Künstliche Intelligenz

AI Act

Mit der Veröffentlichung im Amtsblatt der Europäischen Union am 12. Juli 2024 tritt der AI Act mit 2. August 2024 in Kraft. Ab diesem Zeitpunkt laufen sämtliche Fristen für die Umsetzung durch den Staat, durch Unternehmen und andere Organisationen.  Unter anderem kommt eine Reihe von Verpflichtungen auf Anbieter und Betreiber von KI-Systemen und KI-Modellen zu, wie z.B. die Kennzeichnungspflicht für KI-generierte Inhalte. Auch wurden die Ratsschlussfolgerungen zur Zukunft der EU-Digitalpolitik und zur Zukunft der Cybersicherheit in der Europäischen Union angenommen.

icon

Digitalisierung und Künstliche Intelligenz sind eine Riesenchance für den Standort Österreich.


Umsetzungsschritte AI Act

In den kommenden zwölf Monaten sind nationale Aufsichtsbehörden zu benennen, die für die Überwachung und Durchsetzung der Vorschriften des AI Act verantwortlich sind. Bis dahin wird die KI-Servicestelle, die Österreich bereits eingerichtet hat, Organisationen bei der Vorbereitung auf die Verpflichtungen unterstützen. Der risikobasierte Ansatz des AI Acts sieht dabei vor, dass
KI-Systeme und KI-Modelle mit höherem Risiko strengeren Verpflichtungen unterliegen.


Innerhalb der ersten sechs Monate nach Inkrafttreten werden als erstes
KI-Systeme mit unannehmbaren Risiken verboten. Außerdem werden Organisationen dazu verpflichtet, KI-Kompetenz bei Menschen sicherzustellen, die mit Betrieb und Nutzung von KI-Systemen befasst sind.

Chancen für Österreich

"Digitalisierung und Künstliche Intelligenz sind eine riesen Chance für uns als Standort Österreich, aber auch für jede einzelne Österreicherin und jeden einzelnen Österreicher. Für mich gilt in Sachen Digitalisierung und KI das Motto: So wenige Einschränkungen wie notwendig, so viele Freiheiten wie möglich."

Claudia Plakolm, Staatssekretärin für Digitalisierung, Jugend und Zivildienst
Kennzeichnungspflicht

"Wir haben gerade bei jungen Menschen mit verzerrten Schönheitsbildern zu kämpfen und das hängt auch mit einer vorgegaukelten Welt zusammen, die durch künstliche Intelligenzen produziert wird. Es ist gut, dass mit dem AI-Act eine Kennzeichnungspflicht kommt."

Claudia Plakolm, Staatssekretärin für Digitalisierung, Jugend und Zivildienst
Rechtsrahmen zum Schutz und zur Sicherheit

"Wir brauchen in Europa einen klaren, aber flexiblen Rechtsrahmen für KI, der Innovationen fördert und gleichzeitig ein hohes Maß an Schutz und Sicherheit gewährleistet."

Claudia Plakolm, Staatssekretärin für Digitalisierung, Jugend und Zivildienst
AI Act Zeitplan ab Inkrafttreten Quelle: BKA

Was bedeutet der AI Act für Privatpersonen? 

Wenn man KI-Systeme als Privatperson nutzt oder entwickelt und diese nicht für andere zur Verfügung stellt, treffen die Verpflichtungen des AI Acts nicht zu. Damit bleibt der Raum zum Experimentieren und Lernen weiterhin bestehen.

  • Auch dann, wenn KI-Modelle mit allgemeinem Verwendungszweck unter Open Source Lizenz zur Verfügung gestellt werden, gibt es nur eingeschränkte Verpflichtungen – nämlich die Entwicklung einer Strategie zur Einhaltung von Urheberrechtsgesetzen und die Bereitstellung von Informationen nach einem Musterschema.

Mit dem AI Act soll sichergestellt werden, dass KI-Systeme in bestimmten Bereichen robust und sicher sind, d.h. möglichst wenig Schaden aufgrund von Fehlfunktionen entsteht, und im Einklang mit Grundrechten stehen.
  • Fühlt man sich in seinen Grundrechten verletzt, gibt es die Möglichkeit, sich bei einer Marktüberwachungsbehörde zu beschweren.

Ab Mitte 2026 ist sichergestellt, dass man bei digitalen Interaktionen weiß, ob man mit einem KI-System interagiert oder mit Menschen.
  • Auch KI-generierte Inhalte müssen ab diesem Zeitpunkt gekennzeichnet sein, wobei künstlerische und satirische Anwendungen von dieser Kennzeichnungspflicht ausgenommen sind.


Was bedeutet der AI Act für Unternehmen?

Für Unternehmen bedeutet der AI Act in erster Linie bis Ende 2025 sicherzustellen, dass alle Mitarbeitenden, die mit Betrieb und Nutzung von KI-Systemen befasst sind, auch über KI-Kompetenz verfügen.

  • Diese Verpflichtung für KI-Kompetenz betrifft Organisationen unabhängig von ihrer Größe und unabhängig von der Risikoklassifizierung des KI-Systems.

Ebenfalls bis Jahresanfang müssen Unternehmen und auch die Verwaltung sicherstellen, dass sie keine verbotenen Anwendungen anbieten oder nutzen.
  • Die verbotenen Praktiken sind in Artikel 5 des AI Acts festgelegt z.B. Social Scoring oder Anwendungen für Verhaltensmanipulation;

Abgesehen von diesen allgemeinen Pflichten gibt es eine Unterscheidung zwischen Risikostufen und der Rolle des Unternehmens am Markt.
  • Je nachdem, ob Unternehmen KI-Systeme entwickeln oder die KI-Systeme anderer Unternehmen nutzen, ergeben sich andere Verpflichtungen.

Der Großteil der Verpflichtungen trifft KI-Systeme mit hohem Risiko. Dazu zählen KI-Systeme, die Produktsicherheitsgesetzen in anderen Bereichen unterliegen, wie z.B. Medizinprodukte oder Spiele.
  • Außerdem zählen dazu bestimmte Anwendungsfälle, die große Auswirkungen auf Sicherheit, Gesundheit oder Grundrechte haben können.
  • Verpflichtungen für Hochrisiko-KI-Systeme umfassen z.B. Cybersicherheit, Dokumentation, Risikomanagement und menschliche Aufsicht.
  • Wenn Unternehmen KI-Systeme mit hohem Risiko anbieten, müssen sie die Konformität mit diesen Anforderungen in der Regel selbst bewerten.

Weitere Verpflichtungen gibt es für KI-Systeme, die ein gewisses Maß an Transparenz erfordern.
  • So müssen alle KI-Systeme, mit denen Menschen interagieren - inklusive Emotionserkennung - entsprechend gekennzeichnet sein. Außerdem müssen KI-generierte Inhalte durch eine Kennzeichnung erkennbar sein. Auch hier haben Anbieter und Betreiber unterschiedliche Pflichten. Auch diese Verpflichtungen müssen bis Mitte 2026 umgesetzt sein.

Für KI-Modelle mit allgemeinem Verwendungszwecke, wie etwa Sprachmodelle (z.B. ChatGPT), werden Anbieter verpflichtet, Informationen zumindest über die Trainingsdaten bereitzustellen.
  • Bei KI-Modellen mit allgemeinem Verwendungszweck muss außerdem eine technische Dokumentation bereitgestellt werden, die es Betreibern u.a. erlaubt, die Grenzen der technischen Leistung des KI-Modells zu verstehen. Weitere Verpflichtungen gibt es für KI-Modelle mit allgemeinem Verwendungszweck, die systemische Risiken darstellen. 

Es ist davon auszugehen, dass 70 bis 80 % der bestehenden KI-Systeme kaum Verpflichtungen unterliegen werden neben der Sicherstellung von KI-Kompetenz.