Der EU AI Act in Verbindung mit dem IDW PS 861

Der “EU Artificial Intelligence Act” (kurz: „EU AI Act”) repräsentiert das weltweit erste umfassende Gesetz, welches auf die Regulierung von künstlicher Intelligenz (KI) abzielt. Dadurch sollen potenzielle Risiken in Bezug auf Gesundheit, Sicherheit sowie Grundrechte minimiert werden, welche durch den Einsatz von KI-Systemen entstehen können. Der EU AI Act schafft somit Leitlinien für Anbieter, Betreiber, Einführer und Händler von KI-Systemen, um die Vertrauenswürdigkeit und die Verlässlichkeit der zugrundeliegenden KI-Systeme sicherzustellen. Aufgrund der gestaffelten Übergangs­fristen zur Einhaltung des EU AI Acts von 6 bis 36 Monaten sollten sich Unternehmen mit etwaigen Berührungspunkten zu KI-Systemen rechtzeitig mit den neuen Anforde­rungen vertraut machen. 

​Der EU AI Act verfolgt einen risikoorientierten Ansatz, der KI-Systeme in drei Risikokategorien einteilt: 

(1) Inakzeptables Risiko: KI-Systeme, die ein inakzeptables Risiko mit sich bringen, sind von einer Anwendung in der EU ausgeschlossen. Darunter fallen KI-Systeme, die bspw. für Social Scoring herangezogen werden, um individuelles Verhalten von Personen zu bewerten, oder solche, die darauf abzielen menschliches Verhalten auf unzulässige Weise zu manipulieren.  

(2) Hohes Risiko: KI-Systeme, die als hochriskant eingestuft werden, umfassen Anwendungen in essenziellen Bereichen wie bspw. der kritischen Infrastruktur, dem Gesundheitswesen oder dem Finanzwesen. Diese Art der KI-Systeme müssen strenge Anforderungen erfüllen, um in der EU betrieben werden zu dürfen. 

(3) Begrenztes Risiko: Für KI-Systeme mit begrenztem Risiko gelten weniger restriktive Vorschriften; hauptsäch­lich kommen innerhalb dieser Risikokategorie Transparenz- und Informationspflichten zur Anwendung.  

Neben der Risikoklassifizierung beinhaltet der EU AI Act Verpflichtungen hinsichtlich der Transparenz. Demnach müssen KI-generierte oder -bearbeitete Inhalte explizit als solche ausgewiesen werden. Dies soll das Bewusstsein der Nutzer in Bezug auf die Interaktion mit einem KI-System schärfen. Darüber werden für Anbieter von “General Purpose AI” (wie bspw. die aktuellen Modellklassen der generativen KI) zusätzliche Dokumentationsanforderungen definiert.  

Der EU AI Act strebt ein ausgewogenes Verhältnis zwischen der Förderung von Innovation und der Prävention von Risiken an. Obwohl für KI-Systeme mit erhöhtem Risikopotenzial umfassende Richtlinien vorgesehen sind, wird im Bereich der Forschung und Entwicklung ein gewisser Spielraum gewährt. Damit wird ein globales Rahmenwerk für die Regulierung von KI etabliert, welches die sichere und verantwortungsbewusste Nutzung von KI in der EU gewährleisten soll.  

Während der EU AI Act die regulatorischen Anforderungen und Rahmenbedingungen für KI-Systeme festlegt, bietet der IDW Prüfungsstandard: Prüfung von KI-Systemen (IDW PS 861) (03.2023) Kriterien zur Umsetzung einer einheitlichen Prüfung von KI-Systemen durch die Wirtschaftsprüfer. Der Standard bedient damit die steigende Nachfrage nach standardisierten KI-Prüfungen. Die aus einer Prüfung nach IDW PS 861 resultieren­den Berichte basieren auf dem International Standard on Assurance Engagements 3000 (Revised), Assurance Engagements other than Audits or Reviews of Historical Financial Information. Dabei erfordert eine Prüfung nach IDW PS 861 die Beurteilung von Kriterien, wie ethischen und rechtlichen Anforderungen, Nachvollzieh­bar­keit, IT-Sicherheit und Leistungsvermögen von KI-Systemen. Während einer solchen standardisierten KI-Prüfung fokussiert sich ein Wirtschaftsprüfer auf die Beschreibung des KI-Systems zusammen mit der Erklä­rung der gesetzlichen Vertreter des Unternehmens.  

Unternehmen wird empfohlen, sich frühzeitig mit den Auswirkungen des EU AI Acts auf ihr Geschäft auseinan­derzusetzen sowie die Vorteile einer einheitlichen Prüfung ihres KI-Systems nach IDW PS 861 zu beurteilen.