In unserer mbuf digital lounge am 4. April 2025 ging es um Pflichten, die Unternehmen durch den EU AI-Act beim Einsatz von KI-Lösungen, speziell dem Einsatz von Microsoft Copilot, erwachsen. Referenten waren Patrick Schidler, Leiter Lösungsgeschäft Mittelstand, und Rebekka Weiß, LL.M., Head of Regulatory Policy | Senior Manager Government Affairs, beide Microsoft Deutschland. Über 90 Teilnehmer:innen aus der mbuf Community verfolgten online die Ausführungen.

Einführung und Bedeutung des EU AI-Act

Patrick Schidler eröffnete die Veranstaltung und betonte nach einer Begrüßung und einem Überblick über die Agenda die Relevanz des Themas für alle Unternehmen, die Microsoft 365 nutzen. Er stellte klar, dass seit dem 15. Januar 2025 die Auseinandersetzung mit dem EU AI-Act nicht mehr optional sei, nachdem für alle Nutzer von Microsoft 365 (M365) der Zugriff auf Copilot Chat freigeschaltet wurde. Diese Entscheidung wurde seitens Microsofts getroffen, um den Nutzern eine sichere und vor allem unternehmensinterne Alternative zu ChatGPT zu bieten.

Anschließend führte Rebekka Weiss die Teilnehmer durch die rechtlichen Aspekte des EU AI-Act und erläuterte, dass der AI-Act das erste umfassende und horizontal wirkende Regulierungsinstrument für KI-Technologien sei. Die EU habe erkannt, dass KI zwar enorme Potenziale, aber auch Risiken berge. Diese Risiken zu minimieren, sei das Ziel des EU AI-Act, der im Juli 2024 in Kraft trat.

Der EU AI-Act unterscheidet verschiedene Risikostufen von KI-Systemen und legt für diese unterschiedliche Anforderungen fest:

• Verbotene KI-Systeme, die unannehmbare Risiken beinhalten (z.B. Social Scoring Systeme wie in China, Emotionserkennung am Arbeitsplatz)
• Hochrisiko KI-Systeme, die bei Fehlfunktion oder Missbrauch Schäden verursachen können (z.B. autonomes Fahren, KI im Gesundheitswesen, KI im Personalmanagement)
• KI-Systeme mit eingeschränktem Risiko, die eher keine Schäden hervorrufen können (z.B. Chatbots oder KI-Systeme zur Erzeugung von Bildern, Musik oder Texten)
• Unregulierte KI-Systeme (z.B. Spamfilter oder Rechtschreibprüfungen)

Bereits seit Februar 2025 sind die Regelungen zu Verbotenen KI-Systemen in Kraft. Seither gelten ebenfalls die Vorschriften nach Artikel 4 des EU AI-Act, die Betreiber und Nutzer von KI-Systemen dazu verpflichten, Anwender ausreichend über die eingesetzte KI zu informiert und in deren Anwendung zu schulen (AI skilling).

Ab August 2025 treten Bestimmungen zur Bereitstellung und Nutzung sogenannter General Purpose AI Models (GPAI) in Kraft, dies betrifft unter anderem große Sprachmodelle wie GPT-4 und stellt an deren Anbieter besondere Compliance-Anforderungen. Ebenfalls bis August 2025 müssen Governance-Systeme auf EU-Ebene eingerichtet sein und die EU-Länder müssen nationale Aufsichtsbehörden benennen, die die Einhaltung des EU AI-Act überwachen. Ab August 2026 treten dann die meisten anderen Vorschriften in Kraft, insbesondere im Hochrisikobereich.

Eine Herausforderung besteht darin, dass sich die KI-Systeme ständig weiterentwickeln, leistungsfähiger werden und so immer wieder neue Use Cases entstehen. Es ist daher zu erwarten, dass sich auch die Regelungen des EU AI-Act weiterentwickeln werden.

Wichtigste Regel für Unternehmen: Know Your AI!

Zur Sicherstellung der eigenen Compliance ist es unerlässlich, einen vollständigen Überblick über den Einsatz von KI zu behalten (inkl. Standardlösungen, Drittanbieter-Lösungen oder OT-Systeme). Wie für andere Bereich sind eine angemessene Dokumentation und offene Kommunikation essenziell. Wer dabei auf vorhandene Compliance Management Systeme zurückgreifen kann, hat klare Vorteile. Man kann diese Systeme um die KI-spezifischen Themen erweitern, denn eine gute Data Governance sowie klare Rechte- und Rollenkonzepte sind für die Einhaltung der Regelungen des EU AI-Act ebenso unerlässlich wie für andere Regelwerke (z.B. Informationssicherheit).

Unterstützung für Kunden und Partner

Microsoft entwickelt sein Angebot bereits seit 2016 entlang der Prinzipien von Responsible AI, das heißt KI-Technologien sollen verantwortungsvoll entwickelt und eingesetzt werden. Microsoft hat sich zum Ziel gesetzt, Kunden und Partnern notwendige Informationen und Dokumentationen rechtzeitig und umfassend bereitzustellen, damit Unternehmen ihre eigenen Compliance-Vorbereitungen treffen können.

Eine Sammlung relevanter Links findet sich für Mitglieder in der Präsentation zur Veranstaltung, gespeichert in der Dateiablage des Kanals „mbuf digital lounge“ im mbuf Forum.

Praktische Umsetzung und Best Practices

Patrick Schidler ging nachfolgend auf konkrete Erfordernisse im Zusammenhang mit Copilot beziehungsweise Copilot Chat für M365 ein.

So hat im Januar 2025 grundsätzlich jeder M365 Anwender Zugriff auf Copilot Chat erhalten, dem auf GPT-4 basierenden „KI Assistenten für die Arbeit“. Microsoft will damit allen Anwendern einen Einstieg in den Umgang mit KI-Tools ermöglichen (Opt-Out Ansatz, d.h. wenn Unternehmen die Nutzung untersagen wollen, müssen sie diese Option bewusst abschalten). Damit wird jedes Unternehmen auch automatisch zu einem Betreiber eines GPAI Systems.

Copilot Chat sollte dabei nicht mit Copilot für M365 verwechselt werden. Letzteres stellt eine KI-Unterstützung speziell für die Office- und Teams-Umgebungen zur Verfügung und greift sehr viel tiefer auf Unternehmensdaten zu.

Dadurch dass Unternehmen so zum Bereitsteller und Betreiber eines KI-Systems werden, gelten auch die entsprechenden Verpflichtungen nach dem EU AI-Act, zum Beispiel im Hinblick auf die Aus- und Weiterbildung (Art. 4 des EU AI-Act). Da sich die Fähigkeiten der KI ständig weiterentwickeln werden (man geht derzeit von einer Verdopplung der Leistungsfähigkeit alle 6 Monate aus) und damit einhergehend auch die rechtlichen Bestimmungen der EU und deren Umsetzung in nationales Recht einem stetigen Wandel unterliegen, rät Patrick dringend zur Benennung eines KI-Beauftragten im Unternehmen, ähnlich wie in den Themenbereichen Datenschutz oder Informationssicherheit, um zum Beispiel eine angemessene Weiterbildung der Mitarbeiter sicherzustellen. Patrick ging im Vortrag auf einige Skilling-Angebote näher ein.

Ausführlichere Informationen und auch Hinweise zu Trainingsangeboten finden unsere Mitglieder wiederum in der Präsentation zur Veranstaltung (Dateiablage des Kanals „mbuf digital lounge“ im mbuf Forum).

Erfahrungen und Herausforderungen

Ein besonders interessanter Teil der Veranstaltung war die abschließende Diskussion über die Erfahrungen und Herausforderungen der Teilnehmenden. Teilnehmer:innen teilten ihre Erfahrungen mit der unternehmenseigenen KI-Plattform und berichteten von den Herausforderungen bei der Bewertung von KI-Tools, insbesondere bei kleineren Anbietern und Startups, die oft noch nicht mit den Anforderungen des EU AI-Act vertraut sind.

Es wurde auch betont, wie wichtig eine regelmäßige Evaluierung der eigenen KI-Systeme und Tools sei, ebenso wie eine kontinuierliche Zusammenarbeit mit der Rechtsabteilung, um sicherzustellen, dass alle Anforderungen des AI-Act erfüllt werden.

Auch im Chat wurden einige Fragen gestellt und durch die beiden Referenten direkt beantwortet, teils in Verbindung mit wertvollen Links zu hilfreichen Informationsquellen.

Parallel wurde durch Patrick eine kleine Umfrage bereitgestellt. Eine erste Auswertung der Umfrage und die Diskussionsbeiträge haben deutlich gemacht, dass unbedingt ein Follow-up mit einem stärker technischen Fokus angestrebt werden sollte.

Fazit und Ausblick

Die Veranstaltung bot umfassende Einblicke in die rechtlichen und praktischen Aspekte des EU AI-Act und zeigte, wie Unternehmen sich auf die neuen Anforderungen vorbereiten können. Die Diskussionen und Erfahrungsberichte der Teilnehmer verdeutlichten die Herausforderungen, aber auch die Chancen, die mit der Einführung des AI-Act verbunden sind. Microsoft und seine Partner sind bestrebt, Unternehmen bei der Umsetzung der Compliance zu unterstützen und kontinuierliche Weiterbildung zu fördern, um die Potenziale der KI-Technologien verantwortungsvoll zu nutzen.

Insgesamt war die Veranstaltung ein wichtiger Schritt, um (Mitglieds-)Unternehmen auf die kommenden Veränderungen vorzubereiten und ihnen die notwendigen Werkzeuge und Informationen an die Hand zu geben, um erfolgreich mit den neuen Anforderungen des EU AI-Act umzugehen.

Ein Folgeveranstaltung wird angestrebt – stay tuned.