Zugegeben: Es fällt nicht immer leicht, beim EU Act zur Künstlichen Intelligenz den Überblick zu behalten. Nachdem die KI-Verordnung der Europäischen Union 2024 als weltweit erstes Regelwerk für den Einsatz von KI in Kraft getreten ist, wird sie schrittweise umgesetzt. Die Implementierung der zweiten Stufe startete im Februar 2025 und wurde Anfang August dieses Jahres fortgesetzt. Doch wer ist davon betroffen? Und welche Folgen hat der EU AI Act für Unternehmen und Nutzer?
GP-Modelle stehen besonders im Fokus
„Der AI Act gilt für jegliche Akteure innerhalb und außerhalb der EU, die ein KI- System in der Europäischen Union auf den Markt bringen und dessen Verwendung Auswirkungen auf EU-Bürgerinnen und -Bürger hat“, erklärt Patricia Baron, Juristin in der Schadenabteilung bei Hiscox Deutschland. „Das heißt: In Anbetracht der breiten Anwendungsbereiche von KI nimmt der AI Act jegliche Akteure entlang der Wertschöpfungskette in die Verantwortung, wenn auch in unterschiedlichem Maß.“
Betroffen sind also – einfach ausgedrückt – alle Unternehmen, die in der Europäischen Union Künstliche Intelligenz einsetzen, vertreiben oder entwickeln. Die Umsetzung der zweiten Stufe des EU Acts ist nun besonders relevant für Anbieter und Nutzer von so genannten GP-Modellen, also KI-Modellen für allgemeine Zwecke (General Purpose GP), etwa ChatGPT und ähnliche. „Sie betrifft zum Beispiel alle Firmen, die GP-Modelle in Dienstleistungen integrieren“, so Hiscox-Expertin Patricia Baron. „Grundsätzlich unterliegen alle Anbieter von sogenannten GPAI-Modellen seit dem 2. August speziellen Pflichten.“ Insbesondere müssen sie:
+ technische Dokumentationen aktuell halten
+ Mitarbeitende in der KI-Nutzung schulen und Informationen zu Trainingsdaten offenlegen
+ das EU-Urheberrecht einhalten
+ ein Mitteilungssystem für schwere Zwischenfälle einrichten.
AI Act legt vier Risikokategorien fest
Ebenfalls wichtig: Der EU AI Act unterteilt KI-Systeme in vier Risikokategorien: Systeme, die ein unvertretbares Risiko darstellen (etwa zur Massenüberwachung), sind komplett verboten. Solche mit hohem Risiko (zum Beispiel im Gesundheitswesen und Finanzsektor) werden streng reguliert, für Systeme mit begrenztem Risiko (Chatbots & Co.) gelten besondere Transparenzanforderungen. Kaum reguliert sind KI-Anwendungen mit minimalem Risiko wie etwa Spam-Filter. „Daraus ergeben sich spezielle Anforderungen an Unternehmen“, erklärt Patricia Baron. „So müssen sie zum Beispiel regelmäßige Risikobewertungen durchführen und sicherstellen, dass KI- Modelle auf unvoreingenommenen Daten basieren.“
Außerdem gelten neue Vorschriften zur Organisation und zu internen Abläufen. Bei schwerwiegenden Vorfällen besteht eine Meldepflicht gegenüber den zuständigen Behörden.
Bei Verstößen drohen Strafen in Millionenhöhe
Trotz der Vielzahl und der Komplexität der Vorschriften sollten Unternehmen die Befolgung des EU AI Acts keinesfalls auf die leichte Schulter nehmen. Verstöße können mit Strafen in Höhe von bis zu 7 Prozent des globalen Jahresumsatzes oder 35 Millionen Euro belegt werden. Fachleute raten deshalb dringend zu einer aktuellen Bestandsaufnahme der im Betrieb eingesetzten KI. Besonderes Augenmerk sollte dabei darauf gelegt werden, in welche Risikokategorie einzelne KI-Systeme fallen und welche Pflichten sich daraus ergeben.
Dennoch: Bei aller Sorgfalt bleibt angesichts der komplizierten Rechtslage immer ein Restrisiko, das durch eine passende Versicherung abgedeckt werden sollte. Bei Hiscox sind Ansprüche Dritter aus dem Nutzen oder dem Bereitstellen von KI-Anwendungen automatisch im Rahmen der Berufs- und Vermögensschadenhaftpflicht mitversichert. Diese Policen beinhalten eine offene Deckung, so dass KI-Risiken abgedeckt sind, auch wenn sie nicht ausdrücklich im Bedingungswerk genannt werden. Unternehmen und Freelancer sind damit also im Rahmen der Versicherungsbedingungen optimal geschützt.
Checkliste für Ihr Kundengespräch:
Wie vermeiden Unternehmen, wegen KI-Risiken zu haften?
Rechtliche Abklärung: Rechte und Pflichten beim Umgang mit KI-Systemen/Verantwortung für KI-Ergebnisse bei Vertragsgestaltung beachten
Dokumentation der KI-Systeme und des KI-Anwendungsbereiches
Sicherstellung von KI-Fachwissen im Unternehmen, insbesondere durch Schulungen der Mitarbeiter
Kontrolle über das „KI-Output“ sicherstellen
Überprüfung des eigenen Compliance-Systems
Überprüfung des Versicherungsschutzes
Die IT-Infrastruktur von Unternehmen sollte solide aufgestellt sein und insbesondere vor Angriffen von außen geschützt sein (Stichwort: Cyberangriffe)
Regelmäßige Risikoanalysen durchführen, um potenzielle Haftungsrisiken frühzeitig zu erkennen und durch geeignete Maßnahmen zu minimieren
.png?w=303&h=208&fit=crop-38-36-1)
.jpg?w=303&h=208&fit=crop-43-23-1)
.jpg?w=303&h=208&fit=crop-50-44-1)
.jpg?w=303&h=208&fit=crop-49-38-1)