KI-Verordnung der EU: Warum Unternehmen jetzt handeln sollten

Die KI-Verordnung beinhaltet Chancen und Risiken für die Unternehmen. Ihre Umsetzung schafft Vertrauen in KI-Systeme und sorgt für ein gutes Unternehmensimage. Doch Regelverletzungen werden mit hohen Bußgeldern sanktioniert. Die neue ISO-Norm 42001 kann durch Strukturvorgaben bei der Umsetzung der Verordnung helfen.

Am 1. August 2024 ist die europäische Verordnung über künstliche Intelligenz (KI-Verordnung) in Kraft getreten. Für Unternehmen, die KI-Systeme herstellen, betreiben oder auch nur nutzen, gelten damit ab Februar 2025 erste Bestimmungen zu besonders kritischen Themenfeldern. Andere Regeln werden hingegen erst ab August 2026 verbindlich. In seiner Vollständigkeit wird das „Gesetz über künstliche Intelligenz“ dann in spätestens zwei Jahren anwendbar. Je nachdem, welche Rolle ein Unternehmen im Lebenszyklus eines KI-Systems einnimmt, sind unterschiedliche Anforderungen und Pflichten darin vorgeschrieben.

Doch egal, ob es sich um Entwickler, Betreiber oder lediglich um Nutzer von intelligenten Tools handelt – es ist für alle Unternehmen ratsam, sich schon jetzt auf die vollumfängliche Geltung der Verordnung einzustellen. Als verantwortliche Anwender der Technologie verschaffen sich die Unternehmen auf diese Weise nicht nur einen Imagegewinn. Sie schützen sich auch gegen empfindliche Sanktionen, die bei Verstößen gegen die Regularien fast doppelt so hoch wie bei der Datenschutz-Grundverordnung ausfallen können.

Wettbewerbsvorteile durch verordnungskonforme KI-Lösungen

Schon 2023 haben führende KI-Expert*innen die Gefahren einer unregulierten Nutzung künstlicher Intelligenz mit dem Ausbruch von Pandemien oder eines Atomkriegs verglichen. Die EU nimmt diese Warnungen sehr ernst und reguliert als erste große Rechtsgemeinschaft der Staaten den Umgang mit der Technologie umfassend. Sie sieht in dieser Maßnahme weniger eine Einschränkung der Innovationskraft europäischer Unternehmen. Stattdessen will sie die Unternehmen in die Lage versetzen, sichere, ethische und transparente KI-Lösungen zu entwickeln und anzuwenden. Das soll das Verbrauchervertrauen steigern und dadurch den europäischen Unternehmen Wettbewerbsvorteile verschaffen.

Doch die EU verlässt sich nicht allein auf die Vision besserer Marktchancen, um die Unternehmen zu mehr Sicherheit bei der Herstellung, dem Betrieb und der Nutzung der KI zu bewegen. Um das neue Gesetz durchzusetzen, sieht sie Bußgelder in bis zu zweistelliger Millionenhöhe für Unternehmen vor, die sich nicht an die Vorgaben halten, ihren Pflichten nicht nachkommen oder Anforderungen nicht erfüllen. Strafzahlungen von bis zu 7 Prozent des weltweiten Jahresumsatzes sind im härtesten Fall vorgesehen. Das soll dafür sorgen, dass die Unternehmen die KI-Verordnung einhalten und geeignete Maßnahmen zur Sicherstellung der Compliance ergreifen.

Auch ChatGPT-Nutzer fallen unter die EU-Verordnung

Die Regelung richtet sich keinesfalls nur an die Entwickler von neuartigen KI-Modellen oder -Anwendungen. Auch sogenannte „Betreiber“ und „Nutzer“ von entsprechenden Tools fallen unter die Zielgruppe der Verordnung. Betreiber von KI-Systemen sind Unternehmen, die anderen entsprechende Modelle zur Verfügung stellen. Nutzer wenden die – gegebenenfalls vom Betreiber individuell konfigurierten – Systeme im Rahmen der eigenen Geschäftsprozesse an. Ein Unternehmen ist schon dann ein Nutzer im Sinne der EU-Verordnung, wenn es den Mitarbeiter*innen die Möglichkeit einräumt, mit ChatGPT oder Copilot Texte oder Folien zu erstellen. Bereits ab August 2025 müssen Unternehmen, die mit entsprechenden Tools arbeiten, erste Maßnahmen umsetzen. Beispielsweise sind sie dazu verpflichtet, ihr Personal gezielt weiterzubilden, um so die KI-Kompetenz in der Belegschaft zu stärken.

Hohe Komplexität durch Risikoklassen-Modell

Die schrittweise Einführung der Vorgaben, Anforderungen und Pflichten der Verordnung ist nicht der einzige Faktor, der das Thema komplex macht. Auch das Risikomodell, das die EU dem Umgang mit der künstlichen Intelligenz zugrunde gelegt hat, macht die Sache komplex. So klassifiziert die Verordnung unterschiedliche KI-Systeme nach ihren Gefährdungspotenzialen. Den jeweiligen Risikoklassen weist sie anschließend unterschiedliche Anforderungen zu, die die Unternehmen im Rahmen ihrer Compliance-Maßnahmen adressieren müssen. Von KI mit minimalem bis hin zur KI mit unannehmbarem Risiko – die Unternehmen müssen die Umsetzung der damit verbundenen Anforderungen sicherstellen und die jeweiligen Pflichten erfüllen. Doch das ist leichter gesagt als getan. So ist es für die Unternehmen alles andere als trivial, die eigene KI-Lösung der jeweiligen Risikoklasse zuzuordnen. Auch die Identifikation der mit der Risikoklasse verbundenen Regularien kann eine Herausforderung darstellen. Doch erst, wenn die Unternehmen hier die nötige Klarheit gewonnen haben, beginnt die eigentliche Arbeit: Die verordnungskonforme Umsetzung der spezifischen Anforderungen.

Zwei Maßnahmen unterstützen Unternehmen dabei, trotz der hohen Komplexität den Überblick zu behalten und die Sicherheit, Transparenz und Fairness ihrer KI-Systeme zu gewährleisten: die Einführung und Umsetzung eines KI-Managementsystems in Anlehnung an die internationale Norm ISO 42001 sowie die Durchführung von regelmäßigen System-Audits durch unabhängige und fachkundige Wirtschaftsprüfer*innen.

Mit ISO-Zertifizierung zu mehr Vertrauen in die KI-Systeme

Mit der ISO 42001 hat die International Organization for Standardization (ISO) die weltweit erste Norm für ein integriertes Managementsystem (iMS) für die intelligente Technologie geschaffen. Die Ziele des iMS nach dieser Norm entsprechen in vielerlei Hinsicht denen der neuen KI-Verordnung. Die ISO-Norm unterstützt die Unternehmen dabei, den Überblick über folgende Themenfelder zu behalten: (i) die notwendigen Regelungswerke (Governance), (ii) die Aufbau- und Ablauforganisation (Menschen, Rollen und Prozesse) sowie (iii) die vielen verschiedenartigen und aufeinander bezogenen Compliance-Nachweise. Darüber hinaus ist die ISO-Norm hilfreich, um Risiken im Zusammenhang mit KI-Systemen zu ermitteln und diese durch die Umsetzung von Schutzmaßnahmen zu reduzieren. Ein Vorteil der Norm ist zudem ihre internationale Gültigkeit und damit die weltweite Anerkennung offizieller Zertifizierungen.

Mit Wirtschaftsprüfer*innen zu effizienteren Kontrollsystemen

Die KI-Verordnung geht davon aus, dass die Unternehmen bereits über ein robustes internes Kontrollsystem (IKS) verfügen. Besteht im Ausnahmefall kein IKS, wird es für die entsprechenden Unternehmen ungleich aufwändiger, die Anforderungen der Verordnung zu erfüllen und ein entsprechendes Managementsystem aufzubauen. Ziel des IKS ist es, die KI-Systeme kontinuierlich zu überwachen und auf diese Weise die Lücken im Managementsystem zu schließen. Die Verordnung bestimmt darüber hinaus, dass die Unternehmen eine umfassende Dokumentation und Berichterstattung über die Nutzung und Funktionsweise ihrer KI-Anwendungen erstellen müssen.

In beiden Themenfeldern ist der Einsatz von Wirtschaftsprüfer*innen sinnvoll. Wenn die Bereitstellung oder Nutzung der KI-Systeme rechnungslegungsrelevant ist, ist es sogar erforderlich, Wirtschaftsprüfer*innen hinzuzuziehen. Sie bringen ihre Expertise beim Audit des IKS ein und tragen so dazu bei, dass das Kontrollsystem effektiv funktioniert und den gesetzlichen Anforderungen entspricht. Das Know-how der Prüfer*innen ist aber auch bei der Dokumentation gefragt. Der Grund ist auch hier der valide Abgleich der Berichte mit den Regularien – eine Tätigkeit, für die Wirtschaftsprüfer*innen durch die Prüfung der Jahresabschlussberichte bestens geschult sind.

Fazit: Unternehmen sollten zeitnah handeln

Die Unternehmen sollten sich zeitnah mit der KI-Verordnung auseinandersetzen, denn die ersten Sanktionen gegen Regelverstöße werden nicht lange auf sich warten lassen. Bei der Umsetzung der nötigen Maßnahmen kann die Norm ISO 42001 von unschätzbarem Wert sein. Richten die Unternehmen ihre KI-Systeme danach aus, werden sie nicht nur ihrer Verantwortung gerecht. Sie können auch an Reputation gewinnen und so ihre Marktstellung verbessern.

Für weitere Themen rund um die Wirtschaftsprüfung und Forvis Mazars folgen Sie uns auch auf LinkedIn.