{"id":5763,"date":"2025-06-01T08:37:06","date_gmt":"2025-06-01T06:37:06","guid":{"rendered":"https:\/\/www.bernhardschloss.de\/blog\/?p=5763"},"modified":"2025-06-01T08:37:06","modified_gmt":"2025-06-01T06:37:06","slug":"eu-ai-act","status":"publish","type":"post","link":"https:\/\/www.bernhardschloss.de\/blog\/eu-ai-act\/","title":{"rendered":"EU AI Act"},"content":{"rendered":"\n<figure class=\"wp-block-image size-large is-resized\"><img decoding=\"async\" src=\"https:\/\/lh3.googleusercontent.com\/pw\/ABLVV85rpILEiUXZFJW8xbST8H6EPLhNYJ4AxQKdpNP5Nk6YdwMBVqPQqwJoJ0z8-fh_9IvLkhGt__F8xHgev13VBwIwfZx3-Q3o3thZ78oZZ7THE0k4z_E4GLSHaEIyMcCCD74Pk8WKV3DI4YP8KYSTmj7ObQ2UiuTrrvj0eucaADNUToeEL4ZNn_q7Ebnv8RA7BCzoxpU7FW--tMKbivjop7yYOiZPN3OltMN928OYeT7emlodJowUO0UyWQNgUPIljK0912W42rlbmzmFjpAGvRfdz4WfMrw0onhOU6iqw0k2XgDKpxGB8YQvvSwNMKZM3WlW2-HEQ_EjNdVkEEbCiaYsCmLIAEBrw5pJxTsll-HTMJDhTp1Q-LIMJASnrBzTutYyYvlgsqA-5XtebO0zRir65QI1-SOMRe3D82uXtGhQ4pJm-EcbOJzcFltcDzBpOngCIDo0Il2LYMkZ4o0N3cl7zHohI5h_6kYjDX9dLY4hH6NCGbBh9PbGMX3bvIU5PLi3v3KoDEeA18F-aZT2KuLJ0xOGwW8QnrKRyZh_zgtmibAiChlFPANdehE8FLhukjq-CXeU3FFVdGg8_eQsvkoIYELCOq10CjAS977Zr3uiDy5TdaKguUvOecXHLujipKl4sZ2rktPWdUxy0nhhAY9rOScvESyK93QunALZRtKE1DddfiaPS8kIzinivAUWIAIGDd2L3UWVbsncwcMvmC87wtqweFvUZQ8EnEFhFAzlivncOM0x53sgdj-4j3IgYLgEYKgxEBtOPgjopDUyMLbK5lj1VKNbLqnksdRK_dQiYEn2UsaxK_cXUFBJFyHh_k3OnejnDghbn34SAUvnpE1TLOSdvoq-uYOx0RT8BKv3MGTe-xAO6HWLeE38j347KR98FRN7p-vGA4qXm7DKknvc=w820-h820-s-no-gm?authuser=0\" alt=\"\" style=\"width:150px\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Der AI Act der Europ\u00e4ischen Union ist der Inbegriff europ\u00e4ischer B\u00fcrokratie. Er steht in der glorreichen Tradition der Staubsauger-Verordnung und der Leuchtmittel-Verordnung. Also nicht dass der Inhalt der Verordnung Bl\u00f6dsinn w\u00e4re, nein, da haben sich Experten wirklich M\u00fche gegeben und viel Gehirnschmalz reingesteckt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>&#8222;Sie waren stets bem\u00fcht&#8230;&#8220;<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aber dahinter steckt ein grundlegend falsches Verst\u00e4ndnis: <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Statt bestehende Regelungen zu pr\u00fcfen und auf neue technologische Herausforderungen, wie die k\u00fcnstliche Intelligenz, anzupassen, werden neue Regelungen und neue B\u00fcrokratie geschaffen. Im aktuellen AI Hype geht es noch unter, aber der AI Act wird uns noch einholen, wie damals die DSGVO.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Meine erste Ann\u00e4herung<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Windholz, Natascha, et al. Praxishandbuch KI-VO: K\u00fcnstliche Intelligenz rechtskonform im privaten und \u00f6ffentlichen Bereich einsetzen, M\u00fcnchen 2024<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Leider keine Empfehlung. Extreme Detailtiefe, aber den Blick auf das Wesentliche habe ich nicht gefunden. Sicher alles da, aber ist nicht bei mir angekommen. Obwohl ich mich durchgek\u00e4mpft habe.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Zweiter Versuch<\/strong> beim Kunden: Deutscher Tech-Konzern hat eine interne Guideline zum Einsatz von AI<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wieder viel Gutes und Richtiges. 80+ Empfehlungen mit Referenzen auf Cybersecurity Policies, aber die Umsetzung stellt noch nicht einmal die Compliance zum AI Act sicher. (Soviel ist dann doch beim Praxishandbuch h\u00e4ngengeblieben.)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Dritter Versuch:<\/strong> Diskussion mit der AI Governance in einem Konzern<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Auch wieder etwas Deutsches: Wir brauchen neue Polices und eine Governance f\u00fcr das Thema AI. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Den Fehler des EU AI Act auf Unternehmensebene nachziehen und fortschreiben.<br>Auch hier wieder vieles Gutes und Richtiges. Aber irgendwie ein Greenfield Approach. F\u00fcr neue AI Anwendungen. Die gibt es zwar sicher, aber durch die Hintert\u00fcr, durch die Einbindung von AI-basierten Webservices, wird pl\u00f6tzlich alles zu einer AI-Applikation. Viele Fragen, gute Fragen &#8211; aber auf der falschen Ebene. Ein Deep Dive in die genutzten LLM-Modelle, die aber in den meisten Anwendungsszenarien durch SaaS-L\u00f6sungen vorgegeben sind und morgen m\u00f6glicherweise schon wieder durch neue Modelle ausgetauscht werden. Fragen die kein normaler Applikations-Verantwortlich beantworten kann, sondern die einen Cybersecurity-AI -Architekten erfordern. Es fehlt die Sensibilisierung f\u00fcr das Wesentliche:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Wenn wir AI-Webservices einbinden, geben wir Daten nach drau\u00dfen &#8211; das hat noch nicht einmal mit AI zu tun.<\/li>\n\n\n\n<li>Und wenn wir die Daten nach drau\u00dfen geben, dann ist die Frage, ob nur zur Verarbeitung oder ob die Modelle, die wom\u00f6glich auch von anderen genutzt werden, daraus lernen. In Nischenbereichen kann dann auch schnell die direkte Konkurrenz von uns lernen.<\/li>\n\n\n\n<li>Ja, es gibt da noch typische AI Risiken, wie Halluzinationen und Biases \u00fcber die wir die Anwender zumindest aufkl\u00e4ren m\u00fcssen.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Selbsthilfe<\/strong> <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ok, noch einmal zur\u00fcck auf Start. Warum nicht ChatGPT fragen nach dem AI Act?<br>Nein ganz so einfach habe ich es mir dann doch nicht gemacht. ChatGPT war nur der Startschuss und dann habe ich aus den gewonnen Erkenntnissen (siehe oben) nachgearbeitet. Ich bin auch kein Jurist &#8211; entsprechend unverbindlich sind meine eigenen 5 Cent, auch wenn ich sie hier teile.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zentral im AI Act ist eine Risikoklassifizierung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Typisch f\u00fcr die europ\u00e4ische B\u00fcrokratie eine neue Risikobetrachtung einzuf\u00fchren, als g\u00e4be es nicht l\u00e4ngst Risikomanagement in Unternehmen. Eine Betrachtung auf Applikationsebene kann schnell \u00fcberfordern, aber auf Ebene von Use Cases l\u00e4sst sich die Klassifizierung nach AI Act beantworten und dann bedarf es eben einer Aggregation: der Worst Case greift auf Applikationsebene.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der AI Act unterscheidet die folgenden Risikokategorien:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/lh3.googleusercontent.com\/pw\/AP1GczPS3MwpB-Axby_YvaEuEI4dfFBNkaZ1AskMU3meXbXnzpA2FosjMDsgPlnYcD1MKDSkA6aZnR9XCGZNHG0sb4mpCI7DsDntpul2aBYfbjDLkVtopy3gVIYWsuzvy3iliotjExENdiNy5SqQCG_n_svP=w909-h505-s-no-gm?authuser=0\" alt=\"\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Verbotene Anwendungen brauchen keine weitere Betrachtung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Interessant wird es bei den Hochrisiko-Anwendungsf\u00e4llen. Was fordert der AI Act hier?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Nun, wieder ChatGPT:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/lh3.googleusercontent.com\/pw\/AP1GczPPI7ToASwPb4SIDeIW7vVFtQC88KyCZArS2tZhN9dBXZjZswyEqCREYbOj4jzf30gAjUfNuFf06m4GRnRNL1HSqu86Uk-eKh9lIoUj3VLsXTTENKJO7Aiqs3hv1Y8pg103vlWLu57_8PqkYy2EjYly=w570-h815-s-no-gm?authuser=0\" alt=\"\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Auch hier gibt es \u00dcberschneidungen mit generellen Cybersecurity-Anforderungen, aber immerhin ein komprimierter Ansatz.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bei <strong>&#8222;limited risks&#8220;<\/strong> verbleibt nach dieser Logik nur mehr <em>Transparency and Information<\/em>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Und bei <strong>&#8222;minimal risk&#8220;<\/strong>, naja, das k\u00f6nnen wir vernachl\u00e4ssigen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Was ich trotzdem mitgenommen habe:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Nat\u00fcrlich m\u00fcssen wir uns mit der Kritikalit\u00e4t der Daten &#8211; Input wie Output besch\u00e4ftigen (auch wenn das eigentlich gar keine AI-Frage ist).<\/li>\n\n\n\n<li>Werden die verarbeiteten Daten als Trainingsmaterial verwendet? Dann k\u00f6nnten ja auch andere Nutzer des LLM darauf zur\u00fcckgreifen.<\/li>\n\n\n\n<li>Sind wir &#8222;nur&#8220; Nutzer oder Betreiber eines Modells? Bei der aktuellen Dynamik werden die Modelle schneller ausgetauscht als wir schauen k\u00f6nnen. Sind wir selbst Betreiber kommt eine besondere Verantwortung hinzu,<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Aus regulatorischer Sicht halte ich das Thema AI weitgehend f\u00fcr \u00fcberbewertet. Grunds\u00e4tzliche Anforderungen und Weisheiten, wie Garbage in &#8211; Garbage out, gelten weiter. Wirklich neu sind Halluzinationen und Biases. F\u00fcr die war fr\u00fcher noch der Mensch zust\u00e4ndig&#8230;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aber schauen wir mal, wo die Reise hingeht.<\/p>\n<div class=\"twoclick_social_bookmarks_post_5763 social_share_privacy clearfix 1.6.4 locale-de_DE sprite-de_DE\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_5763')){$('.twoclick_social_bookmarks_post_5763').socialSharePrivacy({\"services\":{\"facebook\":{\"status\":\"on\",\"txt_info\":\"\",\"perma_option\":\"off\",\"action\":\"recommend\",\"language\":\"de_DE\"},\"twitter\":{\"reply_to\":\"schlossblog\",\"tweet_text\":\"EU%20AI%20Act%20%C2%BB%20schlossBlog\",\"status\":\"on\",\"txt_info\":\"\",\"perma_option\":\"off\",\"language\":\"de\",\"referrer_track\":\"\"},\"xing\":{\"status\":\"on\",\"txt_info\":\"\",\"perma_option\":\"off\",\"language\":\"de\",\"referrer_track\":\"\"},\"t3n\":{\"status\":\"on\",\"txt_info\":\"2 Klicks f\\u00fcr mehr Datenschutz: Erst wenn Sie hier klicken, wird der Button aktiv und Sie k\\u00f6nnen Ihre Empfehlung an t3n senden. Schon beim Aktivieren werden Daten an Dritte \\u00fcbertragen - siehe <em>i<\\\/em>.\",\"perma_option\":\"off\"},\"linkedin\":{\"status\":\"on\",\"txt_info\":\"2 Klicks f\\u00fcr mehr Datenschutz: Erst wenn Sie hier klicken, wird der Button aktiv und Sie k\\u00f6nnen Ihre Empfehlung an LinkedIn senden. Schon beim Aktivieren werden Daten an Dritte \\u00fcbertragen - siehe <em>i<\\\/em>.\",\"perma_option\":\"off\"}},\"txt_help\":\"\",\"settings_perma\":\"\",\"info_link\":\"\",\"uri\":\"https:\\\/\\\/www.bernhardschloss.de\\\/blog\\\/eu-ai-act\\\/\",\"post_id\":5763,\"post_title_referrer_track\":\"EU+AI+Act\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div>","protected":false},"excerpt":{"rendered":"<p>Der AI Act der Europ\u00e4ischen Union ist der Inbegriff europ\u00e4ischer B\u00fcrokratie. Er steht in der glorreichen Tradition der Staubsauger-Verordnung und der Leuchtmittel-Verordnung. Also nicht dass der Inhalt der Verordnung Bl\u00f6dsinn w\u00e4re, nein, da haben sich Experten wirklich M\u00fche gegeben und viel Gehirnschmalz reingesteckt. &#8222;Sie waren stets bem\u00fcht&#8230;&#8220; Aber dahinter steckt ein grundlegend falsches Verst\u00e4ndnis: Statt [&hellip;]<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","footnotes":""},"categories":[971],"tags":[1024,756,930,1026,1025],"class_list":["post-5763","post","type-post","status-publish","format-standard","hentry","category-ki","tag-ai-act","tag-buerokratie","tag-ki","tag-requirements","tag-risikoklassifizierung"],"_links":{"self":[{"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/posts\/5763","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/comments?post=5763"}],"version-history":[{"count":3,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/posts\/5763\/revisions"}],"predecessor-version":[{"id":5766,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/posts\/5763\/revisions\/5766"}],"wp:attachment":[{"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/media?parent=5763"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/categories?post=5763"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/tags?post=5763"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}