Die Frist für die verpflichtende Einhaltung der EU-KI-Vorschriften für risikoreiche KI vom 2. August 2026 wurde verschoben. Maßnahmen im neu verabschiedeten Gesetz EU Digital Omnibus Im Fall von KI werden bestimmte Anforderungen bis zum 2. Dezember 2027 und andere bis zum 2. August 2028 verschoben.
Die Europäische Kommission gab bekannt, dass der neue Zeitplan für die Umsetzung der Regeln für Hochrisikosysteme „die Umsetzung des KI-Gesetzes für europäische Unternehmen erleichtern und gleichzeitig Vorteile für die europäische Gesellschaft, die Sicherheit und die Grundrechte gewährleisten wird.“
Welche Verpflichtungen haben sich im Rahmen des Digital Omnibus geändert, welche sind gleich geblieben, und wie können Organisationen die Einhaltung vor den neuen Fristen sicherstellen?
Was ändert das Digital Omnibus?
Das Digital Omnibus enthält gezielte Vereinfachungsmaßnahmen des EU-KI-Gesetzes, darunter:
- Die für KMU gewährten regulatorischen Vereinfachungen sollen auf kleine und mittlere Unternehmen ausgeweitet werden, einschließlich vereinfachter technischer Dokumentation und besonderer Berücksichtigung bei der Anwendung von Strafen.
- Aufhebung der Vorschrift eines harmonisierten Überwachungsplans nach dem Inverkehrbringen
- Die Registrierungspflicht für Anbieter von KI-Systemen, die in Hochrisikobereichen eingesetzt werden, für die der Anbieter jedoch festgestellt hat, dass sie kein Hochrisiko darstellen, da sie nur für eng begrenzte oder prozedurale Aufgaben verwendet werden, soll reduziert werden.
- Die Genehmigung für KI-Anbieter und -Anwender, besondere Kategorien personenbezogener Daten zu verarbeiten, um algorithmische Verzerrungen zu erkennen und zu korrigieren.
- Eine breitere Nutzung von KI-Regulierungs-Sandboxes und realen Tests sowie die Förderung einer EU-weiten KI-Regulierungs-Sandbox, die das KI-Büro ab 2028 einrichten wird.
- Gezielte Änderungen zur Verdeutlichung des Zusammenspiels zwischen dem EU-KI-Gesetz und anderen EU-Rechtsvorschriften sowie zur Anpassung der Verfahren des Gesetzes, um dessen Umsetzung und Funktionsweise insgesamt zu verbessern.
Die Kommission erarbeitet zudem weitere Leitlinien, um die Einhaltung des EU-Gesetzes zur künstlichen Intelligenz (EU-KI-Gesetz) zu erleichtern. Diese Leitlinien sollen klare und praxisnahe Anweisungen für die parallele Anwendung des KI-Gesetzes und anderer EU-Rechtsvorschriften bieten. Die neuen Anwendungsfristen werden die jeweiligen Fristen an die Verfügbarkeit dieser Leitlinien koppeln.
Einhaltung der Transparenzverpflichtungen gemäß EU-KI-Gesetz
Ein kürzlich veröffentlichtes Verhaltenskodex zur Transparenz KI-generierter Inhalte Dieser Kodex behandelt wichtige Aspekte für Anbieter und Anwender von KI-Systemen, die Inhalte generieren, welche unter Artikel 50 des Gesetzes (Transparenzpflichten für Anbieter und Anwender bestimmter KI-Systeme) fallen. Er soll Organisationen dabei unterstützen, die Einhaltung der Vorschriften nachzuweisen, stellt aber selbst keinen endgültigen Beweis für die Erfüllung der Verpflichtungen dar.
Gemäß den künftigen Anforderungen müssen Anbieter von KI-Systemen, die direkt mit Nutzern interagieren sollen, diese Systeme so gestalten, dass die Nutzer darüber informiert werden, dass sie mit einem KI-System interagieren. Beispielsweise sollte ein Kundensupport-Chatbot den Nutzern mitteilen, dass es sich um einen Chatbot handelt.
Darüber hinaus legt der Verhaltenskodex für Transparenz KI-generierter Inhalte spezifische Anforderungen an KI-Systeme fest, die synthetische Texte, Bilder, Videos, Audiodateien oder eine Kombination dieser Formate erzeugen. Anbieter und Anwender dieser Systeme müssen maschinenlesbare Formate verwenden, um die Ausgaben als KI-generiert oder -manipuliert zu kennzeichnen. Es gelten spezifische Regeln für die Kennzeichnung von KI-generierten oder -manipulierten Deepfakes und veröffentlichten Texten zu Themen von öffentlichem Interesse.
Bestehende Anforderungen an KI-Systeme mit hohem Risiko
KI-Systeme gelten gemäß dem EU-KI-Gesetz als risikoreich, wenn sie eine erhebliche Bedrohung für die Gesundheit, die Sicherheit oder die Grundrechte darstellen oder in Bereichen wie Biometrie, Bildung, Beschäftigung oder kritischer Infrastruktur eingesetzt werden.
Systeme, die als Hochrisikosysteme eingestuft werden, müssen spezifische Anforderungen erfüllen:
Risikomanagement: Es muss ein kontinuierliches Risikomanagementsystem implementiert werden, um die KI während ihres gesamten Lebenszyklus zu überwachen.
Datenamt: Es müssen Verfahren zur Daten-Governance eingeführt werden, um sicherzustellen, dass die Daten für Schulung, Validierung und Test bestimmte Qualitätskriterien erfüllen.
Technische Dokumentation: Anbieter von KI-Systemen mit hohem Risiko müssen eine umfassende technische Dokumentation des Systems führen, einschließlich Designspezifikationen, Fähigkeiten, Einschränkungen und Maßnahmen zur Einhaltung gesetzlicher Vorschriften.
Aufzeichnungen: Hochrisiko-KI-Systeme müssen Ereignisse automatisch protokollieren, um Verantwortlichkeit und Nachvollziehbarkeit zu gewährleisten.
Menschliche Aufsicht: Hochrisiko-KI-Systeme müssen so konzipiert sein, dass sie von Menschen überwacht werden können, um Risiken für Gesundheit, Sicherheit und Grundrechte zu minimieren. Maßnahmen zur menschlichen Überwachung können vom Anbieter in das System integriert oder vom Nutzer implementiert werden.
Genauigkeit, Robustheit und Cybersicherheit: Hochrisiko-KI-Systeme müssen so konzipiert und entwickelt werden, dass sie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen.
Konformitätsbewertungen: Hochrisiko-KI-Systeme müssen Konformitätsbewertungen unterzogen werden, um sicherzustellen, dass sie die rechtlichen, technischen und ethischen Standards erfüllen, bevor sie auf den Markt gebracht oder in Betrieb genommen werden.
Anmeldung: Anbieter von KI-Systemen mit hohem Risiko müssen sich und ihre Systeme in einer zentralen EU-Datenbank registrieren, bevor sie ihre Systeme auf den Markt bringen oder in Betrieb nehmen dürfen.
CE Kennzeichnung: Hochrisiko-KI-Systeme müssen die CE-Kennzeichnung tragen, um zu bestätigen, dass das Produkt den EU-Sicherheitsstandards entspricht. Die Kennzeichnung muss gut sichtbar sein. Kann die CE-Kennzeichnung nicht physisch am System angebracht werden, muss sie auf der Verpackung oder in der Dokumentation enthalten sein.
Die EU-KI-Gesetzgebung mit ISO 42001 richtig umsetzen
Für alle Anbieter oder Anwender von risikoreichen KI-Systemen, die gerade erst beginnen, ihren Verpflichtungen gemäß dem Gesetz nachzukommen, bietet der neue Zeitplan eine verlängerte Schonfrist, um einen intelligenten, strukturierten Ansatz für die KI-Governance zu verankern.
Dabei steht: ISO 42001 Die Norm bietet einen Rahmen für bewährte Verfahren. Viele ihrer Anforderungen decken sich mit denen des EU-Gesetzes über künstliche Intelligenz: Risikoklassifizierung, Transparenzmaßnahmen, Verantwortlichkeitsstrukturen und menschliche Aufsicht. Die Einhaltung der ISO 42001 garantiert jedoch nicht die Einhaltung des EU-Gesetzes über künstliche Intelligenz und umgekehrt.
Die Norm ISO 42001 bietet einen logischen Ansatz für die KI-Governance und ermöglicht es Organisationen, ein ethisches und nachhaltiges KI-Managementsystem (KIMS) aufzubauen. Durch die Implementierung von ISO 42001 können Organisationen sicherstellen, dass KI-Systeme so entwickelt, implementiert und genutzt werden, dass Sicherheit, Transparenz und Verantwortlichkeit – allesamt zentrale Prinzipien des Gesetzes – Priorität haben.
Durch die Verwendung des ISO 42001-Rahmenwerks und dessen Abstimmung auf die Anforderungen des EU-KI-Gesetzes können Anbieter und Anwender von risikoreichen KI-Systemen eine robuste Governance implementieren und Anforderungen des Gesetzes, die nicht unter den Anwendungsbereich von ISO 42001 fallen, proaktiv angehen, um die Einhaltung vor der Frist 2027 sicherzustellen.
Erweitern Sie Ihr Wissen
Webinar: ISO 42001 in der Praxis: Lehren aus einer der weltweit ersten ISO 42001-Zertifizierungen
