Alles, was Sie über das KI-Gesetz wissen müssen, für kleine und mittlere Unternehmen (KMU) in der EU und darüber hinaus.
Das AI-Gesetz legt einen besonderen Schwerpunkt auf kleine und mittlere Unternehmen (KMU). Diese Gruppe von Interessenvertretern wird im Gesetz 38 Mal erwähnt, verglichen mit 7 Nennungen der "Industrie" und 11 Nennungen der "Zivilgesellschaft". Noch wichtiger ist, dass das EU-KI-Gesetz eine Reihe von Maßnahmen enthält, die speziell darauf ausgerichtet sind, die Einhaltung der Produktsicherheitsvorschriften des AI-Gesetzes durch KMU zu unterstützen und zu vereinfachen.
Kurze Zusammenfassung der auf KMU zugeschnittenen Bestimmungen
- Regulatorische Sandkästen: Rahmen für die Erprobung von KI-Produkten und -Dienstleistungen außerhalb der normalen regulatorischen Strukturen, mit Befreiung von Verwaltungsgebühren. Die Erprobung kann auch unter realen Bedingungen erleichtert werden. KMU haben vorrangig und kostenlos Zugang zu Sandkästen, und die Verfahren müssen einfach und klar sein.
- Senkung der Kosten und Gebühren für die Einhaltung der Vorschriften: Die Bewertungsgebühren müssen im Verhältnis zur Größe der KMU stehen, und die Kommission wird die Kosten für die Einhaltung der Vorschriften regelmäßig bewerten und auf eine Senkung hinarbeiten.
- Standardsetzung und Governance: Die Kommission und die Mitgliedstaaten erleichtern die Beteiligung von KMU an der Standardsetzung und am AI-Beratungsforum.
- Vereinfachte Dokumentation und Schulung: Die Kommission wird vereinfachte technische Dokumentationsformulare für KMU entwickeln, die von den nationalen Behörden für Konformitätsbewertungen akzeptiert werden, und auf KMU zugeschnittene Schulungsmaßnahmen zur Unterstützung der Einhaltung der Vorschriften anbieten.
- Dedizierte Kommunikation: Anleitung und Beantwortung von Fragen über spezielle Kanäle, um KMU bei der Einhaltung des AI-Gesetzes zu unterstützen.
- Verhältnismäßigkeit: Die Verpflichtungen für Anbieter von AI-Modellen für allgemeine Zwecke sollten der Art des Modellanbieters angemessen und verhältnismäßig sein. So wird es beispielsweise im Rahmen des Verhaltenskodex gesonderte Leistungsindikatoren für KMU geben.
In den folgenden Abschnitten wird auf jede dieser Bestimmungen näher eingegangen.
Die Kategorie der "KMU" im EU-Recht
Nach EU-Recht sind KMU eine übergreifende Kategorie von Unternehmen, die aus drei Unterkategorien besteht. Mittlere Unternehmen haben weniger als 250 Beschäftigte und einen Jahresumsatz von weniger als 50 Millionen Euro und/oder eine Jahresbilanzsumme von höchstens 43 Millionen Euro. Kleine Unternehmen beschäftigen weniger als 50 Personen und haben einen Jahresumsatz und/oder eine Jahresbilanzsumme von weniger als 10 Mio. €. Kleinstunternehmen beschäftigen weniger als 10 Personen und haben einen Jahresumsatz und/oder eine Jahresbilanzsumme von weniger als 2 Millionen Euro. Es sei darauf hingewiesen, dass im AI-Gesetz Start-ups ausdrücklich als Teil der KMU erwähnt werden, obwohl es derzeit keine separate oder einheitliche Definition eines Start-ups im EU-Recht gibt.
Auf KMU zugeschnittene Bestimmungen des AI-Gesetzes
Regulatorische Sandkästen
Alle Mitgliedstaaten werden mindestens eine nationale regulatorische Sandbox einführen. Regulatorische Sandkästen werden genutzt, um innovative Produkte, Technologien und Dienstleistungen für eine begrenzte Zeit unter behördlicher Aufsicht außerhalb der normalen Regulierungsstrukturen zu testen. Das Konzept wird in einer Reihe von Branchen eingesetzt, darunter Finanztechnologie, Verkehr, Energie, Telekommunikation und Gesundheit, und zwar in vielen verschiedenen Ländern, darunter das Vereinigte Königreich, Japan und Singapur. Im Hinblick auf das KI-Gesetz ist eine regulatorische Sandbox ein Rahmen, der es Anbietern von KI-Systemen ermöglicht, neuartige KI-Systeme rechtmäßig zu entwickeln, zu trainieren, zu validieren und zu testen, indem sie einen zwischen dem Anbieter und der Aufsichtsbehörde vereinbarten Sandbox-Plan befolgen. Diese Sandkästen können physisch, digital oder hybrid sein. Auch das Testen unter realen Bedingungen kann durch den Rahmen von KI-Sandboxen erleichtert werden. Die Sandkästen sollen die Innovation fördern, indem sie ein kontrolliertes Experimentierumfeld für den Nachweis der Konformität ermöglichen, die Rechtssicherheit sowohl für Innovatoren als auch für Behörden erhöhen und Hindernisse für den Marktzugang von KMU beseitigen.
Die Dokumentation der Teilnahme an einer Sandbox kann als Nachweis für die Einhaltung des AI-Gesetzes verwendet werden. Wenn die potenziellen Anbieter den Sandbox-Plan und die Bedingungen einhalten und die Anweisungen der zuständigen nationalen Behörde nach Treu und Glauben befolgen, werden sie nicht mit Bußgeldern für Verstöße gegen das Gesetz belegt. Beachten Sie, dass die Anbieter in den KI-Sandkästen nicht von der Haftung für Schäden an Dritten befreit sind, die durch das Experimentieren mit KI-Systemen in einem Sandkasten verursacht werden.
KMU haben vorrangigen Zugang zu den Sandkästen. Darüber hinaus sind diese Sandkästen für KMU kostenlos, und die Verfahren für die Beantragung, Auswahl, Teilnahme und Beendigung der Sandkästen müssen einfach und leicht verständlich sein und klar kommuniziert werden.
Beispiele für Sandkästen: Mehrere EU-Länder haben bereits KI-Sandkästen eingerichtet, darunter Luxemburg, Spanien und Litauen. Diese Sandkästen befinden sich zwar noch im Anfangsstadium, aber Lehren aus anderen Bereichen zeigen einige der möglichen positiven Auswirkungen von Sandkästen. So erhielten Unternehmen, die die Sandbox der FCA im Vereinigten Königreich erfolgreich getestet haben, 6,6-mal mehr Fintech-Investitionen. Außerdem hat die Sandbox der FCA im Vereinigten Königreich die durchschnittliche Geschwindigkeit für die Marktzulassung um 40 % erhöht, verglichen mit der Standardzulassungszeit der Aufsichtsbehörde.
Senkung der Kosten und Gebühren für die Einhaltung von Vorschriften
Das AI-Gesetz zielt darauf ab, die Befolgungskosten für kleine Akteure zu begrenzen, indem es beispielsweise vorschreibt, dass die nationalen Konformitätsbewertungsgebühren die Bedürfnisse von KMU-Anbietern berücksichtigen und sicherstellen, dass diese Gebühren in einem angemessenen Verhältnis zu Größe, Marktumfang und anderen relevanten Faktoren stehen. Die Europäische Kommission wird auch eine Bewertung der Befolgungskosten für KMU durchführen und mit den Mitgliedstaaten zusammenarbeiten, um diese Kosten zu senken. Was beispielsweise die Übersetzungskosten im Zusammenhang mit der vorgeschriebenen Dokumentation betrifft, so sollten die Mitgliedstaaten versuchen sicherzustellen, dass sie die Dokumentation und Kommunikation in Sprachen akzeptieren, die von einer möglichst großen Zahl grenzüberschreitend tätiger Unternehmen verstanden werden.
In Bezug auf die Geldbußen legt das Gesetz die Obergrenze der Geldbußen fest, je nachdem, welcher Betrag höher ist - ein fester Betrag oder ein fester Prozentsatz des weltweiten Gesamtumsatzes. Im Falle von KMU wird die Obergrenze jedoch durch den niedrigeren Wert bestimmt.
Beteiligung an der Festlegung von Standards und an der Governance
Normen sind ein wichtiger Bestandteil aller Produktsicherheitsvorschriften in der EU, und das AI-Gesetz bildet hier keine Ausnahme. Um sicherzustellen, dass die Perspektiven der KMU bei der Festlegung von Normen angemessen berücksichtigt werden, müssen die Kommission und die Mitgliedstaaten die Beteiligung von KMU an der Entwicklung von Normen erleichtern.
Das AI-Gesetz gewährleistet auch die Vertretung von KMU bei der Umsetzung des AI-Gesetzes. So müssen die KMU beispielsweise im beratenden Forum vertreten sein, einem Gremium, das den Europäischen Ausschuss für künstliche Intelligenz und die Kommission berät und ihnen technisches Fachwissen zur Verfügung stellt.
Vereinfachte Dokumentation und gezielte Schulung
Um die technische Dokumentation von risikoreichen AI-Systemen für KMU zu vereinfachen, wird die Kommission spezielle, vereinfachte technische Dokumentationsformulare für die Bedürfnisse von Klein- und Kleinstunternehmen entwickeln. Diese werden von den nationalen Behörden für die Zwecke der Konformitätsbewertung akzeptiert werden. In Bezug auf Kleinstunternehmen können bestimmte Elemente von Qualitätsmanagementsystemen für AI-Systeme mit hohem Risiko auf vereinfachte Weise erfüllt werden. Darüber hinaus müssen die Mitgliedstaaten auf KMU zugeschnittene Sensibilisierungs- und Schulungsmaßnahmen in Bezug auf die Anwendung des AI-Gesetzes organisieren, um KMU dabei zu unterstützen, das AI-Gesetz zu verstehen und einzuhalten.
Engagierte KMU-Kommunikation
Die Mitgliedstaaten sorgen für spezielle Kommunikationskanäle für KMU und andere relevante Akteure, wie lokale Behörden, um KMU auf ihrem gesamten Entwicklungsweg zu unterstützen. Diese Unterstützung umfasst die Bereitstellung von Leitlinien und die Beantwortung von Fragen zur Umsetzung des KI-Gesetzes, um Synergien und Homogenität bei der Beratung von KMU zu gewährleisten. Mehrere Mitgliedstaaten haben bereits einschlägige Informationskanäle eingerichtet, z. B. das österreichische Service Desk für AI.
Proportionale Verpflichtungen für KMU-Anbieter von KI-Modellen für allgemeine Zwecke
Ein weiterer Aspekt des KI-Gesetzes, mit dem KMU unterstützt werden sollen, ist der Grundsatz der Verhältnismäßigkeit. Für Anbieter von KI-Modellen für allgemeine Zwecke sollten die Verpflichtungen "angemessen und verhältnismäßig für die Art des Modellanbieters" sein. KI-Modelle für allgemeine Zwecke weisen eine erhebliche Allgemeinheit auf, sind in der Lage, eine Reihe verschiedener Aufgaben kompetent zu erfüllen, und können in eine Reihe von nachgelagerten Systemen oder Anwendungen integriert werden(Art. 3(63) AIA). Die Art und Weise, wie sie auf den Markt gebracht werden (offenes Gewicht, proprietär usw.), hat keinen Einfluss auf die Einstufung.
Eine kleine Teilmenge der fortschrittlichsten KI-Modelle für allgemeine Zwecke sind die so genannten "KI-Modelle für allgemeine Zwecke mit systemischem Risiko". Dabei handelt es sich um Modelle, die mit enormen Mengen an Rechenleistung (mehr als 10^25 FLOP) trainiert werden und die aufgrund ihrer Reichweite oder ihrer negativen Auswirkungen auf die öffentliche Gesundheit, die öffentliche Sicherheit, die Grundrechte oder die Gesellschaft als Ganzes erhebliche Auswirkungen auf den Unionsmarkt haben(Art. 3(65) AIA). Nach Angaben von Epoch gibt es weltweit nur 15 Modelle, die im Februar 2025 die Rechenschwelle von 10^25 FLOP überschreiten. Dazu gehören Modelle wie GPT-4o, Mistral Large 2, Aramco Metabrain AI, Doubao Pro und Gemini 1.0 Ultra. Beispiele für kleinere Allzweck-KI-Modelle, die wahrscheinlich nicht als systemrelevant eingestuft würden, sind GPT 3.5, die von Silo AI entwickelten Modelle, Pharia-1-LLM-7B von Aleph Alpha oder Deepseek-V3.
Die Pflichten der Anbieter von KI-Modellen für allgemeine Zwecke und von KI-Modellen für allgemeine Zwecke mit systemischem Risiko sind in Artikel 53 bzw. 55 des KI-Gesetzes festgelegt und werden im Verhaltenskodex konkretisiert. Die Anbieter von KI-Modellen für allgemeine Zwecke haben bestimmte Transparenzpflichten. Anbieter von KI-Modellen für allgemeine Zwecke mit Systemrisiko haben zusätzliche Verpflichtungen zur Bewertung und zum Testen von Modellen, zur Bewertung und Abschwächung möglicher Systemrisiken, zur Meldung von Vorfällen und zur Gewährleistung eines angemessenen Niveaus der Cybersicherheit. Der Kodex wird derzeit in einem umfassenden Multi-Stakeholder-Prozess ausgearbeitet, so dass die endgültige Form noch nicht feststeht. Aufgrund des Grundsatzes der Verhältnismäßigkeit sollte der Kodex der Größe des Anbieters von KI-Modellen für allgemeine Zwecke angemessen Rechnung tragen. Dies wird zum Beispiel im aktuellen zweiten Entwurf als einer der sieben übergeordneten Grundsätze anerkannt und spiegelt sich in separaten Leistungsindikatoren für KMU im Vergleich zu größeren Unternehmen wider.
Wichtiger Hinweis: Für die Einhaltung der Vorschriften durch nachgelagerte Anbieter und Betreiber, die Anwendungen entwickeln oder anderweitig KI-Modelle für allgemeine Zwecke in KI-Systeme integrieren, spielt die Unterscheidung zwischen KI-Modellen für allgemeine Zwecke und KI-Modellen für allgemeine Zwecke mit systemischen Risiken keine Rolle. Hier kommt es nur auf die beabsichtigte Nutzung ihres KI-Systems an und darauf, ob diese Nutzung unter eine der Risikokategorien des KI-Gesetzes fällt: verbotene Systeme, Hochrisikosysteme oder Systeme mit besonderen Transparenzpflichten. Dies wird für die große Mehrheit der KMU in der EU der Fall sein.
Es hängt alles von der Umsetzung ab
Letztlich hängen die Auswirkungen und die Erleichterung der Einhaltung der Vorschriften für KMU ebenso sehr von der Umsetzung des AI-Gesetzes ab wie von dem Text selbst. Es gibt verschiedene Ressourcen, die den Lesern helfen können, die Umsetzung zu verfolgen, darunter:
- Die Zusammenstellung von Leitfäden der Europäischen Kommission;
- Der Überblick über die nationalen Umsetzungspläne;
- Der "AI Act compliance checker", der dabei helfen kann, erste Überlegungen zur Einhaltung des AI Act anzustellen.