Eine Grafik zeigt einen Einblick in die KI Funktionen von Salesforce. Im Vordergrund steht Astro, der ein Einstein-Schild in der Hand hält.

KI-Verordnung der EU: Was Unternehmen jetzt wissen müssen

Wie bringen Unternehmen Innovation und die strengen Regulierungen der EU-KI-Verordnung in Einklang?

Die KI-Verordnung der EU bringt mit klaren Rahmenbedingungen tiefgreifende Veränderungen für Unternehmen und Entwickler, die auf Künstliche Intelligenz setzen. Unternehmen stehen nun vor der Herausforderung, diese Verordnung umzusetzen und sich auf die rechtlichen Anforderungen vorzubereiten. Lesen Sie hier, wie sich die KI-Verordnung auf Ihr Unternehmen auswirken könnte und welche Schritte Sie jetzt unternehmen sollten.

Die KI-Verordnung der EU auf einen Blick

  • Was? Die KI-Verordnung der EU führt europaweit strenge Richtlinien für die Entwicklung, den Einsatz und die Nutzung von Künstlicher Intelligenz (KI) ein. Sie stuft KI-Systeme nach ihrem Risiko ein und schreibt für alle KI-Systeme mit hohem Risiko eine menschliche Aufsicht und die Verwendung von „Mensch-Maschine-Schnittstellen“ wie Tastaturen vor.
  • Für wen? Die KI-Verordnung gilt für Organisationen mit Sitz in der EU, wenn diese ein KI-System oder ein allgemeines KI-Modell in der EU auf den Markt bringen oder ein KI-System für die Nutzung in der EU bereitstellen. Sie gilt auch für Organisationen außerhalb der EU, wenn die von einem KI-System erzeugten Ergebnisse in der EU genutzt werden.
  • Wann? Die KI-Verordnung der EU ist am 1. August 2024 in Kraft getreten, aber noch nicht voll einsatzfähig. Je nach Art des Systems gelten unterschiedliche Übergangsfristen mit besonderen Bestimmungen: Für verbotene KI-Praktiken und KI für allgemeine Zwecke ab 2025 und für KI-Systeme mit hohem Risiko ab 2026 oder 2027.

Wie? Um sich vorzubereiten, sollten Unternehmen ihre KI-Systeme anhand der Anforderungen der KI-Verordnung der EU bewerten, relevante Unterlagen aktualisieren und sich über die Entwicklung der Gesetzgebung und die nachfolgenden Leitlinien auf dem Laufenden halten.

Was ist die EU-KI-Verordnung?

Am 1. August 2024 wurde die KI-Verordnung der EU als bedeutende regulatorische Veränderung für KI in ganz Europa eingeführt. Die Verordnung gilt für Anbieter mit Sitz in der EU, die KI-Systeme auf den Markt bringen oder in Betrieb nehmen. Auch Anbieter und Betreiber außerhalb der EU sind betroffen, wenn die von ihren KI-Systemen erzeugten Daten in der EU genutzt werden.

Die KI-Verordnung der EU:

  • weist allen an der Entwicklung, Vermarktung und Nutzung von KI-Systemen beteiligten Parteien Rollen und Verantwortlichkeiten zu,
  • klassifiziert KI-Systeme nach Risiken,
  • verbietet bestimmte KI-Praktiken, die inakzeptable Risiken darstellen,
  • legt strenge Regeln für Anwendungen mit hohem Risiko fest.

Die wichtigsten Punkte der KI-Verordnung der EU

Im Folgenden finden Sie die wichtigsten Punkte der KI-Verordnung, die Sie kennen sollten. All diese Punkte zeigen, dass die Verordnung darauf abzielt, KI-Systeme sicher, transparent und rechenschaftspflichtig zu machen. Gleichzeitig soll sichergestellt werden, dass jeder weiß, was hinter verschlossenen Türen vor sich geht.

Risikobasierte Einstufung von KI-Systemen

Die EU-KI-Verordnung basiert auf einem risikobasierten Ansatz, der verschiedene Arten von KI-Systemen in fünf Kategorien einteilt:

  • Inakzeptables Risiko: KI-Systeme, die ein inakzeptables Risiko für die Sicherheit, Rechte oder Freiheiten von Menschen darstellen, sind verboten. Dazu gehört beispielsweise KI, die menschliches Verhalten manipuliert, um den freien Willen der Nutzer:innen zu umgehen.
  • KI mit hohem Risiko: KI-Systeme, die unter bestimmte EU-Produktsicherheitsvorschriften oder die „kritischen“ Bereiche der KI-Verordnung der EU wie Bildung und Beschäftigung fallen, unterliegen strengen Verpflichtungen. Die Parteien müssen daher detaillierte Anforderungen erfüllen.
  • KI für allgemeine Zwecke: KI-Modelle für allgemeine Zwecke, die in nachgelagerte Systeme integriert werden können, unterliegen aufgrund der damit verbundenen Risiken besonderen Bestimmungen.
  • KI mit begrenztem Risiko: KI-Systeme, die aufgrund mangelnder Transparenz Risiken für Nutzer:innen bergen, müssen grundlegende Anforderungen erfüllen. Dazu gehört beispielsweise die Information an Nutzer:innen, dass sie mit einem KI-Chatbot sprechen.
  • KI mit minimalem Risiko: Die KI-Verordnung der EU erlaubt den freien Einsatz von KI mit minimalem Risiko wie beispielsweise Spamfilter.

Verpflichtungen für Anbieter und Betreiber von KI-Systemen

Je nach Risikokategorisierung ihres KI-Systems haben die verschiedenen Akteure in der KI-Lieferkette unterschiedliche Verpflichtungen. Zum Beispiel:

  • Anbieter: Die Anbieter haben eine Reihe von Verpflichtungen, die sich aus dieser Gesetzgebung ergeben – von der Einrichtung eines Risikomanagementsystems bis hin zur Erstellung von Gebrauchsanweisungen.
  • Betreiber: Die Anforderungen an die Betreiber sind etwas weniger streng. Wenn Sie jedoch KI-Systeme mit hohem Risiko einsetzen, müssen Sie bestimmte Pflichten erfüllen. Dazu gehört die Überwachung des KI-Systems durch Mitarbeitende.
Ein Screenshot aus der Salesforce Data Cloud

Fit für die KI-Verordnung mit der Data Cloud

Mit der Salesforce Data Cloud erfüllen Sie die Anforderungen der EU-KI-Verordnung. Zentralisieren und vereinheitlichen Sie Ihre Datensätze aus verschiedenen Quellen mit der leistungsstarken Plattform.

Die KI-Verordnung erlegt auch Importeuren und Händlern von KI-Systemen Verpflichtungen auf – ebenso wie bevollmächtigten Vertretern, die von bestimmten Anbietern von künstlichen Intelligenzsystemen oder Modellen für Künstliche Intelligenz mit Sitz außerhalb der EU ernannt wurden.

General Purpose AI (GPAI)

GPAI-Modelle sind „KI-Modelle, die eine beträchtliche Allgemeinheit aufweisen, in der Lage sind, ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen, und die in eine Vielzahl von nachgelagerten Systemen oder Anwendungen integriert werden können“. Die KI-Verordnung der EU führt spezifische Anforderungen für Anbieter von GPAI ein, wie beispielsweise:

  • Technische Dokumentation: Die Anbieter von GPAI müssen sicherstellen, dass sie detaillierte Aufzeichnungen führen, die Urheberrechtsgesetze einhalten und eine klare Zusammenfassung der für die Ausbildung verwendeten Daten liefern.
  • Systemisches Risiko: Wenn Ihre GPAI-Modelle ein höheres Risiko aufweisen, müssen Sie zusätzliche Bewertungen und Gegentests durchführen, um die Sicherheit zu gewährleisten.

Ein Verhaltenskodex für Anbieter von GPAI-Modellen ist in Vorbereitung und wird im Mai 2025 veröffentlicht. Er soll Anbietern helfen, die Einhaltung der Anforderungen der EU-Verordnung über Künstliche Intelligenz nachzuweisen.

Die DSGVO und die KI-Verordnung im Vergleich

Die DSGVO ist eine technologieneutrale Verordnung, die für die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter gilt – unabhängig davon, ob ein KI-System oder eine andere Technologie zur Verarbeitung personenbezogener Daten eingesetzt wird. Die DSGVO kann nur dann auf ein KI-System angewendet werden, wenn dieses System personenbezogene Daten verarbeitet. Das KI-Gesetz stützt sich jedoch auf einige Grundsätze der DSGVO, wie beispielsweise:

  • Der Grundsatz der Fairness, indem Voreingenommenheit und Diskriminierung bei der Nutzung von KI reduziert werden.
  • Der Grundsatz der Transparenz, indem ein Mindestmaß an Transparenz für alle KI-Systeme und ein höheres Maß für alle KI-Systeme mit hohem Risiko gefordert wird.
  • Den Grundsatz der Genauigkeit, indem von KI-Systemen verlangt wird, dass sie qualitativ hochwertige und unverzerrte Daten verwenden.
  • Der Grundsatz der Zweckbindung, indem für KI-Systeme ein klar definierter und dokumentierter Zweck gefordert wird.

Verabschiedung der KI-Verordnung: Wichtige Daten und Zeitplan

Die KI-Verordnung der EU ist offiziell verabschiedet und wird nun Auswirkungen auf Unternehmen haben. Hier sind einige wichtige Termine, die Sie beachten sollten:

Infografik, die die Verabschiedung der KI-Verordnung der EU zeigt.

Im Hinblick auf diese Termine sollten Unternehmen jetzt mit den Vorbereitungen beginnen, sofern sie dies noch nicht getan haben. Die folgende Planung wird Ihnen helfen, die Vorschriften einzuhalten und sich reibungslos an die neuen Regelungen anzupassen.

6 Schritte, wie Sie sich auf die KI-Verordnung der EU vorbereiten

Die Vorbereitung auf das KI-Gesetz kann überwältigend erscheinen, aber wir haben diese sechs Schritte zusammengestellt, um Ihnen den Einstieg zu erleichtern:

1. Beginnen Sie mit Ihren Daten

Gute KI basiert auf guten Daten. Stellen Sie daher zunächst sicher, dass die Datenmanagementpraktiken Ihres Unternehmens auf dem neuesten Stand sind und ein vollständiges und genaues Bild Ihrer Datenbestände vermitteln. Identifizieren Sie dabei alle Datensilos. Das sind die Stellen, an denen Daten zu einem bestimmten Thema von anderen Quellen getrennt sind und Sie daran hindern, das Gesamtbild zu sehen.

Tools wie die Data Cloud von Salesforce unterstützen Ihr Compliance-Programm, indem sie Datensätze per Datenintegration aus verschiedenen Systemen zentralisieren und vereinheitlichen. So erhalten Sie eine ganzheitliche Sicht auf Ihre Daten und können Maßnahmen an den Stellen ergreifen, die für eine bestimmte Aufgabe am relevantesten sind. Sie können sogar veraltete oder redundante Daten identifizieren und sicher löschen.

2. Kennen Sie Ihre KI in- und auswendig

Sobald Ihre Datenstrategie steht, können Sie herausfinden, was Ihre KI-Systeme antreibt und wo sie auf der Risikoskala stehen. Prüfen Sie, welche Regeln für jedes System gelten und welche Bereiche der Dokumentation und Transparenz Sie berücksichtigen müssen.

Wenn Sie KI-Systeme identifizieren, die Ihre Benchmarks für Genauigkeit nicht erreichen, untermauern Sie die Ergebnisse dieser Systeme mithilfe von Techniken mit relevanten Daten aus Ihrem Unternehmen. Dazu gehören beispielsweise Ihre Online-Wissensartikel für einen Support-Agenten. Eine mögliche Technik ist Retrieval-Augmented Generation (RAG), bei der ein generatives KI-Modell relevante Informationen aus externen Datenquellen abruft und diese verwendet, um genauere und kontextbezogene Antworten zu generieren. Auf diese Weise wird sichergestellt, dass das KI-System die richtigen Informationen berücksichtigt und qualitativ hochwertige Ergebnisse liefert.

3. Erkennen Sie Lücken

Betrachten Sie Ihre derzeitige Arbeit und vergleichen Sie sie mit den Vorschriften. Beurteilen Sie, wo Sie die Vorschriften nicht einhalten, und planen Sie, wie Sie die Anforderungen erfüllen können.

4. Sortieren Sie Ihre Dokumente

Sortieren Sie alle erforderlichen Unterlagen für Ihre KI-Systeme und erstellen Sie einen Zeitplan für die Implementierung. Ein solider Plan wird Ihnen das Leben erleichtern, wenn es an der Zeit ist, Bewertungen vorzunehmen und Änderungen vorzunehmen.

5. Holen Sie alle Beteiligten an Bord

Arbeiten Sie mit verschiedenen Teams zusammen, um zu sehen, wie sich die neue Gesetzgebung auf Ihr gesamtes Unternehmen auswirkt. Je mehr Ideen und Sichtweisen, desto besser. Ganz zu schweigen davon, dass Sie sich dann alle einig sind, wie es weitergehen soll.

6. Bleiben Sie auf dem Laufenden

Vorschriften ändern sich. Halten Sie sich über neue Leitlinien oder Aktualisierungen der EU-Organe auf dem Laufenden. Wenn Sie proaktiv handeln, sparen Sie später Zeit.

Warum es wichtig ist, die KI-Verordnung der EU zu befolgen

Bei der Einhaltung der EU-Verordnung zur Künstlichen Intelligenz geht es nicht nur darum, Bußgelder zu vermeiden – die Einhaltung der Vorschriften positioniert Ihr Unternehmen auch als Vorreiter für verantwortungsvolle KI. Tools wie die Salesforce Data Cloud helfen Ihnen dabei, Ihre Daten zu verwalten und zu optimieren und gleichzeitig die gesetzlichen Anforderungen zu erfüllen. Wenn Sie diese Praktiken in Ihre Strategie integrieren, schaffen Sie Vertrauen, fördern Innovationen und bleiben auf dem KI-Markt relevant

Die Titelseite des KI Glossars auf einem Tablet.

Entdecken Sie unser KI-Glossar

32 Definitionen aus der KI-Welt, die Sie jetzt unbedingt kennen sollten und welche Vorteile für Ihre Kund:innen und Mitarbeiter:innen daraus entstehen.