Künstliche Intelligenz (KI): für eine pragmatische Umsetzung der KI-VO
Die neue KI-Verordnung der EU ( KI-VO/AI Act) ist am 1. August 2024 in Kraft getreten und seither laufen die gestaffelten Umsetzungsfristen. Sechs Monate nach Inkrafttreten, seit dem 2. Februar 2025, ist der Einsatz verbotener KI-Anwendungen mit unannehmbar hohem Risiko untersagt und zugleich traten die Vorschriften zur Sicherstellung einer angemessenen KI-Kompetenz in Kraft. Zwölf Monate nach Inkrafttreten, am 2. August 2025, werden die Pflichten für KI mit allgemeinem Verwendungszweck (GPAI/GenAI) wirksam. Weitere zwölf Monate später, am 2. August 2026, gelten sämtliche Regelungen und Pflichten für Hochrisikosysteme aus Anhang III, der eine Liste der Anwendungsfälle enthält.
Konkrete Regeln und Pflichten zum Einsatz von KI mit allgemeinem Verwendungszweck (GPAI) werden vom neu geschaffenen AI Office in der EU-Kommission erarbeitet. Mit der Fertigstellung des Kodex wird frühestens bis April 2025 gerechnet, wobei die GPAI-Bestimmungen aus dem AI Act bereits am 2. August 2025 in Kraft treten werden. Diese Fristen greifen viel zu spät, so dass kaum Spielraum für deren Umsetzung existiert.
Das AI Office hat im Februar 2025 zwei Leitlinien zu dem Thema KI-Definition und zu den verbotenen KI-Anwendungen veröffentlicht. Gleichzeitig wurde ein Living Repository zum Thema KI-Kompetenzschulungen als unterstützende Beispielsammlung herausgegeben.
Leitfäden und Repository haben allerdings keinerlei rechtliche Verbindlichkeit und dienen lediglich der Orientierung.
Zwölf Monate nach Inkrafttreten des AI Act soll in allen EU-Mitgliedstaaten die Ernennung einer sektorübergreifenden Behörde für künstliche Intelligenz erfolgen, dafür ist derzeit die Bundesnetzagentur im Gespräch. Die BaFin arbeitet seit 2024 an den finanzwirtschaftlichen Umsetzungsspezifikationen der EU-Rahmenregulierung. Das BSI formuliert übergreifende Standardisierungen, die bestenfalls bis Mai 2025 veröffentlicht werden.
Kreditinstitute setzen zunehmend KI in den verschiedensten Bereichen ein. Gleichzeitig befindet sich der konkrete regulatorische Rahmen noch immer im Aufbau. Kritisch diskutierte Themen, wie das Zusammenspiel mit anderen sektoralen Regulierungen, bleiben immer noch zu vage. Unsere Institute fordern deshalb mehr berechenbare Planbarkeit und Rechtssicherheit beim zukünftigen Einsatz von KI.
Unsere Positionen
Wir fordern praxisgerechte, rechtssichere Leitplanken, die eine angemessene Umsetzung der KI-VO in den Instituten frühzeitig erleichtern. Wichtige Punkte der KI-VO sind bisher ungeklärt. Für die Schulungen von Mitarbeitenden im Umgang mit KI sowie die menschliche Überwachung von KI fehlen Detailregelungen. Auch das Zusammenspiel mit bestehenden finanzwirtschaftlichen Regulierungen ist genauso unklar wie die Nutzung von KI entlang der Wertschöpfungskette.
Wir plädieren für praktikable Umsetzungsfristen. Die vorgesehenen Umsetzungsfristen der KI-VO sind insgesamt viel zu knapp bemessen, um eine angemessene Compliance der KI-Governance zu gewährleisten.
Wir befürworten eine Reduzierung der Monitoring- und Berichtspflichten. Sehr umfangreiche Transparenz-, Monitoring- und Berichtspflichten für verschiedene Risikoklassen erschweren die Umsetzung und wirken oft abschreckend.
Wir fordern mehr eindeutige Guidelines für die praktische Nutzung und ethische Umsetzung, insbesondere für GPAI. Gerade diese KI-Modelle sind beliebt und verbreiten sich schnell, so dass den Codes of Practice des AI Office eine besondere Bedeutung zukommen wird.
Wir begrüßen den pragmatischen Ansatz der Bundesanstalt für Finanzdienstleistungsaufsicht bei der Prüfung von KI-Modellen in der Bankensteuerung. KI wird dort als eine von vielen Technologien behandelt, die Banken testen und verantwortlich einsetzen. Eine liberale Nutzung von KI zum Wohle Europas im globalen Wettbewerb wäre mit einer restriktiven Auslegung des AI Act nicht gewährleistet.
Wir erwarten wertvolle Unterstützung von der angekündigten Publikation des Bundesamts für Sicherheit in der Informationstechnik zur Standardisierung von KI.