AI-Act: Was Schweizer Unternehmen jetzt tun müssen und was nicht

Die Schweiz ist bekanntermassen kein EU-Land. Dennoch haben die EU-Regelungen erhebliche Auswirkungen auf Schweizer Unternehmen. Zuletzt war dies  bei der Datenschutz-Grundverordnung (DSGVO) zu sehen, deren Einfluss im neuen Schweizer DSG mündete (zum Blog-Beitrag). Diese muss  von vielen Unternehmen beachtet werden, da durch geschäftliche Beziehungen Personendaten von EU-Bürgern bearbeitet werden. Ähnliches  dürfte auch für den AI-Act gelten, und wir geben einen Überblick:

1. Zeitleiste

Nach vielen Jahren der Diskussion trat der AI-Act schlussendlich am 1. August 2024 in Kraft. Für das Inkrafttreten der Einzelnen Regelungen gelten jedoch Übergangsvorschriften. Die Zeitleiste im Überblick:

2. August 2024: Geltung des AI-Acts (Art. 113 Satz 2 AI-Act)

2. Februar 2025: Verbot von KI-Praktiken (Art. 5) und Pflicht zur Mitarbeiterschulung (Art. 4)

2. August 2025: Inkrafttreten der Regelung für KI-Modelle mit Allgemeinen Verwendungszweck (Kapitel V), notifizierende Behörde (Art. 28 ff), Governance (Kapitel VII) und den Strafvorschriften (Kapitel XII)

2. August 2026: Vollständige Geltung des AI-Acts inkl. Regelung zu Hochrisikosystemen (mit Ausnahme, siehe nachfolgend)

2. August 2027: Geltung von Art. 6 Abs. 1 bezüglich der Einstufungsvorschriften für Hochrisiko-KI-Systeme

Meine Meinung: Die Zeitleiste scheint auf den ersten Blick verwirrend, soll aber gewährleisten, dass sich Anbieter und Betreiber von KI-Systemen darauf vorbereiten können. Das entspricht  dem rechtsstaatlichen Gebot, dass sich Anbieter auf eine Gesetzgebung vorbereiten können.

2. Wann gilt der AI-Act für Schweizer Unternehmer?

Der AI-Act gilt für Schweizer Unternehmer nicht unmittelbar. Jedoch können vom Anwendungsbereich auch Schweizer Unternehmen betroffen sein, die

  • in der EU KI-Systeme (*) in den Verkehr oder in Betrieb nehmen (Art. 2 Abs. 1 a) 1. Alt) oder

  • KI-Systeme mit allgemeinem Verwendungszweck (*) in Verkehr bringen, unabhängig davon, wo der Geschäftssitz ist (Art. 2 Abs. 1 a 2. Alt.) oder

  • wenn die vom KI-System hervorgebrachten Ergebnisse in der EU verwendet werden (Art. 2 Abs. 1 c))

  • KI-Systeme in die EU einführen oder mit diesen handeln (Art. 2 Abs. 1 d))

Während Forschung und Entwicklung an und mit KI-Systemen in der Schweiz weitestgehend zulässig sein werden, ist spätestens beim Inverkehrbringen und beim Handel zu prüfen, ob eine EU-Betroffenheit vorliegt. Wenn dies der Fall ist und der AI-Act gilt, greifen weitreichende rechtliche Vorgaben, die erheblich strafbewehrt sind (bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes).

Die Schweiz will jedoch eine KI-Auslegeordnung für die Schweiz im 4. Quartal dieses Jahres erlassen (siehe: Link zum LinkedIn-Betrag).

Meine Einschätzung: Es ist nicht damit zu rechnen, dass die Schweiz die KI-Regelungen der EU 1:1 übernimmt. Es könnte jedoch Regelungen im Hinblick auf den Grundrechts- und Demokratieschutz geben (Stichwort: KI-Überwachungssysteme und Deepfakes). Auch haben sich bereits grössere Verbände gegen eine strenge KI-Regelung in der Schweiz ausgesprochen (siehe: Link zum LinkedIn-Beitrag).

 

3. Warum gibt es einen AI-Act?

Die EU will mit der Marktregulierung im Bereich von KI einen vertrauensvollen Einsatz von KI absichern, Innovation fördern, die Grundrechte schützen und Transparenz und Kontrolle von KI-System gewährleisten. Deshalb sind Anbieter und Betreiber von KI-Systemen unterschiedlichen Transparenz-, Informations- und Notifizierungsregelungen unterworfen, je nachdem, wie das Risiko des KI-Systems eingeschätzt wird. Dazu gibt es die sogenannte KI-Kaskade, die unterscheidet zwischen

  • minimalen Risiko (z.B. Spamfilter),

  • begrenztem Risiko (z.B. Chatbots),

  • hohem Risiko (z.B. medizinische KI-Produkte) und

  • verbotenen KI-Systemen (z.B. Social-Scoring-Systeme).

Anhand dieser Einstufung steigen die Anforderungen an den Anbieter und Betreiber erheblich an. Für KI-Systeme mit geringem Risiko, wie digitale Assistenten oder Spam-Filter, sieht der AI-Act weniger strenge Anforderungen vor. Dennoch müssen auch diese Systeme bestimmte Transparenz- und Sicherheitsstandards erfüllen, um die Rechte und Freiheiten der Bürger zu schützen. Bereits bei KI-Systemen mit allgemeinem Verwendungszweck(*) sind Transparenzanforderungen und Informationspflichten zur Funktionsweise, zum Zweck und zu den Risiken offenzulegen. Bei hochriskanten KI-Systemen bestehen nicht nur Zertifizierungspflichten, sondern auch erhebliche Transparenzpflichten (z.B. durch Bereitstellung von verständlichen Bedienungsanleitungen) und Überwachungspflichten.

In jedem EU-Land werden Behörden eingerichtet, die die Zertifizierung und Überwachung vornehmen.

Meine Einschätzung: Ähnlich wie bei der DSGVO gibt es eine grosse Verunsicherung über die richtige Vorgehensweise, die teilweise auch bewusst geschürt wird. Aber wie bei der DSGVO gilt: "Es wird nicht so heiss gegessen, wie gekocht wird". Oder übersetzt: "Nichts wird so heiss umgesetzt, wie es im Gesetz steht." Zudem kann mit einer fachkundiger anwaltlicher Begleitung vom Entwicklungsprozess an die Umsetzungserfordernisse und Risiken bewertet und angepasst werden. Letztlich wird auch der AI-Act durch den EuGH in vielen Regelungsinhalten ausgelegt werden. Unternehmen können sich dies zunutze machen.

4. Handlungsempfehlungen:

-> Anwendbarkeit prüfen: Jedes Unternehmen, dass KI-Systeme anbietet oder betreibt, sollte klären, ob es unter den AI-Act fällt, denn es gibt diverse Ausnahmen. So gilt der AI-Act nicht für KI-Systeme mit ausschliesslich militärischen Zwecken, Verteidigungszwecken oder Zwecken der nationalen Sicherheit.

-> KI-Kompetenz schulen: Zum Februar 2025 treten die ersten Regelungen u.a. zur KI-Kompetenz in Kraft. Diese sollten nicht nur wegen des AI-Acts, sondern auch aus Gründen der KI-Governance und der Unternehmenscompliance beachtet werden. Daher empfehlen wir die frühzeitige Erstellung von KI-Governance-Richtlinien und die Schulung von Mitarbeitenden.

-> Regelung beachten:  Ab August 2025 geltend die Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck, u.a. mit Dokumentationspflichten. Um Strafen zu vermeiden, sind die Dokumentations- und Transparenzpflichten zu erfüllen. Keine Pflichten bestehen jedoch für quelloffene Modelle.

-> Besondere Anforderungen für Hochrisiko-Systeme: Für Hochrisiko-Systeme gelten besondere Anforderungen. Diese stellen wir Ihnen in einem späteren Beitrag gesondert dar.

-> EU-Vertreter prüfen: Der AI-Act schreibt in Art. 22, 54 und 60 die Bestellung eines in der EU niedergelassenen Bevollmächtigten vor. Durch Kanzlei-Sitz auch in Berlin können wir Ihnen den EU-Bevollmächtigten-Vertreter aus einer Hand gewährleisten.

-> Keine Hysterie: Last but not least gilt auch hier: Keine Hysterie, aber eine gute Vorbereitung auf den AI-Act sollte jedes Unternehmen mit KI-Systemen vornehmen.

Mehr zum Thema finden sie in einer Kolumne von Sven Kohlmeier für Inside-IT, in welcher er seine rechtlich-europäische Einschätzung und die Auswirkungen für die Schweiz gegeben: Kolumne von Sven Kohlmeier.

Bei Anregungen und Fragen zum Thema steht Ihnen Sven Kohlmeier gerne zur Verfügung.

(*) Begriffsbestimmungen gem. AI-Act:

KI-System (Art. 3 Nr. 1): "ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können";

KI-System mit allgemeinem Verwendungszweck (Art. 3 Nr. 63): „KI-Modell mit allgemeinem Verwendungszweck“ ein KI-Modell — einschliesslich der Fälle, in denen ein solches KI-Modell mit einer großen Datenmenge unter umfassender Selbstüberwachung trainiert wird —, das eine erhebliche allgemeine Verwendbarkeit aufweist und in der Lage ist, unabhängig von der Art und Weise seines Inverkehrbringens ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen, und das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann, ausgenommen KI-Modelle, die vor ihrem Inverkehrbringen für Forschungs- und Entwicklungstätigkeiten oder die Konzipierung von Prototypen eingesetzt werden".