mit EU-Bezug | Britische Anbieter müssen verbotene Anwendungsfälle unverzüglich aus ihren EU-Produkten entfernen und sicherstellen, dass ihre Mitarbeiter über angemessene KI-Kenntnisse verfügen. |
| Verpflichtungen und Governance-Regeln für das Modell der allgemeinen KI (GPAI) | 2 August 2025 | Anbieter von GPAI-Modellen auf dem EU-Markt | Britische KI-Labore und Anbieter von Basismodellen müssen technische Dokumentationen, Zusammenfassungen der Trainingsdaten und Urheberrechtsrichtlinien für in der EU verfügbare Modelle veröffentlichen. |
| Verpflichtungen für KI-Systeme mit hohem Risiko (Anhang III-Systeme), Strafen und benannte Stellen | 2 August 2026 | Anbieter und Anwender von risikoreichen KI-Systemen | Britische Anbieter von Hochrisikosystemen (Personalbeschaffung, Kreditwürdigkeitsprüfung, grundlegende Dienstleistungen, Unterstützung der Strafverfolgungsbehörden und ähnliches) müssen eine Konformitätsbewertung durchführen, bevor sie ihre Systeme auf dem EU-Markt in Verkehr bringen dürfen. |
| Vollständiger Antrag, einschließlich risikoreicher KI, die in regulierte Produkte eingebettet ist (Anhang I) | 2 August 2027 | Anbieter von in Produkte eingebetteter KI, die unter die EU-Harmonisierungsgesetzgebung fallen. | Britische Hersteller von regulierten Produkten (Medizinprodukte, Maschinen, Spielzeug, Fahrzeuge) mit KI-Komponenten müssen neben der bestehenden CE-Kennzeichnung auch die Anforderungen des EU-KI-Gesetzes erfüllen. |
Die zeitliche Abfolge ist für die Planung im Vereinigten Königreich von Bedeutung. Verbotene Praktiken und die Anforderungen an KI-Kompetenz gelten bereits. Die GPAI-Verpflichtungen gelten für Anbieter von Basismodellen. Verpflichtungen für risikoreiche Anwendungen treten im August 2026 in Kraft, was die praktische Frist für die meisten kommerziellen KI-Produkte darstellt, die sich an EU-Kunden richten. Ein Warten bis 2027 ist keine Option. Weitere Informationen zu den einzelnen Phasen finden Sie in unserem Leitfaden. Alles, was Sie über den EU-KI-Gesetzentwurf wissen müssen.
Wie hilft ISO 42001 britischen Unternehmen bei der Einhaltung des EU-Gesetzes zur künstlichen Intelligenz?
ISO/IEC 42001:2023 ist der erste internationale Standard für KI-Managementsysteme. Er ist länderneutral und basiert auf 10 Klauseln mit Anforderungen an Managementsysteme, 38 Kontrollen in Anhang A in 9 Kontrollbereichen, normativen Umsetzungshinweisen in Anhang B und der Zuordnung zu anderen Rahmenwerken, einschließlich des EU-KI-Gesetzes, in Anhang D.
Für britische Unternehmen, die sowohl den Erwartungen der britischen Aufsichtsbehörden als auch dem EU-Gesetz über künstliche Intelligenz unterliegen, bietet ISO 42001 einen einheitlichen Kontrollrahmen, der beiden Anforderungen gerecht wird. Die Überschneidungen sind beträchtlich:
- KI-Politik und -GovernanceISO 42001, Abschnitt 5.2 und Anhang A.2 fordern eine dokumentierte KI-Richtlinie sowie klar definierte Rollen und Verantwortlichkeiten. Dies belegt die Rechenschaftspflichterwartungen Großbritanniens und die Governance-Anforderungen des EU-KI-Gesetzes.
- Risikomanagement: Klausel 6.1.2 erfordert eine KI-Risikomanagement Dieser Prozess entspricht direkt dem Risikomanagementsystem, das gemäß Artikel 9 des EU-KI-Gesetzes für Hochrisikosysteme vorgeschrieben ist.
- Bewertung der Auswirkungen von KI-SystemenKlausel 6.1.4 und Anhang A.5 schreiben Folgenabschätzungen vor. Dies bildet die Grundlage für die von bestimmten Anwendern geforderten Folgenabschätzungen hinsichtlich der Grundrechte.
- DatenamtAnhang A.7 befasst sich mit Datenerfassung, -qualität, -herkunft und -aufbereitung. Dies entspricht den Anforderungen an die Datengovernance gemäß Artikel 10 des EU-Gesetzes über künstliche Intelligenz.
- KI-LebenszykluskontrollenAnhang A.6 behandelt Ziele, Design, Entwicklung, Einsatz, Betrieb und Validierung. Er bildet die Grundlage für die in den Artikeln 11 bis 15 enthaltenen Verpflichtungen zur technischen Dokumentation, Protokollierung, Genauigkeit und Robustheit.
- Transparenz und InformationAnhang A.8 enthält Informationen für interessierte Parteien. Dies unterstützt die Transparenzanforderungen gemäß Artikel 13 und Artikel 50.
- Drittanbieter- und LieferantenmanagementAnhang A.10 befasst sich mit Lieferantenbeziehungen. Dies ist unerlässlich für Anwender, die KI-Systeme von Drittanbietern in EU-orientierte Dienste integrieren.
- Menschliche Aufsicht und verantwortungsvoller UmgangAnhang A.9 über die Nutzung von KI-Systemen unterstützt die in Artikel 14 festgelegten menschlichen Aufsichtspflichten.
Ein nach ISO 42001 zertifiziertes Unternehmen KI-Managementsystem (AIMS) Die alleinige Erstellung einer Konformitätsbewertung nach dem EU-KI-Gesetz ist nicht ausreichend. Sie liefert jedoch das zugrundeliegende Managementsystem, die Kontrollen und die Nachweise, die eine Konformitätsbewertung nachweisbar machen. Es ist zu erwarten, dass die benannten Stellen und Marktüberwachungsbehörden der EU ein robustes ISO 42001-KI-Managementsystem als starken Beleg für die Reife der KI-Governance einer Organisation anerkennen werden.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Wie ISMS.online die KI-Konformität in Großbritannien und der EU auf einer Plattform abbildet
ISMS.online Bietet britischen Organisationen einen zentralen Arbeitsbereich, um ISO 42001 anzuwenden, die Verpflichtungen des EU-KI-Gesetzes zu erfüllen und die Erwartungen der britischen Aufsichtsbehörden zu erfüllen, ohne drei parallele Programme führen zu müssen. Zu den wichtigsten Funktionen für die zweigleisige Realität in Großbritannien und der EU gehören:
- Vorkonfigurierte AIMS. Ein funktionsfähiges KI-Managementsystem, das auf die 10 Klauseln der ISO 42001 abgestimmt ist und ab dem ersten Tag an Ihren Anwendungsbereich in Großbritannien und der EU angepasst werden kann.
- Rollenbasierte Abgrenzung. Erfassen Sie Ihre Rollen gemäß dem EU AI Act (Anbieter, Implementierer, Importeur, Vertriebshändler) pro KI-System, damit die Verpflichtungen der richtigen Stelle zugeordnet werden.
- KI-Risikoregister und Instrumente zur Folgenabschätzung. Spezielle Register für Klausel 6.1.2 KI-Risiken und Klausel 6.1.4 Folgenabschätzung von KI-Systemen, strukturiert, um gegebenenfalls die Risikomanagement- und Grundrechtsfolgenabschätzungen gemäß Artikel 9 des EU-KI-Gesetzes nachzuweisen.
- Richtlinienpakete, die auf Anhang A.2 abgestimmt sind. Vorentwurf KI-Politik Vorlagen mit Versionskontrolle, Genehmigungsworkflows und Benutzerbestätigungen, damit Richtlinien nachweislich aktiv sind.
- Ersteller von Anwendbarkeitserklärungen. Pflegen Sie eine aktuelle Anwendbarkeitserklärung für alle 38 Kontrollen gemäß Anhang A mit Querverweisen zu Artikeln des EU-Gesetzes über künstliche Intelligenz und den Erwartungen der britischen Aufsichtsbehörden.
- Auditmanagement. Planen und führen Sie interne Audits (Abschnitt 9.2) durch, die sich an ISO 42001, dem EU-Gesetz zur Bekämpfung der Autonomie und den britischen Prinzipien orientieren, wobei die Ergebnisse mit Korrekturmaßnahmen verknüpft werden.
- Integration mehrerer Standards. Gemeinsame Risiko-, Nachweis- und Richtliniendaten mit ISO 27001 und anderen Standards, die Sie bereits anwenden, sodass die KI-Governance als Erweiterung Ihres bestehenden Managementsystems und nicht als separates Projekt implementiert wird.
Das Ergebnis ist, dass die Antwort auf die Frage eines EU-Kunden, wie Sie Artikel 9, 10 oder 14 umsetzen, oder auf die Frage einer britischen Aufsichtsbehörde, wie Sie Fairness, Rechenschaftspflicht und menschliche Aufsicht nachweisen, in einer einzigen detaillierten Abfrage auf einer einzigen Plattform liegt – und nicht in der aufwendigen Datenerhebung über fünf verschiedene Tools. Siehe unsere Implementierungsanleitung für den gesamten Adoptionsprozess.
Warum sollten Sie ISMS.online für die Einhaltung des EU-KI-Gesetzes wählen?
ISMS.online Es wurde entwickelt, um britischen Organisationen einen praktischen Weg durch das EU-KI-Gesetz zu bieten, basierend auf ISO 42001, ohne dabei Tabellenkalkulationen und generische GRC-Tools zusammenfügen zu müssen. Das erhalten Sie:
- Ein funktionierendes AIMS vom ersten Tag an. Vorkonfiguriertes Framework, das alle 10 Klauseln und 38 abdeckt Anhang A-KontrollenIhr Team beginnt also eher mit der Anpassung bestehender Lösungen, anstatt von Grund auf neu zu entwerfen.
- Klare EU-Rollendefinition. Erfassen Sie den Status des Anbieters, Implementierers, Importeurs und Distributors pro KI-System, damit die Verpflichtungen gemäß dem EU-KI-Gesetz von Anfang an korrekt zugeordnet werden.
- KI-spezifische Risiko- und Wirkungsanalyse-Tools. Spezielle Register für die Bewertung von KI-Risiken und den Auswirkungen von KI-Systemen, mit Bewertungskriterien, Behandlungsplänen und Überprüfungszyklen, die sowohl den Anforderungen der ISO 42001 als auch dem EU-KI-Gesetz entsprechen.
- Richtlinienbibliothek mit Adoptionsverfolgung. Vorgefertigte KI-Richtlinien mit Genehmigungsworkflows, Benutzerbestätigungen und Echtzeit-Berichterstattung über die Anwendung, sodass die Richtlinien sowohl für britische Regulierungsbehörden als auch für EU-Marktüberwachungsbehörden nachweislich aktuell sind.
- Gemeinsam genutzte Daten auf mehreren Standards. Eine Plattform für ISO 42001, ISO 27001 und mehr, mit gemeinsamen Risiken, Kontrollen und Nachweisen, damit Sie Doppelarbeit für Organisationen vermeiden, die mehrere Managementsysteme betreiben.
- Methode mit gesicherten Ergebnissen. Ein bewährter Implementierungsansatz, der Hunderten von Organisationen geholfen hat, die Zertifizierung beim ersten Mal zu erreichen, unterstützt durch Onboarding, Einführungshilfe und persönliche Unterstützung.
- Support mit Sitz in Großbritannien. Ein britisches Team, das sowohl die Erwartungen der britischen Regulierungsbehörden als auch die Verpflichtungen des EU-Marktes versteht und bei schwierigen Fragen zur Abgrenzung direkt mit Rat und Tat zur Seite steht.
Bereit, die Plattform in Aktion zu sehen? Kontakt.
FAQs
Gilt das EU-Gesetz über künstliche Intelligenz auch für britische Unternehmen ohne EU-Niederlassung?
Ja, wenn das KI-System auf dem EU-Markt angeboten, in der EU in Betrieb genommen oder dessen Ergebnisse in der EU genutzt werden. Auch ein britisches SaaS-Unternehmen ohne Niederlassung, Mitarbeiter oder Server in der EU fällt unter die Bestimmungen, wenn EU-Kunden die KI-Funktion nutzen oder deren Ergebnisse verwenden. Maßgeblich ist der Ort, an dem das KI-System oder dessen Ergebnisse zum Einsatz kommen, nicht der Sitz des Unternehmens.
Gibt es in Großbritannien ein Äquivalent zum EU-Gesetz über künstliche Intelligenz?
Nicht als einheitliches, übergreifendes Gesetz. Großbritannien verfolgt einen innovationsfreundlichen, prinzipienbasierten und branchenorientierten Ansatz, wobei branchenübergreifende Prinzipien (Sicherheit, Transparenz, Fairness, Rechenschaftspflicht, Wettbewerbsfähigkeit) von den bestehenden Regulierungsbehörden umgesetzt werden. Die Regierung hat gezielte Gesetze für die vielversprechendsten Modelle angekündigt. Derzeit sind die KI-Verpflichtungen Großbritanniens in bestehendes Recht (Datenschutz, Gleichstellung, Produktsicherheit, Finanzdienstleistungen) und in die Leitlinien der Regulierungsbehörden eingebettet und nicht in einem separaten KI-Gesetz verankert.
Wann müssen britische Unternehmen das EU-KI-Gesetz einhalten?
Die Verpflichtungen gelten stufenweise. Verbotene Praktiken und Anforderungen an KI-Kompetenz gelten seit dem 2. Februar 2025. Verpflichtungen für allgemeine KI-Modelle gelten ab dem 2. August 2025. Verpflichtungen für KI-Systeme mit hohem Risiko gelten ab dem 2. August 2026. Die vollständige Anwendung, einschließlich in regulierte Produkte eingebetteter KI, gilt ab dem 2. August 2027. Britische Unternehmen sollten August 2026 als Stichtag für die meisten kommerziellen KI-Produkte betrachten, die sich an EU-Kunden richten.
Bedeutet die ISO 42001-Zertifizierung, dass wir die EU-KI-Gesetzgebung einhalten?
Nicht automatisch. Die ISO 42001-Zertifizierung belegt, dass Sie über ein ausgereiftes KI-Managementsystem verfügen, das Governance, Risikomanagement, Lebenszyklusmanagement, Daten, Transparenz und Aufsicht abdeckt. Sie liefert überzeugende Belege für eine effektive KI-Governance in Ihrem Unternehmen und orientiert sich eng an der EU-KI-Gesetzgebung. Diese schreibt jedoch zusätzlich zum Managementsystem spezifische Konformitätsbewertungen auf Produktebene und Registrierungen für Hochrisikosysteme vor. Ein zertifiziertes ISO 42001-KI-Managementsystem macht diese Konformitätsbewertungen nachweisbar und nicht nur zu einem angestrebten Ziel.
Fallen britische Anbieter von KI-Tools von Drittanbietern unter das EU-KI-Gesetz?
Ja, wenn die Ergebnisse des KI-Systems in der EU verwendet werden. Ein britisches Unternehmen, das ein KI-Tool eines Drittanbieters zur Vorauswahl von EU-Bewerbern, zur Produktempfehlung an EU-Verbraucher oder zur Bearbeitung von Kundenanfragen aus der EU einsetzt, gilt gemäß dem Gesetz als Anwender. Die Pflichten von Anwendern sind weniger umfangreich als die von Anbietern, umfassen aber dennoch die Befolgung der Gebrauchsanweisung, die Gewährleistung menschlicher Aufsicht, die Überwachung des Betriebs, die Aufbewahrung von Protokollen und (in einigen Fällen) die Durchführung einer Folgenabschätzung hinsichtlich der Grundrechte.
Welche Strafen drohen britischen Unternehmen, die gegen das EU-Gesetz zur Bekämpfung von KI verstoßen?
Die Strafen sind gestaffelt und erheblich. Verstöße gegen verbotene KI-Praktiken können mit Geldbußen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Die Nichteinhaltung der meisten anderen Verpflichtungen (Anforderungen an Hochrisikosysteme, Transparenz usw.) kann Geldbußen von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes nach sich ziehen. Die Angabe falscher oder irreführender Informationen gegenüber Behörden kann Geldbußen von bis zu 7.5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes nach sich ziehen. Für KMU und Start-ups gilt der niedrigere der beiden Beträge. Die Eintragung eines Unternehmens in Großbritannien schützt ein Unternehmen nicht vor diesen Strafen, sofern das Gesetz Anwendung findet.
Wie sollte sich ein britisches Unternehmen auf die Einhaltung des EU-Gesetzes zur künstlichen Intelligenz vorbereiten?
Beginnen Sie mit einer Bestandsaufnahme: Listen Sie alle KI-Systeme auf, die Sie entwickeln, einsetzen, importieren oder vertreiben, und identifizieren Sie diejenigen mit EU-Risiko. Bestimmen Sie für jedes System Ihre Rolle (Anbieter, Implementierer, Importeur, Distributor) und die Risikostufe (verboten, hohes Risiko, begrenztes Risiko, minimales Risiko oder GPAI). Implementieren Sie anschließend ein KI-Managementsystem nach ISO 42001 als Grundlage, um Governance, Risikomanagement, Datenmanagement, Lebenszyklusmanagement, Transparenz und Aufsicht in einem einheitlichen Rahmenwerk zu verwalten. ISMS.online Sie erhalten ein vorkonfiguriertes AIMS, die benötigten Register und Richtlinien sowie einen Weg zur ISO 42001-Zertifizierung, die gleichzeitig als Nachweis Ihrer Bereitschaft zur Umsetzung des EU-AI-Gesetzes dient.
