Umsetzung des EU AI Acts: Bundestag schafft nationalen Rechtsrahmen

Mit dem vom Bundestag beschlossenen Gesetz zur Durchführung des AI Acts konkretisiert die Bundesregierung Regelungen für Entwicklung und Einsatz von KI.

Mit dem AI Act (Verordnung (EU) 2024/1689) schafft die Europäische Union erstmals einen umfassenden Rechtsrahmen für KI-Systeme. Die Verordnung verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Sicherheit, Gesundheit oder Grundrechte, desto umfangreicher sind die Anforderungen. Während bestimmte KI-Anwendungen vollständig untersagt werden, gelten insbesondere für Hochrisiko-KI-Systeme (gemäß Anhang III) umfangreiche Pflichten.

Dazu gehören unter anderem Anforderungen an:

• Risikomanagement und Governance
• Datenqualität und Datenmanagement
• technische Dokumentation und Nachvollziehbarkeit
• Transparenz und menschliche Kontrolle
• Genauigkeit, Robustheit und Cybersicherheit

Die Anforderungen des AI Acts treten schrittweise in Kraft – mit dem Omnibus wurden bereits einige Fristen verschoben (GUTcert berichtete darüber). Unternehmen sollten sich daher frühzeitig mit ihrem KI-Einsatz auseinandersetzen: Welche Anwendungen werden genutzt, welche Verantwortlichkeiten bestehen und welche Prozesse sind erforderlich, um Risiken zu bewerten und die Anforderungen des AI Acts umzusetzen?

Deutschland setzt den AI Act um

Für die Anwendung des AI Acts in Deutschland sind nationale Regelungen notwendig. Der Bundestag hat hierzu am 11. Juni das Gesetz zur Durchführung der Verordnung (EU) 2024/1689 in geänderter Fassung beschlossen. Die Zustimmung des Bundesrates steht noch aus. Das Gesetz legt insbesondere Zuständigkeiten, Aufsichtsstrukturen und Verfahren zur Umsetzung des AI Acts fest.

Eine zentrale Rolle übernimmt künftig die Bundesnetzagentur. Sie wird als Marktüberwachungsbehörde für die Einhaltung der KI-Verordnung zuständig, soweit diese Aufgaben nicht anderen Fachbehörden zugewiesen sind. Zusätzlich wird dort ein Koordinierungs- und Kompetenzzentrum eingerichtet, das die Zusammenarbeit der Behörden unterstützt und Wissen bündelt.

Marktüberwachung und zentrale Anlaufstelle

Der deutsche Ansatz sieht eine koordinierte Marktüberwachung vor. Die Bundesnetzagentur übernimmt dabei eine zentrale Funktion und dient gleichzeitig als Anlauf- und Beschwerdestelle. Beschwerden über mögliche Verstöße gegen die KI-Verordnung können dort eingereicht und an die jeweils zuständige Marktüberwachungsbehörde weitergeleitet werden.

Neben der Überwachung sollen auch Informations- und Unterstützungsangebote aufgebaut werden, um Unternehmen bei der Umsetzung der Anforderungen zu unterstützen.

KI-Reallabore und Register für Hochrisiko-KI-Systeme im Bereich Kritischer Infrastruktur

Das Umsetzungsgesetz verbindet zwei zentrale Ansätze: die Förderung von Innovation und die strukturierte Überwachung bestimmter Hochrisiko-KI-Systeme.

Die Bundesnetzagentur soll künftig mindestens ein KI-Reallabor einrichten und betreiben. Dort können neue KI-Anwendungen unter kontrollierten Bedingungen erprobt werden. Ziel ist es, Unternehmen – insbesondere kleinen und mittleren Unternehmen sowie Start-ups – einen sicheren Rahmen für die Entwicklung innovativer KI-Lösungen zu bieten.

Für Hochrisiko-KI-Systeme gelten darüber hinaus besondere Vorgaben bei Tests unter Realbedingungen außerhalb von KI-Reallaboren. Anbieter, die ein solches System vor dem Inverkehrbringen oder der Inbetriebnahme unter realen Bedingungen testen möchten, müssen den Testplan von der zuständigen Marktüberwachungsbehörde genehmigen lassen.

Ergänzend sieht das Gesetz ein Register für Hochrisiko-KI-Systeme im Bereich kritischer Infrastrukturen (AI Act Anhang III Nr. 2) vor. Die Bundesnetzagentur soll hierfür ein nicht öffentliches Register einrichten, in dem relevante Systeme vor dem Inverkehrbringen oder der Inbetriebnahme erfasst werden. Die Informationen unterstützen die zuständigen Marktüberwachungsbehörden bei ihrer Aufsicht.

Den AI Act verstehen und umsetzen mit dem Seminar der GUTcert Akademie

Die Umsetzung des AI Acts stellt viele Organisationen vor neue Herausforderungen. Entscheidend ist, die regulatorischen Anforderungen zu verstehen und in bestehende Management- und Geschäftsprozesse zu integrieren.

Das Seminar der GUTcert Akademie vermittelt einen praxisorientierten Überblick über die Anforderungen des AI Acts, die Einordnung von KI-Systemen sowie die Auswirkungen auf Organisationen. Teilnehmende erhalten Orientierung, wie sie den Einsatz von KI strukturiert bewerten und die nächsten Schritte zur Umsetzung vorbereiten können.

Haben Sie Fragen zum Thema? Wenden Sie sich gerne an Cedric Sell.