EU AI Act als Gamechanger: So machen Sie Ihr Unternehmen in 5 Schritten fit für die Zukunft
- 6 Minuten Lesezeit

Mit dem Inkrafttreten der KI-Verordnung (EU AI Act) im Februar müssen Unternehmen, die Künstliche Intelligenz (KI) entwickeln oder einsetzen, neue regulatorische Anforderungen beachten. Insbesondere für kleine und mittlere Unternehmen (KMU) bedeutet dies, interne Prozesse und die Nutzung von KI-Systemen anzupassen. Dieser Artikel zeigt, wie Sie diese Anforderungen erfüllen und Ihre KI-Projekte rechtssicher gestalten.
Worum geht es beim EU AI Act?
Der EU AI Act ist eine Verordnung, die einen risikobasierten Ansatz verfolgt. KI-Systeme werden in vier Risikoklassen eingeteilt: minimale, begrenzte, hohe und inakzeptable Risiken. Jede Kategorie hat unterschiedliche Anforderungen. Hochrisiko-KI-Systeme – etwa solche, die im Personalmanagement oder in kritischen Infrastrukturen eingesetzt werden – unterliegen strengen Dokumentations- und Konformitätsprüfungen.
Wie erfolgt die Klassifizierung von KI-Systemen?
Der erste Schritt bei der Analyse eines KI-Systems ist die Einordnung in eine Risikokategorie. Die Klassifizierung basiert auf dem vorgesehenen Zweck des Systems und den potenziellen Risiken für Einzelpersonen und Gesellschaft. Anbieter müssen:
Die Zweckbestimmung dokumentieren: Definieren Sie den vorgesehenen Einsatzbereich klar und eindeutig.
Funktionen des Systems analysieren: Prüfen Sie, ob das System verbotene Funktionen gemäß Art. 5 des EU AI Acts aufweist (z. B. manipulative Techniken oder Echtzeit-Biometrieüberwachung).
Risikoklasse bestimmen: Basierend auf Anhang III des EU AI Acts wird festgelegt, ob das System als Hochrisiko-KI eingestuft wird. Bereiche wie Gesundheitswesen, Personalmanagement oder kritische Infrastruktur führen oft zu einer solchen Einstufung.
Neue Pflichten ab Februar: Fokus auf Schulung und Transparenz
Ein zentraler Aspekt der neuen Vorschriften ist die Einführung und der Nachweis eines verpflichtenden „KI-Basis-Kompetenz-Trainings“ für Mitarbeitende, die KI-Systeme betreiben oder entwickeln. Dieses Training soll sicherstellen, dass Anwender die Funktionsweise und potenziellen Risiken der eingesetzten KI verstehen. Die Schulung umfasst Themen wie:
Grundlagen der KI: Aufbau und Funktionsweise von KI-Systemen.
Regulatorische Anforderungen: Einhaltung der Transparenz- und Sicherheitsvorgaben.
Verantwortungsvolle Nutzung: Umgang mit ethischen Fragestellungen und Bias.
Diese Maßnahme soll nicht nur die Compliance sicherstellen, sondern auch das Vertrauen in KI-Technologien stärken.

KI und Datenschutz: Die Rolle der Datenschutz-Folgenabschätzung (DSFA)
Beim Einsatz von KI-Systemen spielt der Datenschutz eine zentrale Rolle. Unternehmen müssen sicherstellen, dass ihre Systeme datenschutzkonform entwickelt und betrieben werden. Gemäß Artikel 35 der Datenschutz-Grundverordnung (DSGVO) ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich, wenn ein KI-System voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.
Wann ist eine DSFA erforderlich?
Wenn das KI-System personenbezogene Daten in großem Umfang verarbeitet.
Bei der Verarbeitung sensibler Datenkategorien, wie Gesundheitsdaten oder biometrischen Informationen.
Wenn das System automatisierte Entscheidungen trifft, die rechtliche oder ähnliche Auswirkungen auf Personen haben (z. B. Kreditwürdigkeit, Einstellungen oder Versicherungen).
Was umfasst eine DSFA?
Beschreibung des KI-Systems: Darstellung der Zweckbestimmung, Funktionsweise und der eingesetzten Daten.
Bewertung der Risiken: Analyse der potenziellen Risiken für die Privatsphäre und der Auswirkungen auf die Rechte der Betroffenen.
Maßnahmen zur Risikominderung: Beschreibung von technischen und organisatorischen Maßnahmen, wie Pseudonymisierung, Verschlüsselung oder Zugangskontrollen.
Warum ist eine DSFA entscheidend?
Die DSFA hilft nicht nur, rechtliche Risiken zu minimieren, sondern schafft auch Vertrauen bei Nutzern und Partnern. Sie zeigt, dass ein Unternehmen die Auswirkungen seiner KI-Systeme ernst nimmt und proaktiv Maßnahmen ergreift, um den Datenschutz zu gewährleisten. Zudem dient die DSFA als Nachweis gegenüber Aufsichtsbehörden, dass das Unternehmen seinen Pflichten nachkommt.
Ansätze zur Optimierung von KI-Systemen
Finetuning und Retrieval-Augmented Generation (RAG) sind zwei Ansätze in der Entwicklung und Optimierung von KI-Systemen. Beide Methoden haben unterschiedliche Ziele und Anwendungsbereiche, können aber auch kombiniert werden, um leistungsfähige KI-Lösungen zu schaffen. Beispielsweise könnte ein KI-System für juristische Beratungen durch Finetuning die juristische Sprache und Logik erlernen und durch RAG aktuelle Rechtsprechung oder Gesetzesänderungen berücksichtigen.
Fine-Tuning – technische Einordnung und Nutzen
Fine-Tuning ist eine Methode im Bereich des maschinellen Lernens, mit der ein vortrainiertes Modell an spezifische Anforderungen angepasst wird.
Technischer Hintergrund: Ein Basis-KI-Modell, beispielsweise ein Large Language Model (LLM), wird zunächst auf umfangreichen allgemeinen Datensätzen trainiert. Fine-Tuning baut darauf auf, indem das Modell mit spezifischen, domänenspezifischen Daten nachtrainiert wird. Hierbei werden zusätzliche Trainingszyklen durchgeführt, um das Modell auf bestimmte Anwendungsfälle zu optimieren. Es handelt sich also um einen spezialisierten Prozess, der sowohl die Parameter des Modells als auch dessen Verhalten anpasst.
- Nutzen: Fine-Tuning ermöglicht es, ein universell einsetzbares Modell in ein hochgradig spezialisiertes System zu verwandeln, das gezielt Aufgaben innerhalb eines bestimmten Anwendungsbereichs löst. Dies hilft, die Zweckbestimmung eines KI-Systems klar einzugrenzen und regulatorische Risiken zu minimieren.
Beispiel:
Ein Unternehmen könnte ein vortrainiertes Sprachmodell mit Daten aus seiner Branche (z. B. juristische Texte) finetunen, damit das Modell die spezifische Fachsprache versteht und präzise Antworten liefert.
RAG – technische Einordnung und Vorteile
Retrieval-Augmented Generation (RAG) kombiniert Techniken des Informationsabrufs mit generativer KI, um Antworten zu erzeugen, die sowohl datenbasiert als auch dynamisch sind.
Technischer Hintergrund: RAG integriert zwei Komponenten:
Retrieval-Modul: Eine Query (Anfrage) wird an eine externe Datenquelle, wie eine Datenbank oder ein Dokumentenmanagementsystem, gesendet. Relevante Informationen werden abgerufen.
Generatives Modul: Die abgerufenen Daten werden in den Eingabeprozess eines generativen KI-Modells eingebunden. Dieses erzeugt darauf basierende Antworten, die sowohl faktisch korrekt als auch kontextsensitiv sind.
Nutzen: RAG verbindet die Stärken von statischen Informationssystemen mit den dynamischen Möglichkeiten generativer KI. Dies sorgt für eine erhöhte Genauigkeit und Transparenz der Ergebnisse, da die generierten Antworten auf validen und nachvollziehbaren Daten basieren.
Beispiel:
Ein Chatbot für ein Unternehmen kann eine RAG-Architektur nutzen, um Kundenanfragen zu beantworten. Das Modell ruft relevante Informationen aus einer Wissensdatenbank ab, wie z. B. Produktdokumentationen, und generiert auf dieser Basis eine Antwort.
Auswirkungen auf die Risikoklassifizierung
Sowohl Fine-Tuning als auch RAG beeinflussen die Risikoklassifizierung eines KI-Systems positiv:
Fine-Tuning: Durch die Anpassung an spezifische Anwendungsfälle wird die Zweckbestimmung eines KI-Systems klar definiert. Dadurch können potenziell risikobehaftete Funktionen ausgeschlossen und die Einstufung als Hochrisiko-KI vermieden werden.
RAG: Die Transparenz und Nachvollziehbarkeit, die RAG bietet, reduziert das Risiko von Fehlinformationen und erhöht die Akzeptanz seitens der Nutzer und der Regulierungsbehörden.
(Zur Vertiefung empfehlen wir Ihnen unseren Fachartikel „Regulation eats Innovation for Breakfast: KI-basierte SaaS-Lösung unter dem Regime des EU AI Acts in der Praxis“ aus der InTeR 04/24, kostenfreier Download hier)
Fazit: KI-Compliance als Wettbewerbsvorteil
Die neuen Anforderungen des EU AI Acts stellen für Unternehmen eine Herausforderung dar, bieten aber auch Chancen: Wer die Vorschriften frühzeitig umsetzt, kann sich als verantwortungsvoller Anbieter positionieren und das Vertrauen von Kunden und Partnern gewinnen. Mit den richtigen strategischen Maßnahmen und einer frühzeitigen rechtlichen Beratung bleiben Sie wettbewerbsfähig und nutzen das Potenzial von KI voll aus.
Wir begleiten unsere Mandanten mit einem pragmatischen risikoadjustierten Ansatz, damit die Innovation durch KI nicht durch die Aufwände für die Regulatorik "aufgefressen" werden.
Zum Abschluss empfehlen wir Fünf Schritte, die Unternehmen jetzt gehen sollten:
Analyse der eingesetzten KI-Systeme: Identifizieren Sie alle KI-Anwendungen in Ihrem Unternehmen und prüfen Sie deren Zweckbestimmung und Risikoklassifizierung.
Prüfen, ob eine DSFA erforderlich ist: Bewerten Sie, ob Ihre KI-Systeme hohe Risiken für die Rechte der Betroffenen darstellen, und führen Sie nur bei Bedarf eine Datenschutz-Folgenabschätzung durch.
Schulungsprogramme etablieren: Setzen Sie kompetenzgerechte Schulungen um, beispielsweise E-Learning-Module für breite Nutzergruppen.
Transparenz sicherstellen: Implementieren Sie Mechanismen, die klar kommunizieren, dass Inhalte oder Entscheidungen von KI generiert wurden.
Rechtliche Beratung einholen: Arbeiten Sie mit Experten zusammen, um sicherzustellen, dass Ihre Prozesse und Dokumentationen den Anforderungen des EU AI Acts entsprechen.
Artikel teilen: