AI ACT

Die EU-KI-Verordnung, auch als „AI Act“ bezeichnet, ist die erste umfassende Rechtsvorschrift, die den Einsatz künstlicher Intelligenz regelt. Die Verordnung regelt die Entwicklung, Vermarktung und Nutzung von KI-Systemen in der EU auf der Grundlage ihres Risikograds. Die KI-Verordnung trat 2024 in Kraft, und die Anforderungen werden schrittweise bis 2025–2027 eingeführt. Für viele Organisationen bedeutet dies, dass KI nicht mehr nur eine technische Frage ist, sondern eine geschäftliche und führungsbezogene Verantwortung. 

Unsere Experten bei Nesp.ONE unterstützen Unternehmen dabei, die Einhaltung der EU-KI-Verordnung aufzubauen, umzusetzen und aufrechtzuerhalten, wobei der Schwerpunkt insbesondere auf Risikominderung, Sicherheit und der verantwortungsvollen Einführung von KI liegt. 

Die KI-Verordnung tritt schrittweise in Kraft: 

• 2. Februar 2025: Das Verbot risikoreicher KI-Praktiken tritt in Kraft. 

• 2. August 2025: Vorschriften für generative KI-Modelle (wie ChatGPT) treten in Kraft. 

• 2. August 2026: Die vollständigen Anforderungen für KI-Systeme mit hohem Risiko treten in Kraft. 

• 2. August 2027: Anforderungen an bestimmte bestehende KI-Systeme treten in Kraft. 

Dänische Unternehmen sollten jetzt mit der Compliance-Arbeit beginnen, um die Fristen einhalten zu können. 

Die KI-Verordnung gilt für alle dänischen Unternehmen und Organisationen, die: 

• Entwickelt KI-Systeme (Anbieter). 

• Setzt KI-Systeme im geschäftlichen Kontext ein (Anwender/Einsatzbetreiber). 

• Importiert KI-Systeme aus Ländern außerhalb der EU. 

• Vertrieb von KI-Systemen auf dem dänischen Markt. 

Dies gilt sowohl große Konzernen sowie kleine Unternehmen. Selbst wenn Sie nur nutzen Lösungen von Drittanbietern als Microsoft Copilot oder ChatGPT, haben In Verantwortung als Nutzer als KI. 

Nesp.ONE bietet Beratung und praktische Lösungen, die Unternehmen bei der Einhaltung von KI-Vorschriften wirksam unterstützen. 

Ja, aber die Anforderungen hängen davon ab, wie dänische Unternehmen diese Tools nutzen. 

Die meisten dänischen Unternehmen sind Nutzer und müssen: 

• Risiken bei der Nutzung bewerten (z. B. wenn Mitarbeiter KI für den Kundenservice oder die Dokumentenverwaltung einsetzen). 

• Stellen Sie sicher, dass sensible Daten nicht an KI-Systeme weitergegeben werden. 

• Gegebenenfalls eine menschliche Aufsicht einführen. 

• Die Verwendung dokumentieren, insbesondere wenn die Ergebnisse der KI für Entscheidungen über Personen herangezogen werden. 

Wenn ihr auf Basis dieser Plattformen eigene KI-Lösungen entwickelt, könnt ihr als Anbieter haftbar gemacht werden.

Nesp.ONE bietet Beratung und praktische Lösungen, die Unternehmen dabei unterstützen, alle Anforderungen zu erfüllen und die Compliance sicherzustellen.

In Dänemark wird die KI-Verordnung durch koordinierte Maßnahmen unter der Leitung der Digitalisierungsbehörde durchgesetzt. Die Datenschutzbehörde und die Gerichtsverwaltung unterstützen sowohl die Durchsetzung als auch die Marktüberwachung, und all dies geschieht im Rahmen der gemeinsamen EU-Vorgaben und der Governance-Struktur. 

Die Digitalisierungsbehörde  
Die Digitalisierungsbehörde fungiert als nationale koordinierende Aufsichtsbehörde für die KI-Verordnung in Dänemark.

Sie ist für die allgemeine Aufsicht und die Koordinierung der Umsetzung zuständig und fungiert gleichzeitig als notifizierende Behörde und zentrale Marktüberwachungsbehörde gemäß dänischem Recht. Darüber hinaus ist die Digitalisierungsbehörde Dänemarks primäre Anlaufstelle für andere EU-Länder und die Europäische Kommission in Fragen der KI-Verordnung. 

Datenschutzbehörde  
Die Datenschutzbehörde wurde als eine der dänischen Marktüberwachungsbehörden benannt. Die Behörde konzentriert sich insbesondere auf jene Teile der KI-Verordnung, in denen sich die Anforderungen an KI-Systeme mit dem Schutz personenbezogener Daten überschneiden, einschließlich verbotener Praktiken und der Einhaltung der Grundrechte. 

Verstöße gegen die KI-Verordnung können zu erheblichen Geldbußen führen: 

• Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes (der höhere Betrag) bei Verstößen gegen verbotene KI-Praktiken 

• Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes bei Verstößen gegen andere Verpflichtungen der Verordnung 

• Bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes für die Übermittlung unrichtiger Angaben an Behörden 

Neben Geldstrafen kann die Nichteinhaltung von Vorschriften zu Reputationsschäden, einem Verlust des Kundenvertrauens und betrieblichen Störungen führen. Unabhängig davon, ob Sie bereits KI-Systeme im Einsatz haben oder sich in der Startphase befinden, helfen Ihnen unsere Experten bei Nesp.ONE dabei, sowohl gesetzeskonform als auch verantwortungsbewusst zu handeln. 

Gemäß der EU-KI-Verordnung ist der Begriff KI-System weit gefasst, sodass es viele verschiedene Arten intelligenter software- und maschinenbasierter Lösungen abdeckt. Ein KI-System wird als maschinenbasiertes System beschrieben, das: 

• wurde so entwickelt, dass es mit unterschiedlichem Grad an Autonomie arbeiten kann (das heißt, dass es Aufgaben bis zu einem gewissen Grad ohne direkte menschliche Eingriffe ausführen kann). 

• sich nach der Inbetriebnahme anpassen kann, z. B. durch eine Änderung des Verhaltens auf der Grundlage neuer Daten oder Interaktionen. 

• kann auf der Grundlage eines bestimmten Zwecks Eingabedaten analysieren und Ergebnisse wie Prognosen, Inhalte, Empfehlungen oder Entscheidungen generieren. 

• liefert Ergebnisse, die sowohl physische als auch digitale Umgebungen beeinflussen können, beispielsweise durch die Beeinflussung von Benutzern oder die Automatisierung von Prozessen in einem System. 

Beispiele für Systeme, die unter diese Definition fallen können: 

• Chatbots und Sprachmodelle. 

• Empfehlungssysteme (z. B. für Streaming oder Online-Shopping). 

• Tools für die prädiktive Analyse. 

• Systeme zur Bilderkennung (Machine Vision). 

• autonome Roboter oder Fahrzeuge. 

• adaptive Steuerungssysteme in der Industrie. 

Unsere Experten bei Nesp.ONE können Ihnen dabei helfen, zu beurteilen, ob Ihre Lösung unter die Definition der KI-Verordnung fällt, und Sie bei der Gewährleistung der Compliance unterstützen. 

Die KI-Verordnung unterteilt Hochrisikosysteme in zwei Kategorien: 

1. KI-Systeme in Produkten, die den EU-Sicherheitsvorschriften unterliegen(Medizinprodukte, Kraftfahrzeuge, Spielzeug usw.)
2. KI-Systeme, die in bestimmten Bereichen eingesetzt werden, darunter:

• • Biometrische Identifizierung. 

• • Kritische Infrastruktur. 

• • Allgemeine und berufliche Bildung. 

• • Einstellung und Personalbeschaffung. 

• • Zugang zu grundlegenden Dienstleistungen (Kredite, Versicherungen, Gesundheitsversorgung). 

• • Strafverfolgung. 

• • Migration und Grenzkontrolle. 

• • Rechtssystem. 

Wenn Sie sich unsicher sind, kann Nesp.ONE Ihnen bei einer Risikobewertung Ihrer KI-Systeme helfen. 

Die KI-Verordnung verbietet bestimmte Formen der KI-Nutzung gänzlich, da sie entweder Grundrechte verletzen können oder als inakzeptables Risiko eingestuft werden.

Beispiele für verbotene KI-Praktiken sind unter anderem: 

• Soziale Bewertungssysteme, bei denen Bürger anhand einer Art „Vertrauensbewertung“ beurteilt oder eingestuft werden. 

• Manipulative KI, die schutzbedürftige Gruppen ausnutzt, z. B. Kinder, ältere Menschen oder andere gefährdete Personen. 

• Bestimmte Formen der biometrischen Überwachung, insbesondere die Massenüberwachung mit Echtzeit-Gesichtserkennung im öffentlichen Raum (allerdings mit einigen wenigen, sehr eng gefassten Ausnahmen für Strafverfolgungsbehörden). 

• KI, die versucht, Straftaten vorherzusagen, wobei die Einschätzung ausschließlich auf Profiling basiert. 

Die KI-Verordnung basiert im Wesentlichen auf einem risikobasierten Ansatz, bei dem die Anforderungen davon abhängen, wie KI eingesetzt wird und welche Folgen dies haben kann: 

• Hochrisikobehaftete KI umfasst Systeme, die in Bereichen mit großer Bedeutung für den Menschen eingesetzt werden, z. B. in der Personalbeschaffung, der Bonitätsprüfung, im Gesundheitswesen, im Bildungswesen oder bei der Compliance. Hier gelten Anforderungen unter anderem hinsichtlich Steuerung, Dokumentation, Datenqualität und menschlicher Kontrolle.

• KI mit begrenztem Risiko erfordert in erster Linie Transparenz, beispielsweise dass Nutzer klar informiert werden, wenn sie mit KI oder generativer KI interagieren.

• Low-Risk-KI kann grundsätzlich frei genutzt werden, es wird jedoch weiterhin empfohlen, bewährte Verfahren zu befolgen und eine verantwortungsvolle Nutzung sicherzustellen.

Wir von Nesp.ONE unterstützen Sie gerne bei der Risikobewertung Ihrer KI-Systeme. 

Nein, eine ISO 27001-Zertifizierung ist in der KI-Verordnung nicht vorgeschrieben, aber: 

• Unternehmen, die nach ISO 27001 zertifiziert sind, verfügen bereits über viele der für die KI-Compliance erforderlichen Governance-Strukturen. 

• KI-spezifische Risiken können in bestehende ISMS (Informationssicherheits-Managementsysteme) integriert werden. 

• ISO 42001 (neue Norm für KI-Management) kann die Arbeit im Bereich der KI-Compliance ergänzen. 

Nesp.ONE unterstützt Unternehmen dabei, ihre bestehende ISO 27001-Zertifizierung um KI-spezifische Kontrollmaßnahmen zu erweitern. 

Ein zentraler Schwerpunkt des KI-Gesetzes sind Transparenz und Rechenschaftspflicht. Organisationen müssen erklären können, wie ihre KI-Lösungen funktionieren, auf welchen Daten sie basieren und wie Risiken gehandhabt werden. Gleichzeitig muss es klare Rollen und menschliche Kontrolle geben, damit wichtige Entscheidungen nicht blind automatisierten Systemen überlassen werden. 

Human-in-the-Loop (HITL) oder menschliche Aufsicht bedeutet, dass ein Mensch die Entscheidungen des KI-Systems aktiv überwacht und eingreifen kann. Ziel ist es, Risiken wie Voreingenommenheit, fehlerhafte automatische Entscheidungen, technische Fehler und Situationen zu verringern, in denen KI zu Schäden führen oder die Rechte von Personen verletzen kann. 

 KI-Systeme, insbesondere KI-Systeme mit hohem Risiko, müssen so entwickelt und eingesetzt werden, dass Menschen das System verstehen, überwachen und bei Bedarf eingreifen können. 

In der Praxis bedeutet dies, dass Organisationen, die risikoreiche KI einsetzen, sich nicht blind auf die Ergebnisse der KI verlassen dürfen. Wenn KI die Sicherheit, die Rechte oder die Möglichkeiten von Menschen beeinflusst, muss die Verantwortung für die endgültige Entscheidung weiterhin bei Menschen liegen.

Voreingenommenheit in der KI bedeutet, dass das System bestimmte Gruppen (aufgrund von Geschlecht, Alter, ethnischer Zugehörigkeit usw.) systematisch bevorzugt oder benachteiligt. Voreingenommenheit kann entstehen durch: 

• Verzerrte Trainingsdaten (z. B. nur Daten von Männern). 

• Fehler im Algorithmusdesign. 

• Verborgene Zusammenhänge in Daten. 

So vermeiden Sie Voreingenommenheit: 

• Qualitätssicherung von Trainingsdaten hinsichtlich ihrer Repräsentativität. 

• Prüfen Sie vor der Bereitstellung, ob die Ausgabe diskriminierend ist. 

• Laufende Überwachung der Systementscheidungen im Betrieb. 

• Verschiedene Teams in der KI-Entwicklung. 

• Dokumentation der Datenqualität und der Testergebnisse. 

Die KI-Verordnung schreibt vor, dass Systeme mit hohem Risiko vor und während des Einsatzes auf Verzerrungen geprüft werden müssen. Wir bei Nesp.ONE helfen Ihnen gerne dabei, auf Verzerrungen zu testen.

Das KI-Gesetz setzt Erwartungen an verantwortungsvolle KI in konkrete und durchsetzbare Anforderungen um. Organisationen müssen nachweisen können, dass ihre KI-Systeme so konzipiert und eingesetzt werden, dass sie Grundrechte und gesellschaftliche Werte achten, unfaire Verzerrungen und diskriminierende Ergebnisse verhindern, echte Transparenz und Nachvollziehbarkeit gewährleisten sowie menschliche Überwachung und Eingriffe ermöglichen. Gleichzeitig müssen die Systeme im Laufe der Zeit stabil, sicher und vorhersehbar funktionieren. 

Diese Erwartungen gelten für den gesamten KI-Lebenszyklus, von der Datenauswahl und dem Modelldesign bis hin zur Implementierung, Überwachung und kontinuierlichen Verbesserung. Ethische KI im Rahmen eines KI-Rechtsrahmens ist kein theoretisches Ideal, sondern eine praktische Führungsverantwortung, die dokumentierte Entscheidungen, klare Zuständigkeiten und operative Kontrollen voraussetzt. 

Für Organisationen, die frühzeitig damit beginnen, bietet sich die Möglichkeit, ein solides Fundament für verantwortungsvolle KI zu schaffen: 

• Das Vertrauen von Kunden, Mitarbeitern und Partnern stärken. 

• Geschäfts- und Reputationsrisiken minimieren. 

• Die Skalierung von KI auf sichere und kontrollierte Weise vereinfachen.

• Schaffung von Klarheit für die Geschäftsführung und den Vorstand. 

• Innovation fördern, ohne das Geschäft zu bremsen. 

Organisationen, die strukturiert an ethischer und verantwortungsvoller KI arbeiten, sind sowohl in regulatorischer als auch in wirtschaftlicher Hinsicht besser aufgestellt. 

Ein klar definiertes Rahmenwerk für die KI-Governance, das auf ethischer Entscheidungsfindung, eindeutigen Zuständigkeiten und soliden operativen Prozessen basiert. 

Die Entwicklung und Implementierung von KI-Systemen, die fair, sicher, diskriminierungsfrei und zuverlässig sind, verringert nicht nur das regulatorische Risiko. Sie stärkt auch das Vertrauen innerhalb der Organisation, schützt den Ruf und ermöglicht nachhaltige Innovationen in großem Maßstab. 

Ein klares Verständnis der ethischen und rechtlichen Auswirkungen von KI ermöglicht es der Unternehmensleitung, Compliance in die Strategie, Investitionsentscheidungen und das operative Management zu integrieren. 

Die KI-Governance muss über IT- und Datenteams hinausgehen und in der Unternehmensleitung, im Risikomanagement und in den internen Kontrollen sowie in den Compliance-, Rechts- und Revisionsfunktionen und bei den System-, Produkt- und Datenverantwortlichen verankert sein. Ohne Governance lässt sich eine verantwortungsvolle KI nicht nachweisen, und die regulatorische Robustheit der Organisation wird geschwächt. 

Unsere Experten bei Nesp.ONE unterstützen Unternehmen dabei, die Einhaltung der EU-KI-Verordnung zu etablieren, umzusetzen und aufrechtzuerhalten. 

Die KI-Verordnung der EU führt verbindliche Anforderungen für den gesamten Lebenszyklus von KI ein. Von der Konzeption und Entwicklung bis hin zur Implementierung und Überwachung nach der Inbetriebnahme erfordern die Compliance-Vorgaben operative Reife unter anderem in folgenden Bereichen: 

• Risikomanagement und Klassifizierung von KI-Systemen. 

• Daten-Governance, Datenqualität und Rückverfolgbarkeit. 

• Transparenz, Nachvollziehbarkeit und Informationen für die Nutzer. 

• Menschliche Überwachung und Verantwortung. 

• Laufende Überwachung und Korrekturmaßnahmen. 

Organisationen mit einem soliden ethischen und governancebezogenen Fundament sind besser gerüstet, diesen Anforderungen effektiv und konsequent gerecht zu werden. 

Wir bei Nep.ONE unterstützen Organisationen beim Aufbau, der Umsetzung und der Aufrechterhaltung der Compliance mit der EU-KI-Verordnung Act – mit besonderem Fokus auf Risikominderung, Sicherheit und verantwortungsvolle Implementierung von KI. Unabhängig davon, ob Ihre Organisation bereits KI-Systeme einsetzt oder zukünftige Initiativen plant, helfen wir Ihnen dabei, regulatorische Compliance, ethische Integrität und strategische Kohärenz sicherzustellen – ohne die Innovation zu bremsen. 

Beginnen Sie damit,  

1. Erfassen Sie Ihre KI-Nutzung: Identifizieren Sie alle KI-Systeme in Ihrer Organisation (einschließlich Tools von Drittanbietern).
2. Risiko einstufen: Bewerten Sie, welche Systeme ein hohes Risiko darstellen, generative KI sind oder ein begrenztes Risiko aufweisen.
3. Lückenanalyse: Vergleichen Sie Ihre derzeitige Situation mit den Anforderungen der Verordnung. 
4. Priorisieren Sie: Konzentrieren Sie sich zunächst auf Systeme mit hohem Risiko und Systeme mit erheblichen Compliance-Lücken.
5. Implementierung der Governance: Richten Sie Prozesse, Dokumentation und Kontrollen ein.

Nesp.ONE bietet eine kostenlose Erstberatung an, bei der wir Ihnen helfen, Ihre KI-Landschaft zu erfassen und die nächsten Schritte zu planen.