Vertrauen in KI aufbauen: Der AWS-Ansatz zum EU AI Act

von Sara Duffer, Ashish Singh, Denis V. Batalov und Peter Hallinan, übersetzt von Tobias Nitzsche.

Mit der zunehmenden Verbreitung von KI und ihrer prägenden Rolle für unsere Zukunft passen sich Organisationen an die sich entwickelnden regulatorischen Rahmenbedingungen an. In unserem von Strand Partners in Auftrag gegebenen Bericht „Europas KI-Potenzial im digitalen Jahrzehnt 2025 erschließen“ [EN, Extern] betonen 68 % der befragten europäischen Unternehmen, dass sie Schwierigkeiten haben, ihre Verantwortlichkeiten gemäß des EU AI Acts zu verstehen. Europäische Unternehmen heben zudem hervor, dass schätzungsweise 40 % ihrer IT-Ausgaben für Compliance-bezogene Kosten aufgewendet werden. Unternehmen mit Unsicherheiten bezüglich der Vorschriften planen, im kommenden Jahr 28 % weniger in KI zu investieren. Mehr Klarheit rund um Regulierung und Compliance ist entscheidend, um die von der Europäischen Kommission gesetzten Wettbewerbsziele zu erreichen.

Der EU AI Act

Der European Union’s Artificial Intelligence Act – EU AI Act [EN, Extern] etabliert umfassende Vorschriften für die Entwicklung, den Einsatz, die Nutzung und die Bereitstellung von KI innerhalb der EU. Sie führt einen risikobasierten Regulierungsrahmen ein mit dem übergeordneten Ziel, Grundrechte und Sicherheit zu schützen. Der EU AI Act ist am 1. August 2024 in Kraft getreten und wird phasenweise angewendet. Die meisten Anforderungen werden innerhalb der nächsten 14 Monate wirksam. Die erste Gruppe von Verpflichtungen zu verbotenen KI-Praktiken und KI-Kompetenz wurde am 1. Februar 2025 durchsetzbar, die übrigen Verpflichtungen folgen schrittweise.

AWS-Kunden aus verschiedenen Branchen nutzen unsere KI-Dienste für vielfältige Zwecke: Sie verbessern ihren Kundenservice, optimieren ihre Geschäftsabläufe oder schaffen neue Erlebnisse für ihre Kunden. Wir prüfen aktiv, wie unsere Dienste Kunden bestmöglich bei der Erfüllung ihrer Compliance-Verpflichtungen unterstützen können, während AWS gleichzeitig die eigene Compliance mit den geltenden Bestimmungen des EU AI Acts sicherstellt. Während die Europäische Kommission weiterhin Compliance-Leitlinien veröffentlicht, wie die Richtlinien zu verbotenen KI-Praktiken [EN, Extern] und die Richtlinien zur Definition von KI-Systemen [EN, Extern], werden wir unsere Kunden über AWS-Blogbeiträge und andere AWS-Kanäle auf dem Laufenden halten.

Der AWS-Ansatz zum EU AI Act

AWS setzt sich seit langem für KI-Lösungen ein, die sicher sind und die Grundrechte respektieren. Wir verfolgen einen menschenzentrierten Ansatz, der Bildung, Wissenschaft und die Bedürfnisse unserer Kunden in den Mittelpunkt stellt, um verantwortungsvolle KI im gesamten KI-Lebenszyklus zu integrieren. Als führendes Unternehmen im Bereich KI-Technologie legt AWS Wert auf Vertrauen in unsere KI-Angebote und unterstützt das Ziel des EU AI Acts, vertrauenswürdige KI-Produkte und -Dienste zu fördern. Dies geschieht auf mehreren Wegen:

• Amazon gehörte zu den ersten Unterzeichnern des EU AI Acts [EN, Extern] und war der erste große Cloud-Service-Anbieter, der eine akkreditierte ISO/IEC 42001-Zertifizierung für seine KI-Dienste [EN] ankündigte. Diese umfasst Amazon Bedrock, Amazon Q Business, Amazon Textract und Amazon Transcribe.
• AWS-KI-Service-Karten und unser Sicherheitsrahmen für Grundlagenmodelle [EN] erhöhen die Transparenz. AWS KI-Service-Karten bieten Kunden einen zentralen Ort für Informationen zu beabsichtigten Anwendungsfällen und Einschränkungen, verantwortungsvollen KI-Designentscheidungen und Best Practices zur Leistungsoptimierung für unsere KI-Dienste und -Modelle. Amazons Sicherheitsrahmen für Grundlagenmodelle konzentriert sich auf schwerwiegende Risiken, die speziell bei Frontier-KI-Modellen auftreten, wenn diese in Größe und Fähigkeit skalieren und spezielle Bewertungsmethoden und Schutzmaßnahmen erfordern.
• Amazon Bedrock Guardrails hilft Kunden, Schutzmaßnahmen zu implementieren, die auf ihre generativen KI-Anwendungen zugeschnitten und an ihre Richtlinien für verantwortungsvolle KI angepasst sind.
• Unser Leitfaden für verantwortungsvolle KI [EN] unterstützt Kunden dabei, die Entwicklung und Gestaltung von KI-Systemen mit verantwortungsvollen Überlegungen über den gesamten KI-Lebenszyklus hinweg durchzudenken.
• Im Rahmen unserer KI-Ready-Initiative [EN] bieten wir kostenlose Bildungsressourcen an, die über die Technologie hinausgehen und Menschen, Prozesse und Kultur umfassen. Unsere Kurse decken Aspekte wie Sicherheit, Compliance und Governance [EN] ab sowie grundlegende Lerneinheiten zur Einführung in verantwortungsvolle KI [EN] und entsprechende Praktiken [EN].
• Unser Generative AI Innovation Center bietet technische Beratung und Best Practices, um Kunden beim Aufbau effektiver Governance-Frameworks für die Arbeit mit unseren KI-Diensten zu unterstützen.

Der EU AI Act verlangt, dass alle KI-Systeme bestimmte Anforderungen an Fairness, Transparenz, Rechenschaftspflicht und den Schutz der Grundrechte erfüllen. Mit einem risikobasierten Ansatz etabliert der EU AI Act verschiedene Kategorien von KI-Systemen mit entsprechenden Anforderungen und bringt Verpflichtungen für alle Akteure entlang der KI-Lieferkette mit sich, einschließlich Anbieter, Betreiber, Vertreiber, Nutzer und Importeure. KI-Systeme, die als inakzeptables Risiko eingestuft werden, sind verboten. Hochrisiko-KI-Systeme sind erlaubt, unterliegen jedoch strengeren Anforderungen in Bezug auf Dokumentation, Daten-Governance, menschliche Aufsicht und Risikomanagementverfahren. Darüber hinaus gelten bestimmte KI-Systeme (zum Beispiel solche, die für die direkte Interaktion mit natürlichen Personen vorgesehen sind) als risikoarm und unterliegen Transparenzanforderungen. Neben den Anforderungen für KI-Systeme bringt der EU AI Act auch eine separate Reihe von Verpflichtungen für Anbieter von Allzweck-KI-Modellen (GPAI) mit sich, je nachdem, ob diese systemische Risiken darstellen oder nicht. Der EU AI Act kann für Aktivitäten innerhalb und außerhalb der EU gelten. Daher kann Ihre Organisation auch dann zur Einhaltung des EU AI Acts verpflichtet sein, wenn sie nicht in der EU ansässig ist. Wir ermutigen alle AWS-Kunden, eine gründliche Bewertung ihrer KI-Aktivitäten durchzuführen, um festzustellen, ob sie dem EU AI Act unterliegen und welche spezifischen Verpflichtungen sie haben, unabhängig von ihrem Standort.

Verbotene Anwendungsfälle

Seit dem 1. Februar 2025 hat der EU AI Act bestimmte KI-Praktiken verboten, die als inakzeptables Risiko für die Grundrechte angesehen werden. Diese Verbote, deren vollständige Liste in Artikel 5 des EU AI Acts verfügbar ist, konzentrieren sich im Allgemeinen auf manipulative oder ausbeuterische Praktiken, die schädlich oder missbräuchlich sein können, sowie auf die Bewertung oder Klassifizierung von Personen auf der Grundlage sozialen Verhaltens, persönlicher Merkmale oder biometrischer Daten.

AWS ist bestrebt sicherzustellen, dass unsere KI-Dienste die geltenden regulatorischen Anforderungen erfüllen, einschließlich derer des EU AI Acts. Obwohl AWS-Dienste eine breite Palette von Kundeneinsatzszenarien unterstützen, ist keiner für Praktiken konzipiert oder vorgesehen, die gemäß des EU AI Acts verboten sind. Wir halten diese Verpflichtung durch unsere Richtlinien aufrecht, darunter die AWS-Richtlinie zur akzeptablen Nutzung, die Richtlinie zur verantwortungsvollen KI und den Leitfaden zur verantwortungsvollen Nutzung von KI [EN].

Die Einhaltung des EU AI Acts ist eine gemeinsame Reise, wie sie in der Verordnung festgelegt ist, mit Verantwortlichkeiten für Entwickler (Anbieter) und Betreiber von KI-Systemen. Obwohl AWS die Bausteine für konforme Lösungen bereitstellt, bleiben AWS-Kunden dafür verantwortlich zu bewerten, wie ihre Nutzung von AWS-Diensten unter den EU AI Act fällt, geeignete Kontrollen für ihre KI-Anwendungen zu implementieren und sicherzustellen, dass ihre spezifischen Anwendungsfälle mit den Einschränkungen des EU AI Acts konform sind. Wir ermutigen AWS-Kunden, die Liste der verbotenen Praktiken gemäß EU AI Act sorgfältig zu prüfen, wenn sie KI-Lösungen mit AWS-Diensten entwickeln, und die kürzlich von der Europäischen Kommission veröffentlichten Richtlinien [EN] zu verbotenen Praktiken zu berücksichtigen.

Weiteres Vorgehen mit dem EU AI Act

Da sich die regulatorische Landschaft weiterentwickelt, sollten Kunden sich über den EU AI Act informieren und bewerten, wie er auf die KI-Nutzung ihrer Organisation anwendbar ist. AWS bleibt im Austausch mit EU-Institutionen und relevanten Behörden in den EU-Mitgliedstaaten zur Durchsetzung des EU AI Acts. Wir nehmen an Branchendialogen teil und bringen unser Wissen und unsere Erfahrung ein, um ausgewogene Ergebnisse zu unterstützen. Diese sollen vor Risiken dieser Technologie schützen, insbesondere dort, wo KI-Anwendungsfälle das Potenzial haben, die Gesundheit, Sicherheit oder Grundrechte von Personen zu beeinflussen, während sie gleichzeitig kontinuierliche KI-Innovation ermöglichen, die allen zugutekommen wird. Wir werden unsere Kunden weiterhin über unsere AWS ML-Blogbeiträge und andere AWS-Kanäle auf dem Laufenden halten, wenn neue Leitlinien erscheinen und weitere Teile des EU AI Acts in Kraft treten.

Wenn Sie Fragen zur Einhaltung des EU AI Acts haben oder zusätzliche Informationen zu AWS-KI-Governance-Tools und -Ressourcen benötigen, wenden Sie sich bitte an Ihren Kundenbetreuer oder bitten Sie um Kontaktaufnahme.

Sollten Sie Teil unserer Innovationsgemeinschaft werden wollen, um über kommende Veranstaltungen zu erfahren, Experteneinblicke zu gewinnen, praktische Anleitungen zu erhalten und Kontakte zu knüpfen, so nutzen Sie bitte diese Registrierung [EN].