EU AI-Act: Was Schweizer Unternehmen wissen und tun müssen
Der AI-Act der Europäischen Union ("EU AI-Act") ist eine umfassende Verordnung, die den Einsatz von Künstlicher Intelligenz (KI) innerhalb der Europäischen Union reguliert. Ziel der Verordnung ist es, Innovation und Sicherheit in Einklang zu bringen, indem KI-Systeme nach ihrem Risiko eingestuft und entsprechenden Anforderungen unterworfen werden. Auch für Schweizer Unternehmen kann der EU AI-Act von Relevanz sein. In diesem Beitrag erläutern wir, unter welchen Bedingungen er anwendbar ist und welche Massnahmen erforderlich sind.
Zeitplan und Übergangsfristen
Der EU AI-Act trat am 2. Mai 2024 in Kraft und wird nach einer Übergangsfrist ab Mai 2026 vollständig anwendbar. Einzelne Regelungen treten jedoch gestaffelt vor oder nach diesem Zeitpunkt in Kraft: Verbote von KI-Systemen mit inakzeptablem Risiko ab November 2024, Regeln für generative KI ab Mai 2025 und Pflichten für eingebettete KI-Systeme ab Mai 2027.
Bedeutung des AI-Acts für Schweizer Unternehmen
Die Verordnung folgt dem sogenannten Marktortprinzip und gilt entsprechend nicht nur für EU-Unternehmen. Sie ist auch für Schweizer Unternehmen relevant, wenn diese:
- KI-Systeme in der EU vertreiben oder dort anbieten;
- KI-Anwendungen nutzen, die in der EU ansässige Kunden oder Geschäftspartner betreffen.
Darüber hinaus kann der EU AI-Act auch für Unternehmen gelten, die KI von Drittanbietern über APIs in ihre Plattformen integrieren. Obwohl diese Unternehmen nicht Eigentümer der KI sind, müssen sie sicherstellen, dass die eingebundene KI den regulatorischen Anforderungen entspricht – insbesondere hinsichtlich Transparenzpflichten wie der Kennzeichnung KI-generierter Inhalte und klarer Nutzerinformationen. Zudem tragen sie eine Mitverantwortung für den KI-Einsatz, insbesondere bei Hochrisiko-Anwendungen. Daher sind klare vertragliche Regelungen mit dem API-Anbieter der KI unerlässlich. Um die regulatorischen Vorgaben einzuhalten und Risiken zu minimieren, sind eine sorgfältige Dokumentation sowie kontinuierliches Monitoring der KI-Integration erforderlich.
Kategorien von KI
Die Verordnung kategorisiert KI-Anwendungen in verschiedene Risikostufen – je nach Einordnung des Risikos gelten andere regulatorische Bestimmungen:
- Untragbares Risiko: KI-Systeme, die Menschenrechte oder die Sicherheit gefährden, sind unter dem EU AI-Act verboten;
- Hochrisiko-KI: Systeme, die in kritischen Bereichen wie Medizin, Verkehr oder Justiz eingesetzt werden, unterliegen strengen Anforderungen, z.B. bezüglich Transparenz, Datensicherheit und menschlicher Überwachung;
- Generative KI: Anwendungen wie Chatbots oder Textgeneratoren müssen Transparenzanforderungen erfüllen, z.B. die Kennzeichnung generierter Inhalte und die Offenlegung von Trainingsdaten.
Handlungsempfehlungen
Verstösse gegen den EU AI-Act können, ähnlich Verstössen gegen die Datenschutz-Grundverordnung der EU (EU-DSGVO), mit hohen Bussen sanktioniert werden. Angesichts dessen und der umfassenden Anforderungen des EU AI-Acts sollten sich Schweizer Unternehmen frühzeitig mit den notwendigen Massnahmen befassen.
Um auf die neuen Regelungen vorbereitet zu sein, empfiehlt es sich, entsprechend dem risikobasierten Aufbau des EU AI-Acts folgende Massnahmen in Betracht zu ziehen:
- Risikobewertung: Prüfen, ob die eingesetzten KI-Systeme als Hochrisiko-KI oder generative KI eingestuft werden.
- Compliance-Strategie: Entwickeln einer klaren Strategie, um die Vorgaben des EU AI-Acts zu erfüllen. Dazu gehört auch die Dokumentation von Risikobewertungen und Massnahmen zur Qualitätssicherung.
- Technische und organisatorische Massnahmen: Einrichtung von Systemen für Datenmanagement, Sicherheitsprüfungen und Algorithmus-Transparenz entsprechend der Risikobewertung.
- Vertragliche Absicherung: Anpassung von Verträgen, insbesondere mit EU-Kunden und -Partnern an die neuen Anforderungen, um Haftungsrisiken zu minimieren.
- Schulungen: Durchführung von Schulungen von Mitarbeitenden im Zusammenhang mit den neuen Vorgaben des EU AI-Acts.
Situation in der Schweiz
In der Schweiz gibt es bis anhin noch keine Regulierung von KI. Allerdings hat der Bundesrat am 12. Februar 2025 beschlossen, die Konvention des Europarats zu Künstlicher Intelligenz ebenfalls zu ratifizieren und die dafür notwendigen Anpassungen im Schweizer Recht vorzunehmen. Die Regulierung soll das Potenzial von KI für den Wirtschafts- und Innovationsstandort Schweiz nutzbar machen und gleichzeitig Risiken für die Gesellschaft minimieren. Geplant sind sektorbezogene Gesetzesanpassungen in Bereichen wie Transparenz, Datenschutz, Nichtdiskriminierung und Aufsicht.
Neben der Gesetzgebung werden auch rechtlich nicht verbindliche Massnahmen wie Selbstdeklarationsvereinbarungen oder Branchenlösungen erarbeitet. Das Eidgenössische Justiz- und Polizeidepartement (EJPD) wird bis Ende 2026 eine Vernehmlassungsvorlage erstellen, welche die notwendigen gesetzlichen Massnahmen festlegt. Zudem wird ein Plan für weitere Massnahmen nicht verbindlicher Natur erarbeitet, der die Vereinbarkeit des Schweizer Ansatzes mit jenen der wichtigsten Handelspartner berücksichtigt.
Fazit
Der EU AI Act stellt hohe Anforderungen an den Einsatz von Künstlicher Intelligenz. Die genaue Umsetzung dieser Verordnung in der Praxis ist jedoch noch unklar. Ähnlich wie bei der EU-DSGVO wird sich erst mit der Zeit eine etablierte Praxis herauskristallisieren.
Schweizer Unternehmen, die KI entwickeln, vertreiben oder in ihre Systeme integrieren, sollten sich frühzeitig mit den neuen Vorschriften auseinandersetzen, um rechtliche Risiken zu minimieren und sich als vertrauenswürdige Marktteilnehmer zu positionieren.
Wer proaktiv handelt, kann die regulatorischen Hürden meistern und sich Wettbewerbsvorteile sichern – gerade in einem Markt, der zunehmend Transparenz und verantwortungsvollen KI-Einsatz fordert.