KI | Künstliche Intelligenz – Rechtliche Grundlagen (Teil 1)

Künstliche Intelligenz - Rechliche Grundlagen in Österreich - EU AI Act

Künstliche Intelligenz im Fokus: Neue Regeln sollen den sicheren Einsatz von KI gewährleisten

Mit der zunehmenden Bedeutung von KI und KI-basierten Anwendungen im Alltag sowie im wirtschaftlichen und beruflichen Umfeld ist die neue Technologie zusehends in den Fokus der Regulatoren gerückt. Im vergangenen Jahr wurde schließlich ein umfassendes Gesetz auf EU-Ebene finalisiert, das den Einsatz von KI sicher gestalten soll. Martin Hanzl und Anja Moser von unserem EY Law NewTech-Team haben im aktuellen CFO aktuell-Magazin eine Artikel-Serie „KI im Fokus“ gestartet und geben im ersten Teil einen Überblick über die neue KI-Verordnung, den kürzlich in Kraft getretenen EU AI Act.

1. Grundlagen des EU AI Act

Die neue KI-Verordnung – bekannt als EU AI Act – wurde im letzten Sommer nach mehrjährigen Verhandlungen finalisiert und stellt das weltweit erste umfassende Gesetz für die Verwendung von künstlicher Intelligenz dar. Während bisher in diesem Bereich auf die Selbstverantwortung der Anbieter und beispielsweise auf freiwillige Kennzeichnungen von KI-Systemen gesetzt wurde, gibt der EU AI Act klare Anforderungen an Entwickler, Betreiber und Anbieter von KI-Systemen vor. Aufgrund der fortschreitenden Digitalisierung und Automatisierung im Finanzbereich, im Rahmen von Accounting- und Finance-Prozessen oder bei der Datenaufbereitung für Managemententscheidungen, spielen KI und daher künftig die KI-Verordnung eine wesentliche Rolle. Somit sollte die Vorbereitung auf die neuen Regelungen auch bei CFOs und Finance-Verantwortlichen auf einer „Agenda 2025“ nicht fehlen.

1.1. Was ist KI?

Doch was ist künftig unter künstlicher Intelligenz zu verstehen, und für welche Systeme oder Anwendungen wird das neue Gesetz anwendbar sein? In Zeiten des rasanten technologischen Fortschritts läuft die Regulatorik Gefahr, diesen Entwicklungen hinterherzuhinken. Die Definition für KI-Systeme im EU AI Act wurde daher erwartungsgemäß breit angelegt und bezieht sich auf maschinengestützte Systeme, die im Rahmen eines autonomen Betriebs laufend anpassungsfähig sind und die selbstständig aus den erhaltenen Eingaben anhand impliziter oder expliziter Ziele ableiten, wie Ausgaben zu erstellen sind.

Davon könnten beispielsweise im Accounting- und Finance-Bereich automatisierte Prozesse betroffen sein, die mithilfe von KI Belege scannen, relevante Daten extrahieren und damit autonom und selbstständig eine Buchung erstellen.

1.2. Ziele und Adressaten der neuen Vorschriften für KI

Neben der einheitlichen Definition und einem gemeinsamen Verständnis bezüglich KI soll der EU AI Act insbesondere den sicheren Einsatz von KI-Systemen gewährleisten. Dies betrifft nicht nur die technische Sicherheit und Robustheit der Systeme, sondern auch einen verantwortungsvollen Umgang mit Daten, den Schutz vor Diskriminierung sowie generell die Einhaltung der Grundrechte. Darüber hinaus soll die Harmonisierung der Regelungen auf EU-Ebene die Entwicklung eines Binnenmarkts für KI-Anwendungen erleichtern und eine Marktfragmentierung verhindern.

Der Anwendungsbereich des EU AI Act ist – geographisch gesehen – ähnlich wie bereits bei der Datenschutz-Grundverordnung (DSGVO) nicht auf die EU begrenzt, sondern betrifft alle Unternehmen oder Organisationen, die ein KI-System in der EU anbieten bzw. sobald die Ausgabe des KI-Systems in der EU verwendet wird. Darüber hinaus richtet sich der EU AI Act an alle Akteure entlang der Wertschöpfungskette:

  • Anbieter, die ein KI-System entwickeln und es auf dem EU-Markt in Verkehr bringen oder in Betrieb nehmen.
  • Betreiber, die ein KI-System im Rahmen einer beruflichen Tätigkeit verwenden.
  • Produkthersteller, die Produkte mit KI-Systemen auf dem EU-Markt in Verkehr bringen oder in Betrieb nehmen.
  • Importeure und Händler, die KI-Systeme auf dem EU-Markt in Verkehr bringen.

2. Risikobasierter Ansatz als Kernelement des EU AI Act

Bei der Regulierung von neuen Technologien ist darauf zu achten, die weitere Entwicklung und den technologischen Fortschritt nicht zu erschweren oder gar zu gefährden. Daher verfolgt der EU AI Act einen risikobasierten Ansatz, wonach nicht alle KI-Systeme gleichermaßen von den Anforderungen betroffen sein werden.

Zur Risikoeinstufung wird auf eine Risikopyramide verwiesen, an deren Basis die breite Masse gängiger KI-Systeme mit nur minimalem oder keinem Risiko verortet ist. Für diese Anwendungen wird es künftig keine neuen spezifischen Regelungen geben.

Danach folgen KI-Systeme, die einem gewissen Transparenzrisiko ausgesetzt sind, beispielsweise KI-generierte Inhalte oder KI-basierte Chatbots. In diesen Fällen sieht der EU AI Act Informations- und Transparenzpflichten vor.

Erst an dritter Stelle sind KI-Systeme mit hohem Risiko ausgewiesen, bei denen mit Auswirkungen auf die Gesundheit, Sicherheit oder Grundrechte zu rechnen ist. Für solche KI-Systeme kommen umfassende Anforderungen, beispielsweise betreffend Risikomanagement und Cybersecurity, zur Anwendung.

An der Spitze der Risikopyramide stehen zu guter Letzt jene KI-Systeme, die aus Sicht des EU AI Act ein inakzeptables Risiko und einen Verstoß gegen Grundrechte und Grundwerte der EU darstellen. Der Einsatz solcher Anwendungen, wie zum Beispiel die kognitive Verhaltensmanipulation oder ein Social Scoring, ist künftig verboten.

Darüber hinaus sieht der EU AI Act die zuletzt in den Fokus gerückten General Purpose KI-Modelle wie beispielsweise ChatGPT außerhalb der Risikopyramide als separaten Anwendungsfall mit einer abgestuften Risikoklassifizierung vor. Auf das zugrunde liegende Risiko-Assessment von KI-Anwendungen sowie die Implementierung der notwendigen Compliance-Anforderungen – insbesondere bei hochriskanten KI-Systemen – wird in der folgenden Ausgabe des CFOaktuell, Heft 2/25, näher eingegangen.

3. Die Uhr tickt – bis wann sind die neuen Regelungen umzusetzen?

Nach Inkrafttreten des EU AI Act am 1. August 2024 ist die Verordnung nach zwei Jahren und somit ab August 2026 anwendbar. Davon ausgenommen sind die Bestimmungen betreffend verbotene KI-Praktiken, welche bereits ab Anfang Februar 2025 gelten.

Während der EU AI Act, wie eingangs erwähnt, das erste Gesetz für die Verwendung von KI darstellt, geben bestehende Regulierungen, wie insbesondere die DSGVO oder sektorspezifische Bestimmungen betreffend Cybersecurity – etwa im Finanzsektor –, bereits einen grundsätzlichen Rahmen vor, der auch neben dem EU AI Act weiterhin anwendbar sein wird.

Das erwartet Sie in der nächsten Ausgabe: Lesen Sie im nächsten Teil der „KI im Fokus“-Serie (CFOaktuell, Heft 2/25) die Details zu Risiko-Assessment und Compliance-Governance im Rahmen der Implementierung des EU AI Act, sowie als Abschluss der Serie in CFOaktuell, Heft 3/25, alles rund um das Thema „AI by Design“.
Mehr zu CFO aktuell – Fachzeitschrift für Finance & Controlling | Linde Verlag

Dr. Martin Hanzl
ist Partner und Rechtsanwalt bei EY Law und leitet den Bereich New Technologies.

Anja Moser - EY Law NewTech AI

Anja Moser, MSc (WU)
ist Projektmanagerin und Regulatory Expertin im Bereich New Technologies bei EY Law.

Mehr News

Scroll to Top