Predictive Maintenance, KI-gestützte Qualitätskontrolle oder autonome Robotersysteme – Künstliche Intelligenz ist aus dem modernen Maschinenbau nicht mehr wegzudenken. Mit dem AI Act steht nun die erste umfassende Regulierung dieser Schlüsseltechnologie vor der Tür. Ab 2025 müssen Unternehmen nachweisen, dass ihre KI-Systeme sicher und vertrauenswürdig sind. Doch was bedeutet das konkret? Welche Systeme fallen unter die neue Verordnung? Und wie können sich Unternehmen jetzt schon vorbereiten? Dieser Beitrag gibt Antworten auf die drängendsten Fragen zum AI Act und zeigt auf, was technische Entscheider und Compliance-Verantwortliche jetzt wissen müssen.
Einführung und Hintergrund
Die Europäische Union hat mit dem AI Act (Artificial Intelligence Act) einen Meilenstein in der Regulierung von Künstlicher Intelligenz gesetzt. Als weltweit erste umfassende KI-Regulierung markiert der AI Act einen entscheidenden Schritt in der digitalen Transformation Europas. In einem zunehmend von KI-Technologien geprägten globalen Wettbewerb positioniert sich die EU damit zwischen dem eher zurückhaltenden Regulierungsansatz der USA und der staatlich gelenkten KI-Entwicklung in China.
Die Entwicklung des AI Acts spiegelt das Bestreben der EU wider, Innovation zu fördern und gleichzeitig einen klaren Rahmen für den sicheren und vertrauenswürdigen Einsatz von KI-Technologien zu schaffen. Nach intensiven Verhandlungen wurde der AI Act am 13. März 2024 vom Europäischen Parlament verabschiedet. Die Verordnung sieht eine gestufte Einführung vor, die den Unternehmen Zeit zur Anpassung gibt: Verbotene Praktiken werden bereits sechs Monate nach Inkrafttreten wirksam, während die Verpflichtungen für Hochrisiko-KI-Systeme nach zwölf Monaten greifen. Die vollständige Anwendung aller Bestimmungen erfolgt nach 24 Monaten.
Die Ziele des AI Acts sind weitreichend: Neben der Gewährleistung von Sicherheit und Grundrechtskonformität steht besonders die Schaffung von Rechtssicherheit für Investitionen im Fokus. Die Verordnung soll zudem die Governance von KI-Systemen verbessern und die effektive Durchsetzung bestehender Gesetze unterstützen. Ein zentrales Anliegen ist die Entwicklung eines einheitlichen Marktes für rechtmäßige, sichere und vertrauenswürdige KI-Anwendungen in der EU.
Geltungsbereich und Definitionen
Für das Verständnis und die praktische Anwendung des AI Acts ist die genaue Kenntnis seines Geltungsbereichs entscheidend. Die Verordnung folgt dabei einem doppelten Ansatz: Zum einen definiert sie präzise, wo – also in welchem geografischen und rechtlichen Raum – die Regelungen gelten. Zum anderen legt sie fest, was genau als KI-System im Sinne der Verordnung gilt. Diese klare Abgrenzung ist besonders für den Maschinenbau wichtig, da hier KI-Technologien oft in komplexe Systeme eingebettet sind und die Grenzen zwischen klassischer Automation und KI fließend sein können.
Die Reichweite des AI Acts ist bewusst breit angelegt und folgt dabei einem ähnlichen Ansatz wie die Datenschutz-Grundverordnung (DSGVO). Die Verordnung wirkt nicht nur innerhalb der EU-Grenzen, sondern hat eine deutliche extraterritoriale Dimension. Sie erfasst alle Anbieter, die KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen, unabhängig von ihrem Firmensitz. Auch Nutzer von KI-Systemen in der EU fallen unter die Regulierung. Besonders weitreichend ist die Einbeziehung von Anbietern und Nutzern, deren KI-Systeme Ergebnisse produzieren, die in der EU verwendet werden.
Diese breite Auslegung hat weitreichende Konsequenzen für internationale Unternehmen: Auch wenn sie keinen Sitz in der EU haben, müssen sie die Anforderungen des AI Acts erfüllen, sobald ihre KI-Systeme oder deren Ergebnisse den EU-Markt erreichen. Dies stellt besonders für global agierende Unternehmen eine komplexe Compliance-Herausforderung dar.
Die Definition von KI-Systemen im AI Act ist technologieneutral und zukunftsorientiert gestaltet. Als KI-Systeme gelten Softwarelösungen, die mit verschiedenen Techniken entwickelt wurden und bestimmte vom Menschen festgelegte Ziele erreichen können. Der Verordnungstext nennt dabei explizit Machine Learning, logik- und wissensbasierte Ansätze sowie statistische Methoden wie Bayes’sche Schätzung und Optimierungsverfahren.
Für den Maschinenbau ergeben sich daraus vielfältige Anwendungsfälle: Predictive Maintenance Systeme nutzen oft Machine Learning zur Vorhersage von Wartungsbedarfen. In der Qualitätskontrolle kommen KI-gestützte Bildverarbeitungssysteme zum Einsatz. Autonome Robotersysteme und KI-gestützte Prozessoptimierung sind weitere Beispiele, die unter den Geltungsbereich fallen.
Die Verordnung sieht auch wichtige Ausnahmen vor: Reine Entwicklungswerkzeuge ohne Produktiveinsatz sind ebenso ausgenommen wie Legacy-Systeme, die vor dem Geltungsbeginn in Verkehr gebracht wurden. Auch Open-Source-KI-Systeme ohne spezifischen Verwendungszweck fallen nicht unter die Regulierung.
Risikobasierter Regulierungsansatz
Der AI Act folgt einem risikobasierten Ansatz, der KI-Systeme nach ihrem Gefährdungspotenzial kategorisiert. Diese Herangehensweise ermöglicht eine verhältnismäßige Regulierung, die strengere Anforderungen für risikoreichere Anwendungen vorsieht.
Verbotene Praktiken
An der Spitze der Risikopyramide stehen KI-Anwendungen, die als inakzeptables Risiko eingestuft werden und daher grundsätzlich verboten sind. Dazu gehören Systeme zur Manipulation durch unterschwellige Techniken oder solche, die gezielt Vulnerabilitäten bestimmter Gruppen ausnutzen. Auch Social Scoring durch Behörden und biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum sind grundsätzlich untersagt, wobei letztere für die Strafverfolgung unter strengen Auflagen erlaubt sein kann.
Diese Verbote orientieren sich stark an der EU-Grundrechtecharta und zielen darauf ab, fundamentale Rechte und Freiheiten zu schützen. Für den Maschinenbau sind diese Verbote zwar meist weniger relevant, sie unterstreichen aber den menschenzentrierten Ansatz der EU-Regulierung.
Hochrisiko-KI-Systeme
Der für den Maschinenbau besonders relevante Bereich der Hochrisiko-KI-Systeme umfasst zwei Hauptkategorien: Zum einen KI-Systeme, die als Sicherheitskomponenten von Produkten dienen, die einer EU-Konformitätsbewertung unterliegen. Zum anderen Systeme, die erhebliche Risiken für Gesundheit, Sicherheit oder Grundrechte darstellen.
Im Kontext des Maschinenbaus betrifft dies besonders sicherheitsrelevante Steuerungen, qualitätskritische Prozessüberwachung sowie autonome Robotersysteme und Mensch-Maschine-Kollaborationssysteme. Die Einstufung muss dabei im engen Zusammenhang mit der Maschinenverordnung betrachtet werden, die spezifische Anforderungen an die Sicherheit von Maschinen definiert.
Systeme mit begrenztem Risiko
Die dritte Kategorie im risikobasierten Ansatz des AI Acts umfasst Systeme mit begrenztem Risiko. Für diese gelten hauptsächlich Transparenzanforderungen, die sicherstellen sollen, dass Nutzer informiert interagieren können. Im Vordergrund steht dabei die Erkennbarkeit der KI-Nutzung: Wenn Menschen mit KI-Systemen interagieren, müssen sie darüber informiert werden. Dies betrifft etwa Chatbots in der Kundenbetreuung oder KI-gestützte Beratungssysteme.
Besonders relevant ist auch die Kennzeichnungspflicht für Deep Fakes und biometrische Kategorisierungssysteme. Diese Anforderungen spiegeln das Bestreben wider, Transparenz und Vertrauenswürdigkeit in der KI-Nutzung zu fördern, ohne Innovation durch übermäßige Regulierung zu hemmen.
Anforderungen an Hochrisiko-KI-Systeme
Die detaillierten Anforderungen an Hochrisiko-KI-Systeme bilden das Herzstück des AI Acts. Sie orientieren sich an etablierten Qualitätsmanagement- und Produktsicherheitsstandards, gehen aber in vielen Bereichen darüber hinaus, um den spezifischen Herausforderungen von KI-Systemen gerecht zu werden.
Die Dokumentationsanforderungen des AI Acts bauen auf bewährten Konzepten der technischen Dokumentation auf, wie sie etwa aus der Maschinenrichtlinie bekannt sind. Allerdings werden sie um KI-spezifische Aspekte erweitert. Die technische Dokumentation muss einen umfassenden Einblick in das System ermöglichen, von der grundlegenden Architektur bis hin zu Entwicklungsmethoden und Validierungsverfahren.
Besondere Bedeutung kommt dem Risikomanagement-System zu, das sich an der ISO/IEC 42001 orientiert. Diese Norm für KI-Managementsysteme bietet einen strukturierten Rahmen für die Identifikation, Bewertung und Behandlung von Risiken. Das Risikomanagement muss dabei als kontinuierlicher Prozess verstanden werden, der das gesamte System über seinen Lebenszyklus begleitet.
Die Qualität der Trainingsdaten ist entscheidend für die Leistungsfähigkeit und Zuverlässigkeit von KI-Systemen. Der AI Act stellt daher besondere Anforderungen an das Datenmanagement. Die Trainingsdaten müssen relevant und repräsentativ für den Anwendungsfall sein, dabei aber auch Fehlerfreiheit und Vollständigkeit gewährleisten.
Besonders komplex wird die Situation, wenn personenbezogene Daten verarbeitet werden. Hier greifen die Anforderungen des AI Acts und der DSGVO ineinander: Neben der technischen Qualität der Daten müssen auch datenschutzrechtliche Aspekte wie die Rechtmäßigkeit der Verarbeitung und Privacy by Design berücksichtigt werden. Die Dokumentation der Datenverarbeitung muss beiden Regulierungen gerecht werden.
Transparenz ist ein Schlüsselprinzip des AI Acts, das sich in umfangreichen Informationspflichten niederschlägt. Anbieter von Hochrisiko-KI-Systemen müssen detaillierte Benutzerinformationen bereitstellen, die weit über klassische Bedienungsanleitungen hinausgehen. Sie müssen den spezifischen Verwendungszweck klar definieren und die Grenzen des Systems aufzeigen.
Besonders wichtig ist die Kommunikation des Leistungsniveaus und der Genauigkeit des Systems. Nutzer müssen verstehen können, mit welcher Zuverlässigkeit sie rechnen können und welche Faktoren die Systemleistung beeinflussen. Auch Wartungsanforderungen und Kalibrierungsvorschriften müssen klar dokumentiert sein.
Das Konzept der menschlichen Aufsicht (Human Oversight) ist fundamental für den sicheren Betrieb von Hochrisiko-KI-Systemen. Der AI Act fordert eine effektive Überwachung durch Menschen, die in der Lage sind, die Systeme zu verstehen und bei Bedarf einzugreifen. Dies erfordert eine sorgfältige Organisation der Aufsicht mit klaren Verantwortlichkeiten und Kompetenzen.
Die praktische Umsetzung orientiert sich an der ISO/IEC 42001 und verwandten Standards. Wichtig ist die Qualifikation der Aufsichtspersonen: Sie müssen sowohl die technischen Aspekte des Systems verstehen als auch dessen Auswirkungen auf den Anwendungskontext einschätzen können. Geeignete Überwachungstools und technische Eingriffsmöglichkeiten müssen bereitgestellt werden.
Konformitätsbewertung und Standards
Die Konformitätsbewertung im AI Act baut auf bewährten Konzepten des New Legislative Framework der EU auf, erweitert diese aber um KI-spezifische Aspekte.
Konformitätsbewertungsverfahren
Der AI Act sieht zwei grundlegende Wege zur Konformitätsbewertung vor. Die interne Kontrolle (Selbstbewertung) ist möglich für KI-Systeme, die bereits im Rahmen anderer EU-Regulierungen einer Konformitätsbewertung unterliegen. Dies betrifft etwa KI-Komponenten in Maschinen, die unter die Maschinenverordnung fallen.
Für eigenständige Hochrisiko-KI-Systeme ist hingegen eine Bewertung durch eine Benannte Stelle erforderlich. Diese prüft nicht nur die technische Dokumentation, sondern bewertet auch das Qualitätsmanagementsystem des Herstellers. Die Anforderungen orientieren sich dabei an der ISO 9001 und der entstehenden Normenreihe ISO/IEC 42000 für KI-Managementsysteme.
Harmonisierte Normen und Standards
Die technische Umsetzung des AI Acts wird maßgeblich durch harmonisierte Normen unterstützt. Bereits existierende Standards wie die ISO/IEC 42001 für KI-Managementsysteme oder die ISO/IEC 23894 für KI-Risikomanagement bieten wichtige Grundlagen. Die ISO/IEC 42001 wird dabei voraussichtlich eine Schlüsselrolle spielen, da sie zentrale Aspekte wie Qualitätsmanagement und Risikokontrolle abdeckt.
Die Europäische Kommission hat ein umfangreiches Normungsmandat angekündigt, das die Entwicklung weiterer harmonisierter Normen anstoßen wird. Diese werden sich besonders auf Bereiche wie Datenqualität, Robustheit und Cybersicherheit konzentrieren. Für Hersteller ist die Anwendung harmonisierter Normen von großer praktischer Bedeutung, da sie eine Konformitätsvermutung begründet.
Pflichten der Wirtschaftsakteure
Der AI Act definiert differenzierte Pflichten für verschiedene Akteure in der KI-Wertschöpfungskette. Diese Pflichten ergänzen bestehende Verpflichtungen aus anderen Regulierungen.
Herstellerpflichten
Die Herstellerpflichten sind besonders umfangreich und bauen auf dem bewährten Konzept der Produktverantwortung auf. Zentral ist die Einrichtung eines Qualitätsmanagementsystems nach ISO 9001, ergänzt um KI-spezifische Anforderungen der ISO/IEC 42001. Die technische Dokumentation muss dabei nicht nur die Konformität mit dem AI Act nachweisen, sondern auch die Schnittstellen zu anderen relevanten Regulierungen wie der Maschinenverordnung und der Produkthaftungsrichtlinie berücksichtigen.
Besondere Bedeutung kommt dem Post-Market Monitoring zu: Hersteller müssen die Leistung ihrer KI-Systeme im praktischen Einsatz überwachen und bei Problemen schnell reagieren können. Dies erfordert geeignete Monitoring-Systeme und definierte Prozesse für Korrekturmaßnahmen.
Importeure und Händler
Importeure und Händler tragen eine wichtige Verantwortung in der Lieferkette. Sie müssen vor dem Inverkehrbringen oder der Bereitstellung eines KI-Systems dessen Konformität überprüfen. Dies umfasst die Kontrolle der CE-Kennzeichnung und der Vollständigkeit der Dokumentation.
Die Rückverfolgbarkeit in der Lieferkette spielt dabei eine zentrale Rolle: Alle Wirtschaftsakteure müssen dokumentieren, von wem sie KI-Systeme bezogen und an wen sie diese weitergegeben haben. Vorkommnisse müssen gemeldet und dokumentiert werden, wobei die Meldepflichten sich an bestehenden Systemen wie der Produktsicherheitsdatenbank RAPEX orientieren.
Marktüberwachung und Sanktionen
Die Durchsetzung des AI Acts erfolgt durch ein Netzwerk nationaler Behörden in Zusammenarbeit mit dem European Artificial Intelligence Board. Dieses neue Gremium wird eine koordinierende Rolle spielen und für eine einheitliche Anwendung der Vorschriften sorgen.
Der Sanktionsrahmen ist bewusst streng gestaltet: Verstöße können mit Geldbußen von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes geahndet werden. Die Höhe der Sanktionen orientiert sich dabei an der Schwere des Verstoßes und der Größe des Unternehmens. Nationale Behörden können zusätzliche Sanktionen verhängen.
Fazit und Ausblick
Der AI Act stellt einen Meilenstein in der Regulierung von KI dar und wird die Entwicklung und den Einsatz dieser Technologie in Europa maßgeblich prägen. Für Unternehmen bedeutet dies zunächst einen erheblichen Implementierungsaufwand. Langfristig bietet die Regulierung jedoch auch Chancen: Sie schafft Rechtssicherheit, fördert das Vertrauen in KI-Systeme und kann damit zur Akzeptanz dieser Technologie beitragen.
Erfolgsentscheidend wird sein, die Umsetzung frühzeitig und systematisch anzugehen. Die entstehenden harmonisierten Normen werden dabei wichtige Hilfestellung leisten. Unternehmen sollten die Übergangszeit nutzen, um ihre Systeme und Prozesse anzupassen und ihre Mitarbeiter entsprechend zu schulen.