Im Vector - stock.adobe.com

EU AI Act: Wie Unternehmen die KI-Verordnung einhalten

Seit August 2024 sind Teile des EU AI Act in Kraft. Die neue Verordnung stellt hohe Anforderungen – angefangen von der Risikoklassifizierung bis hin zur Aufforderung zur Schulung.

Künstliche Intelligenz (KI) gilt als Schlüsseltechnologie, um die Effizienz zu steigern, Innovationen voranzubringen und die Wettbewerbsfähigkeit zu stärken. Doch bei allen Vorteilen birgt KI auch zahlreiche Risiken. Um einen ethischen und verantwortungsvollen Umgang mit der neuen Technologie zu gewährleisten, hat die EU den AI Act verabschiedet. Die weltweit erste umfassende KI-Regulierung setzt Leitplanken, die den Missbrauch von künstlicher Intelligenz verhindern und den Schutz der Grundrechte wahren sollen.

Der EU AI Act verfolgt einen risikobasierten Ansatz, das heißt, je nach Risikoklasse greifen unterschiedliche Anforderungen. Unternehmen stehen jetzt vor zahlreichen Herausforderungen: Sie müssen ermitteln, in welche Risikoklasse ein KI-System fällt, und geeignete Maßnahmen ergreifen, um Risiken zu mindern. Verstöße sind kein Kavaliersdelikt. Im schlimmsten Fall drohen Geldbußen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Transparenz schaffen

Der erste Schritt zur Compliance besteht darin, Transparenz zu schaffen, welche KI-Anwendungen überhaupt im Unternehmen im Einsatz sind. Dabei helfen Tools, die die IT-Umgebung scannen und sämtliche Aktivitäten im Netzwerk aufdecken. Selbst wer noch keine offiziellen KI-Projekte gestartet hat, sollte hier sorgsam vorgehen. Denn viele Unternehmen sind sich gar nicht bewusst, dass sie die neue Technologie bereits nutzen. Dazu kommt, dass viele Mitarbeitende gerne mit den neuen Möglichkeiten experimentieren – häufig ohne Kenntnis der IT-Abteilung. Dadurch entsteht eine gefährliche Schatten-KI, die unkontrollierbare Risiken birgt.

Es gibt einige grundlegende Best Practices, um KI-bezogene Risiken zu mindern. Diese sind nicht nur im Hinblick auf den AI Act relevant, sondern liegen im Eigeninteresse jedes Unternehmens. Schließlich möchte niemand, dass ChatGPT sensible Geschäftsgeheimnisse ausplaudert oder wichtige Entscheidungen auf Basis von Fehlinformationen getroffen werden. Bei KI-Anwendungen geht es immer um Datenverarbeitung. Daher sind eine gute Datenhygiene und eine saubere Dateninfrastruktur entscheidend für einen sicheren Einsatz der neuen Technologie. Welchen Output eine KI liefert, hängt vom Input und den Trainingsdaten ab. Bei öffentlichen KI-Tools, die auf Daten aus dem Internet zugreifen, können Anwender zum Beispiel nie sicher sein, woher die Informationen stammen und ob das Ergebnis korrekt ist

Die richtigen Daten verfügbar machen

Besser für den Unternehmenseinsatz geeignet sind daher individuelle, abgeschottete Implementierungen, bei denen man die Daten selbst kontrollieren kann. Eine beliebte KI-Anwendung im Unternehmensumfeld ist zum Beispiel Copilot für Microsoft 365. Sie basiert auf demselben Large Language Model (LLM) wie ChatGPT, wird aber von Microsoft in der Azure-Cloud gehostet. Copilot greift über Microsoft Graph auf Informationen und Kontext aus der Microsoft-365-Umgebung des Kunden zu. Damit relevante Daten gefunden werden, müssen Unternehmen zunächst dafür sorgen, dass diese innerhalb ihres Microsoft-365-Tenants zugänglich sind. Über Konnektoren lassen sich zudem externe Datenquellen anbinden. Hier gilt es, sorgfältig zu prüfen, woher die Daten stammen und ob sie verlässlich sind.

Berechtigungen und Freigaben prüfen

Viele der KI-Risiken sind Datenschutzrisiken und fallen daher unter die EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese muss zusätzlich zum EU AI Act berücksichtigt werden, sobald ein KI-System personenbezogene Daten verarbeitet. Unternehmen sollten daher sicherstellen, dass jeder Anwender nur auf die Daten zugreifen kann, für die er berechtigt ist. Denn sonst besteht die Gefahr, dass es zu Datenschutzverletzungen kommt oder ein intelligenter Chatbot zum Beispiel verrät, was auf dem Gehaltszettel der Geschäftsleitung steht.

Thomas Schmitz, SoftwareOne

„Um den sicheren Umgang mit KI zu trainieren und Awareness für Risiken zu schaffen, sind Schulungen unverzichtbar. Der EU AI Act fordert dies explizit in Artikel 4.“

Thomas Schmitz, SoftwareOne

Da eine KI-Anwendung in Sekundenschnelle riesige Datenmengen auswerten und auf Fragen antworten kann, steigt durch die neue Technologie das Risiko, dass Daten in die falschen Hände geraten. Um das zu vermeiden, ist es im Vorfeld wichtig, Transparenz über den Datenbestand zu schaffen und Daten zu klassifizieren. Welche Informationen sind unbedenklich, welche schutzbedürftig? Gibt es Daten, die die KI nicht verarbeiten soll? Copilot für Microsoft 365 übernimmt zum Beispiel automatisch alle relevanten Datenschutz-, Compliance- und Security-Richtlinien, die das Unternehmen in Microsoft 365 definiert hat. Vor der KI-Einführung sollten Administratoren daher sorgfältig die gesetzten Berechtigungen und Freigaben prüfen. Nicht selten sind aus Versehen sensible Sharepoint-Seiten auf public gesetzt.

Eine KI-Richtlinie veröffentlichen

Mit der richtigen Architektur, Dateninfrastruktur und Datenhygiene schaffen Unternehmen den technischen Rahmen für eine sichere KI-Nutzung. Trotzdem bleiben einige Restrisiken. So lässt sich der Einsatz öffentlicher KI-Anwendungen zum Beispiel kaum vollständig unterbinden. Denn selbst wenn man den Zugriff aus dem Unternehmensnetzwerk sperrt, besteht die Gefahr, dass Mitarbeiter die Anwendung auf ihrem privaten Laptop zu Hause aufrufen und dort sensible Daten eingeben.

Unverzichtbar sind daher klare Leitlinien für den Umgang mit KI im Unternehmenskontext und eine Sensibilisierung für die Risiken. Unternehmen sollten eine KI-Richtlinie veröffentlichen, die festlegt, welche KI-Tools erlaubt sind und welche nicht, worauf beim Einsatz von KI zu achten ist und welche Sanktionen bei Missachtung drohen. Außerdem sind klare Verantwortlichkeiten und Prozesse wichtig, zum Beispiel wer für welche Datenbereiche zuständig ist und wie der Datenschutz gewährleistet wird. Die KI-Richtlinie muss an die gesamte Belegschaft kommuniziert werden und jederzeit einsehbar sein. Da sich KI ständig weiterentwickelt und künftig neue Anwendungsfälle hinzukommen, sollten die Leitplanken außerdem regelmäßig auf ihre Aktualität überprüft und angepasst werden.

Schulungsverantwortung nach Artikel 4 EU AI Act

Um den sicheren Umgang mit KI zu trainieren und Awareness für Risiken zu schaffen, sind Schulungen unverzichtbar. Der EU AI Act fordert dies explizit in Artikel 4: „Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach bestem Wissen und Gewissen sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ausreichende KI-Kompetenz verfügen.“ Seit Februar 2025 gilt diese Verantwortung zur Schulung verbindlich, und zwar unabhängig davon, ob das Unternehmen KI-Anwendungen mit niedrigem oder hohem Risiko einsetzt.

Kevin Vollrath, SoftwareONE

„Mit der richtigen Architektur, Dateninfrastruktur und Datenhygiene schaffen Unternehmen den technischen Rahmen für eine sichere KI-Nutzung. Trotzdem bleiben einige Restrisiken.“

Kevin Vollrath, SoftwareONE

Am besten lässt sich diese Vorgabe mit einer E-Learning-Lösung umsetzen, die nachweislich die Anforderungen gemäß EU AI Act erfüllt. Einen solchen Kurs können Unternehmen jeder Größe schnell und einfach für beliebig viele Mitarbeiter ausrollen, ohne dass hohe Investitionen erforderlich sind. Teilnehmer haben dann die Möglichkeit, die Trainingsmodule an einem beliebigen Ort zu einer beliebigen Zeit in ihrem eigenen Tempo zu absolvieren. Nach erfolgreich bestandenem Abschlusstest erhalten sie ein Zertifikat, das ihre KI-Kompetenz bestätigt. Dies dient gleichzeitig als Qualitätsmerkmal und als Nachweis, dass das Unternehmen seiner gesetzlichen Schulungsverantwortung nachgekommen ist. Da die E-Learning-Module kontinuierlich an neue Anforderungen angepasst werden, können Unternehmen sicher sein, dass ihre Mitarbeiter immer nach aktuellem Stand geschult werden.

Fazit

Auf den ersten Blick mögen die Hürden bei der KI-Einführung hoch aussehen. Der EU AI Act legt jetzt noch eine weitere Latte auf. Ihn zu ignorieren – oder deshalb auf die neue Technologie zu verzichten – ist jedoch keine gute Idee. Denn damit vergeben Unternehmen wertvolle Chancen und riskieren, abgehängt zu werden. Wer die KI-Einführung strategisch angeht, eine saubere Datenhygiene pflegt und grundlegenden Best Practices folgt, erfüllt bereits einen Großteil der regulatorischen Anforderungen. Dieses Vorgehen ist für einen sicheren und erfolgreichen KI-Einsatz ohnehin empfehlenswert. Ein erfahrener Partner unterstützt dabei, die Transformation gewinnbringend zu bewältigen.

Über die Autoren:
Kevin Vollrath ist Sales Lead für den Bereich Corporate bei SoftwareOne. Zuvor war er Sales Lead für Digital Workplace Services in der DACH-Region. Mit mehr als zehn Jahren Erfahrung in Workplace-Projekten, die er unter anderem bei SoftwareOne und Microsoft gesammelt hat, bringt er umfassende Expertise mit. Insgesamt verfügt Kevin Vollrath über mehr als 20 Jahre Berufserfahrung in der IT-Branche und hat in verschiedenen Positionen umfangreiches Wissen und Expertise aufgebaut.

 

Thomas Schmitz leitet seit fünf Jahren den SoftwareOne IT Campus – dieser bietet ein umfassendes und professionelles IT-Trainingsangebot für alle SoftwareOne Kunden und Partner. Mit über 30 Jahren Erfahrung in der IT-Branche bringt er seit 2014 sein fundiertes Fachwissen und seine praxisnahe Expertise gezielt in die IT-Weiterbildung ein.

 

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über IT-Sicherheits-Management