AI-Act: Anwendungsfrist 02. Februar 2025
Was Finanzinstitute jetzt beachten müssen!
Seit dem 2. Februar müssen Unternehmen und Verantwortliche dafür Sorge tragen, den neuen regulatorischen Anforderungen des AI-Acts gerecht zu werden. Neben der Gewährleistung der Compliance von eingesetzten KI-Systemen (kurz für künstliche Intelligenz), muss jedes Unternehmen sicherstellen, dass alle Personen, die mit dem Betrieb eines KI-Systems befasst sind über ein ausreichendes Maß an KI-Kompetenz verfügen. Non-Compliance wird ab jetzt mit beträchtlichen Sanktionen geahndet. Wer untätig bleibt, setzt sich erheblichen finanziellen und rechtlichen Risiken aus – denn Unwissenheit schützt nicht vor Haftung.
Wir unterstützen Sie dabei, die regulatorischen Anforderungen zu verstehen, sicher umzusetzen und so langfristig Compliance sicherzustellen.
Künstliche Intelligenz (kurz KI oder eng. AI = Artificial Intelligence) ist omnipräsent und begegnet uns täglich in den Medien. Im betrieblichen Kontext erkennen wir die Bedeutung des Themas daran, dass mittlerweile die meisten im Einsatz befindlichen IKT-Tools damit beworben werden, dass sie Elemente und Funktionen der Künstlichen Intelligenz enthalten. Unklar bleibt dabei meist, was genau damit gemeint ist und wie diese Features funktionieren. Unstrittig ist, dass künstliche Intelligenz umfassenden Einzug in die Geschäftsprozesse und IKT-Verfahren eines jeden Finanzdienstleisters halten wird, und, dass damit auch erhebliche Hoffnungen auf Effizienzsteigerungen, Kosteneinsparungen und Leistungserweiterungen verbunden sind. Die europäischen Institutionen haben bereits früh erkannt, dass der Einsatz von KI ein großes Chancenpotenzial für die europäische Wirtschaft birgt. Gleichzeitig setzt die europäische politische Agenda aber auch auf hohe moralische und ethische Standards bei der Nutzung von KI und legt einen starken Fokus auf die Eindämmung von unerwünschtem Missbrauch. Mit dem AI-Act hat die Europäische Union eine richtungsweisende Basisregulierung für den betrieblichen Einsatz von KI auf den Weg gebracht und damit Handlungswillen sowie Handlungsfähigkeit bei der Umsetzung dieser Forderungen demonstriert. Dem AI-Act liegt ein risikobasierter Ansatz zugrunde, der KI-Systeme anhand ihrer inhärenten Risiken und dem potenziellen Schaden für Individuen und die Gesellschaft klassifiziert und reguliert. Je höher das inhärente Risiko eines KI-Systems, desto umfangreicher sind die regulatorischen Anforderungen. Der Fokus des AI-Acts liegt auf dem Risikomanagement, der Transparenz und Nachvollziehbarkeit von KI sowie der Zuweisung klarer Verantwortlichkeiten entlang der KI-Wertschöpfungskette.
Wir stellen fest, dass der AI-Act im Finanzsektor bislang oft als fern in der Zukunft liegendes potenzielles Problem betrachtet wurde, obwohl bereits heute konkrete und aufsichtlich relevante Anforderungen an Governance, Transparenz und Risikomanagement gelten. Die derzeit häufig anzutreffende Unterschätzung des Themas und seiner möglichen Konsequenzen für die Unternehmensführung belegen Aussagen wie „Wir setzen noch keine KI-Systeme in der IT ein“ oder „Der AI-Act ist noch nicht voll wirksam“. Der AI-Act ist als europäische Verordnung unmittelbar wirksam und bedarf keines nationalen Umsetzungsgesetzes. Zudem ist er sanktionsbewehrt und ein Verstoß kann schwerwiegende monetäre und geschäftseinschränkende Maßnahmen der Aufsichtsbehörden zur Folge haben.
Sicherstellung einer KI-Kompetenz gemäß Artikel 4 des AI-Acts
Der AI-Act definiert KI-Kompetenz als die Fähigkeiten, Kenntnisse und das Verständnis, die es den Akteuren unter Berücksichtigung ihrer Rechte und Pflichten ermöglicht, KI-Systeme sachkundig einzusetzen, sowie sich der Chancen und Risiken von KI und potenzieller Schäden, die sie verursachen kann, bewusst zu sein. Finanzinstitute, die KI-Systeme anbieten oder betreiben, müssen Maßnahmen zur Sicherstellung einer zielgruppenorientierten und kontextspezifischen KI-Kompetenz ihrer Mitarbeiter ergreifen. Die gesetzliche Pflicht zur Sicherstellung der KI-Kompetenz ist seit dem 2. Februar 2025 in Kraft und gilt für alle Finanzinstitute. Hiervon ausgenommen ist nicht berufliche (private) Nutzung von KI-Systemen.
Verbotene KI-Praktiken gemäß Artikel 5 des AI-Acts
Artikel 5 des AI-Acts legt spezielle KI-Praktiken fest, die in der EU vollständig verboten sind, weil sie als inakzeptables Risiko eingestuft werden. Diese Praktiken werden als besonders gefährlich für Grundrechte, Sicherheit oder die öffentliche Ordnung angesehen. Zu den verbotenen Praktiken zählen KI-Systeme, die das Verhalten von Menschen durch manipulative Techniken negativ beeinflussen, menschliche Notlagen oder Schwächen gezielt ausnutzen oder soziale Bewertungssysteme. Finanzinstitute müssen sicherstellen, dass ihre KI-Systeme nicht gegen Artikel 5 verstoßen. Ein Verstoß gegen Artikel 5 hat schwerwiegende finanzielle Sanktionen und damit einhergehend erhebliche Reputationsschäden zur Folge. Es drohen Sanktionen in Höhe von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes.
Wir machen Sie fit für den AI-Act
Der 2. Februar markiert als Auftakt der drei Inkraftsetzungswellen einen Meilenstein in der KI-Regulierung. Wer jetzt handelt, vermeidet nicht nur schwerwiegende aufsichtliche Konsequenzen, sondern verschafft sich einen entscheidenden Wettbewerbsvorteil. Finanzinstitute müssen geeignete Maßnahmen zur Sicherstellung von KI-Kompetenz ergreifen. Die Sensibilisierung und Schulung von Mitarbeitern, die Etablierung von Richtlinien und Frameworks sowie eine lückenlose Dokumentation der Compliance-Maßnahmen sind dabei unerlässlich. Die Integration von künstlicher Intelligenz in Prozesse, Produkte und Services verpflichtet Finanzinstitute zur Einhaltung neuer regulatorischer Standards. Ein frühzeitiges Investment in geeignete Maßnahmen wird sich auszahlen.
Wir unterstützen Sie dabei, die Anforderungen des AI-Acts zu verstehen und effizient umzusetzen.
Nehmen Sie Kontakt zu unseren Experten auf!