Die Europäische Kommission eröffnet Konsultation zu hochriskanter KI angesichts einer Konformitätslücke von 78%
Die am 19. Mai veröffentlichten Richtlinien zielen darauf ab, Unternehmen, die durch Unsicherheiten bei der Einstufung blockiert sind, zu entlasten. Der Markt wird bis 2030 auf bis zu 38 Milliarden Euro im Bereich Compliance geschätzt, mit anfänglichen Kosten von bis zu 15 Millionen US-Dollar für große Unternehmen.
Die Europäische Kommission hat gestern (19.) eine öffentliche Konsultation zu den Richtlinien zur Einstufung hochriskanter künstlicher Intelligenz (KI) gemäß dem AI Act eröffnet. Das Dokument, das in allgemeine Grundsätze und zwei Abschnitte für spezifische Kategorien unterteilt ist, soll Unternehmen, die noch Zweifel haben, welche ihrer Produkte in den engen Rahmen der Verordnung fallen, Vorhersehbarkeit geben. Die Kommentare werden in den nächsten 35 Tagen bis zum 23. Juni entgegengenommen, und die endgültige Version wird vor der endgültigen Veröffentlichung die Beiträge integrieren.
Der Zeitpunkt ist angesichts des Adoptionsszenarios wichtig. Eine im April veröffentlichte Umfrage zeigt, dass 78 % der Organisationen noch keine konkreten Schritte zur Konformität mit dem AI Act unternommen haben, und die erwarteten Kosten erklären einen Teil der Blockade. Große Unternehmen mit einem Umsatz von über 1 Milliarde Euro müssen zwischen 8 Millionen und 15 Millionen US-Dollar in anfängliche Investitionen für die Konformität von hochriskanten Systemen ausgeben. Mittelständische Unternehmen sehen sich anfänglichen Schätzungen von 2 bis 5 Millionen US-Dollar und jährlichen Wartungskosten von 500.000 bis 2 Millionen US-Dollar gegenüber. Kleine und mittlere Unternehmen könnten mit anfänglichen Kosten von 500.000 bis 2 Millionen US-Dollar rechnen, wobei die Konformitätsbewertungen pro System zwischen 5.000 und 50.000 Euro variieren. Eine Schätzung von Arturs Prieditis auf Medium projiziert den Gesamtmarkt für die Compliance von hochriskanter KI in Europa bis 2030 zwischen 17 und 38 Milliarden Euro.
Gemäß dem AI Act werden Systeme als hochriskant eingestuft, wenn sie die Gesundheit, Sicherheit oder grundlegenden Rechte gefährden. Die generische Formulierung hat in juristischen Beratungen multinationaler Unternehmen zu divergierenden Interpretationen geführt, insbesondere in Fällen von KI, die in der Personalbeschaffung, Kreditvergabe, Bildung, kritischer Infrastruktur und Justiz eingesetzt wird. Die Kommission fügt praktische Beispiele hinzu, um die Mehrdeutigkeit bei der Einstufung zu verringern, obwohl das Dokument keine numerischen Kriterien für Risikofaktoren definiert. Die Strafen für Nichteinhaltung können bis zu 35 Millionen Euro oder 7 % des globalen Umsatzes betragen, was eine verspätete oder fehlerhafte Einstufung zu einem erheblichen finanziellen Risiko macht.
Anbieter, Implementierer und die Last der Selbstbewertung
Die Konsultation steht einer breiten Liste von Befragten offen: Anbietern und Implementierern von KI-Systemen, Unternehmen, öffentlichen Behörden, akademischen Einrichtungen, Forschungsinstituten und Bürgern. Der Fokus auf den Begriff Implementierer ist absichtlich. Im Gegensatz zu früheren Vorschriften, die die Hauptlast auf den Hersteller legten, verteilt der AI Act die Verpflichtungen entlang der gesamten Kette, sodass Unternehmen, die nur ein KI-System eines Dritten implementieren, wie eine Bank, die eine Kreditbewertungslösung eines Anbieters einsetzt, in die Kategorie hochriskant fallen könnten, auch wenn sie das Modell nicht selbst entwickelt haben. Die praktische Folge ist, dass die Compliance-Abteilung eines Finanzinstituts möglicherweise gezwungen ist, die Auswirkungen auf die grundlegenden Rechte für ein Modell zu dokumentieren, dessen technische Dokumentation unter NDA mit dem Anbieter steht.
Das unmittelbare regulatorische Umfeld fügt eine zusätzliche Ebene hinzu. Am 7. Mai einigten sich der Rat und das Europäische Parlament auf einen politischen Kompromiss über Änderungen am AI Act, die die Konformitätsfristen für hochriskante Systeme verlängern, was weithin als Zugeständnis an die Industrie angesehen wird. Die nun zur Konsultation offenen Richtlinien fungieren als Brücke zwischen dieser Flexibilisierung und der praktischen Anwendung: Durch die detaillierte Beschreibung, wie man klassifiziert, verringert die Kommission das Risiko einer verspäteten oder fehlerhaften Einstufung durch Unternehmen, die auf Klarheit gewartet haben, um interne Compliance-Prozesse zu starten.
Bestandsaufnahme vor der endgültigen Version
Die Einreichung erfolgt über die AI Act Single Information Platform. Für CIOs und DPOs mit Sitz in der Europäischen Union sollte der 35-tägige Zyklus sowohl für die formelle Einreichung von Kommentaren als auch für die interne Überprüfung des Bestands an betriebenen KI-Systemen genutzt werden. Die strategische Frage ist, wo das Budget zugewiesen werden soll. Reaktive Compliance, bei der das Unternehmen erst nach einer Benachrichtigung durch die Behörde handelt, ist ein ungeeigneter Weg angesichts der potenziellen Geldstrafe. Proaktive Compliance erfordert ein multidisziplinäres Team, das eine Überlappung zwischen Recht, Daten und Sicherheit aufweist, was auf dem europäischen Arbeitsmarkt selten ist. Anstatt auf die endgültige Version der Richtlinien im Juli zu warten, empfiehlt die technische Analyse, jetzt mit der Bestandsaufnahme zu beginnen, indem die Anwendungsfälle von Scoring, Screening und automatisierten Entscheidungsfindung isoliert werden, die wiederholt in den Beispielen des Konsultationsdokuments erscheinen.