Felix: [00:00:00] Herzlich willkommen zum AI-First-Podcast. Heute zu Gast ist Patrick Gilroy, Head of Artificial Intelligence und Education beim TÜV-Verband und wir haben uns vorgenommen, heute über den EU-AI-Act zu sprechen, was der TÜV für sichere KI-Entwicklung übernimmt und wie sich der TÜV auch selbst im Bereich KI aufstellt. Patrick, schön, dass du heute dabei bist.  Patrick: Ja, danke. Thanks for having me, Felix.  Felix: Zum Start, erzähl uns doch mal kurz, wer du bist und was der TÜV-Verband überhaupt macht und was deine Rolle dort ist. Der Positionstitel klingt ja schon mal sehr spannend.  Patrick: Der Job den ich habe, der ist auch sehr spannend, vielleicht nur als Expectation Management, als Erwartungsmanagement vorab. Ich bin natürlich jetzt kein KI-Rocket-Scientist noch ein Serial Entrepreneur KI-Startup-Gründer, noch sozusagen EU-Bürokrat der den [00:01:00] EU-AI-Act, also die europäische KI-Verordnung, wo wir heute den Deep Dive zu hinlegen im Podcast, mitgeschrieben hat. Aber ich habe eben beim TÜV-Verband dieses Gesetzgebungsverfahren Verfahren maßgeblich jetzt die letzten Jahre auch, muss man ja sagen, begleiten dürfen und mein Job beim TÜV-Verband, der sozusagen die Interessensvertretung der TÜV ist, also in Berlin, es gibt ja nicht nur einen TÜV, auch wenn das in der Umgangssprache oft Tempo-Taschentuch gibt, wie man Tempo TÜV, geh mal zum TÜV. Es gibt aber nicht nur den TÜV, es gibt die TÜV, TÜV Nord, TÜV Süd TÜV Rheinland und so weiter, die auch untereinander im Übrigen im Wettbewerb stehen. Also von daher eine ganz interessante, einerseits staatentlastende Tätigkeit, die diese Prüforganisationen die TÜV, da übernehmen, aber andererseits auch ein Entrepreneurial Spirit am Markt, Prüfdienstleistungen am Kunden zu erbringen und so ja auch zukünftig darüber sprechen wir heute im Bereich Künstliche Intelligenz Und die haben eben diesen TÜV-Verband als kleinen Überbau in Berlin, wo wir die Digitalpolitik natürlich auch [00:02:00] mitgestalten. Und mein Job hier ist neben künstlicher Intelligenz als Thema, mit dem ich mich da ein bisschen verheiratet habe, auch die Weiterbildung. Warum? Nur ein Satz dazu. Vielleicht kommen wir heute auch dazu, kurz zu sprechen. Es gibt natürlich auch riesige Weiterbildungsbedarfe an genau dieser Schnittstelle. Stichwort Artikel 4b AI Literacy im AI Act, schon mal erwähnt. Also KI-Beauftragten-Tum, was muss ich wissen um in hochriskanten KI-Systemen Leute, Stichwort Human Oversight einzusetzen. Da gibt es viel Weiterbildungsbedarfe. Und KI ist eines von ganz, ganz vielen Themen von A wie Arbeitsschutz über G wie Gabelstapler-Schulung bis Z wie Zen-Meditation und Resilienz in der Arbeitswelt etc., Hashtag New Work, was eben die TÜV auch mit ihren Akademien, mit den TÜV-Akademien, da gibt es also auch sozusagen TÜV Südakademie, TÜV Nordakademie, TÜV Rheinland Akademie und so weiter Das sind jetzt nur die großen, die ich genannt habe, auch am Start sind und wirklich Hunderttausende von Leuten durch verpflichtende, aber auch durch freiwillige [00:03:00] Schulungen und Seminare Blended Learning, E-Learning, Analog you name it, wirklich zu schleusen und somit sind auch die TÜV mit ihren Weiterbildungsakademien zusammengenommen einer der größten Player am deutschen Weiterbildungsmarkt, privater Natur muss man dazu sagen und meine Schnittstelle beim Verband ist eben Künstliche Intelligenz und Weiterbildung Zu betreuen. Deswegen freue ich mich sehr, das heute ein bisschen ausbreiten zu dürfen. Und ich hoffe, du erlaubst mir an der einen oder anderen Stelle natürlich einen kleinen Werbeblock einzuschmeißen Aber das Wichtigste ist ja wirklich auch den Fokus darauf zu legen, was bedeutet die Challenge nicht nur KI überhaupt im Digital Transformation Management, sondern eben jetzt mit Blick auf Compliance auf den AI-Act, sich da auch aufzustellen. Dazu versuche ich sozusagen das, was ich an Insights an Learning die letzten Monate und Jahre ... mir da mitgenommen habe, hier ein bisschen weiterzugeben.  Felix: Klasse, da tauchen wir jetzt mal ganz tief ein. Und mein Ziel wäre, dass wir das auf ein Level bekommen, ... ... wo wirklich Entscheider, [00:04:00] Unternehmer, Führungskräfte, hier heute zuhören und sich fragen, ... Dieses Wort, dieser Begriff, der wabert so durch die Gegend und alle sagen, wir müssen da jetzt ja irgendwas machen, das mal auf eine Handlungsebene zu bringen und so einen Reality-Check zu machen. Was heißt das jetzt eigentlich auch, je nachdem in welchem Umfang ich KI nutze? Aber da tauchen wir jetzt mal ein und vielleicht machen wir zum Start mal so einen Überblick. EU-AI-Act. Was ist das überhaupt? Was ist das Ziel von dieser Verordnung? Wen betrifft das?  Patrick: Der EU-AI-Act, also die Europäische KI-Verordnung, ist seit August diesen Jahres bereits in Kraft. Das schon mal vorweg, das ist Europas Regelwerk für vertrauenswürdige und sichere künstliche Intelligenz. Einerseits KI-Systeme vor allem in hochriskanten Bereichen, und andererseits auch für [00:05:00] Allzweck-KI-Systeme also Chat-GBT, die großen Large-Language-Models. Wir kennen sie alle seit dem Durchbruch letzten Jahres. Die werden auch noch sozusagen auf den letzten Metern durch diese KI-Regulierung mitreguliert. Und Regulierung ist auch das Stichwort dafür Denn sie gilt horizontal als erste und vielleicht auch international bisher mit ambitionierteste global gesehene KI-Regulierung als Gesetz in den Mitgliedstaaten. Das heißt also, Deutschland muss jetzt ganz konkret hierzulande Durchführungsbestimmungen, also erstmal einen Referentenentwurf und eine Durchführungsbestimmung erlassen, wie genau die Vorgaben im AI-Act dann in nationale KI-Aufsicht gegossen werden. Und Unternehmen, das ist schon mal eine ganz wichtige Message von mir vorab, die man gar nicht genug betonen kann, du bist Führungskraft im KI-Bereich oder zumindest tangiert mit KI in deinem Unternehmen in der Führung, dann mach keinen Wait-and-See-Approach, sondern geh da voll rein und setz dich damit auseinander, was kommt da auf uns zu an Anforderungen, welche Rolle habe ich, in welche Risikoklassen falle ich mit den [00:06:00] KI-Systemen, die ich selber entwickle oder die ich betreibe, zu diesem Unterschied kommen wir bestimmt noch ist ein ganz wichtiger Unterschied. Und welche Anforderungen kommen dann auf mich zu? Also da nicht sich zurückzulehnen und zu sagen, ja, es ist kompliziert, erst mal Brüssel, erst mal gucken, Bürokratie-Monster, was die anderen machen, lass mal abwarten, wait and see, vielleicht wird es ja gar nicht so schlimm. Nein, falscher Ansatz Ich werde auch heute in den podcast ganz aktiv für hashtag compliance by design also sich von anfang an nun ein bisschen darauf zu stürzen aufzuschlauen sich zu ertüchtigen damit auseinanderzusetzen was da auf einen zukommt und vielleicht schon mal so ein bisschen als spoiler die good news sind Das ist gar nicht so viel. Vieles von dem, was da wirklich an strikten Anforderungen gilt oder auch da, wo man dann vielleicht mit Akteuren wie den TÜV oder DEKRA oder eben Prüfindustrie auch zu tun haben muss, das ist eine sehr kleine Bereich. Das allermeiste der KI bleibt entweder unreguliert oder mit. Laxeren Transparenzverpflichtung versehen. Das können wir gleich auch nochmal im [00:07:00] Detail aufschlüsseln. Aber nur nochmal zusammenzufassen, Europas Regelwerk für vertrauenswürdige KI hat eben das Ziel, trustworthy AI made in Europe, made in Germany, made in France, made wherever, hierzulande bei der Inverkehrbringung sicherzustellen. Das heißt also, die Balance hinzubekommen zwischen einerseits dem berechtigten Interesse an einem Schutzniveau Für künstliche Intelligenz durch die Bevölkerung und andererseits natürlich dem ebenso wichtigen und geopolitisch auch, da ist ja der Innovationsdruck bei uns allen voll im Nacken Interesse an einer Innovationsförderung Das sozusagen in Einklang zu bringen durch eine, ja ich sag mal Smart Regulation durch eine kluge Regulierung, die auch im Übrigen zukunftsfest, also future proof ist, das hat man sich beim europäischen Universum Gesetzgeber vorgenommen und mit den Mitgliedstaaten eben im letzten und dieses Jahr geeinigt dazu. Und das Ganze spielt sich ab in Europa, also auch vor dem Hintergrund des sogenannten [00:08:00] New Legislative Frameworks. Und der Kernpunkt des AI-Acts ist sicherlich der risikobasierte Ansatz. Das ist sozusagen das Herzstück dieser Regulierung. Das vielleicht nur so vorab.  Felix: Wunderbar. Lass uns da mal genau reingehen jetzt in diesen risikobasierten Ansatz. Was ist das und welche Risikoklassen gibt es? Und dann helfen ja auch immer so ein paar Beispiele um mal einzuordnen. Wie nutze ich jetzt eigentlich KI bei uns im Unternehmen und in welche Risikoklassen fällt das und was sind damit für Auflagen verbunden?  Patrick: Ja also zunächst mal muss man mal ganz kurz erklären, dieses New Legislative Framework in Europa bedeutet im Prinzip, dass die Anforderungen die da auf Unternehmen zukommen, immer nur so spezifisch wie nötig sind. Ganz vieles kann dann auch über Normen und über KI-Standardisierung, wo auch Unternehmen mitarbeiten können und aufgerufen sind, das im Moment auf europäischer Ebene über die Normungsorganisation SenCenelec Zum Beispiel in diesem [00:09:00] JTC21-Gremium zu tun. Das ist jetzt vielleicht ein bisschen viel Abkürzung, weil der Punkt ist, Unternehmen und auch Startups und auch Zivilgesellschaft, alle Akteure sind aufgerufen, an der Normung und Standardisierung für KI mitzumachen, die dann sozusagen technisch das gießt was politisch versprochen wird und an Regelungen die sich vorgenommen hat. In konkrete technische Anforderungen. Und nach ganz hinten raus kommt dann natürlich auch die TÜV ins Spiel, die auf Basis von Checklisten von Prüfkriterien, von Prüfansätzen und Methoden, dazu kommen wir ja noch, eben auch in der Lage sind, unabhängig dritt zu prüfen, ob KI diese Anforderungen aber auch Qualität und natürlich Compliance mit dem AI-Act erfüllt. Also mal kurz zusammengefasst, der AI-Act kommt eigentlich sehr stark aus der Produktsicherheitslogik Die Grundfrage ist immer, diese KI, also dieses KI-Modell Allzweck-KI oder dieses KI-System oder diese KI-System-Komponente, ist das Ding jetzt eigentlich sicher und ist das vertrauenswürdig? Das ist sozusagen die Grundfrage. Und dann gibt es im AI-Eck noch so ein bisschen so eine [00:10:00] hybride Logik wo auch Grundrechte-Schutz mit reinkommt. Also in vielen Bereichen in einigen Bereichen müssen Vertreter Betreiber und Hersteller von insbesondere hochriskanten KI-Systemen Auch sogenannte Fundamental Right Impact Assessments machen. Also inwieweit tangiert mein KI-System oder mein KI-Modell dann eigentlich auch Grundrechte wie Privatsphäre und so weiter. Und vielleicht nur ein paar Beispiele zu nennen. Also das allermeiste... Im risikobasierten Ansatz des AI-Acts bleibt ja unreguliert. Das kann man schon so sagen, dass sozusagen, wenn wir uns das wie so eine Pyramide vorstellen, das Fundament da von dieser Pyramide das ist quasi das allermeiste Gaming oder auch Spam-Filter mit KI und so weiter Bleibt unreguliert. Dann gibt es natürlich mit geringen oder begrenzten Risiken KI-Systeme wo man sagt, hier braucht es verpflichtende [00:11:00] Transparenzanforderungen. Der Mensch am anderen Ende, zum Beispiel im Customer Service, muss wissen, dass er es da gerade mit einem KI-Voice-Chatbot zu tun hat. Das ist kein echter Mensch und das sollte nicht nur meine Oma, sondern auch der Jugendliche der da telefoniert, wissen als Beispiel. Und dann gibt es, und das ist sozusagen wirklich der Fokus des AI-Acts Das Hochrisikobereich also alles da, und jetzt wird es ein bisschen technisch wo qua Anhang 1 des AI-Acts bereits ein KI-System drittprüfungspflichtig ist in einem sektoralen Bereich, Beispiel Medizinprodukte, Beispiel autonomes Fahren und so weiter, ohnehin schon in einem hochriskanten Bereich oder als Sicherheitskomponente in einem System Bereits sektoral dritt prüfungspflichtigen Produkt enthalten ist oder verbaut wird, Und da sagt der Gesetzgeber das ist Hochrisiko Da gibt es etwas strengere Anforderungen. Und laut Anhang 3, und da hört es dann auch schon auf mit diesen technischen Begriffen gibt es noch ein paar Bereiche wo der [00:12:00] EU-Gesetzgeber gesagt hat, naja, da ist aber auch der Anwendungsbereich, wenn die KI da zur Anwendung kommt, auch hochriskant angepasst Finden wir politisch Ist so. So hat man sich jetzt politisch geeinigt Und da sind zum Beispiel klassische Beispiele der Zugang zum Beruf, der Zugang zur Bildung Also überall dort, wo algorithmisch KI basiert oder KI unterstützt mit einem signifikanten Grad an Autonomie des KI-Systems entschieden wird über Lebenschancen von Menschen Entschieden wird, ob Menschen auch manipuliert werden können, ob vulnerable Gruppen, ich sage jetzt mal Kinder über Amazon Echo oder was auch immer, sozusagen möglicherweise ausgenutzt werden können. Da wird gesagt, das sind Bereiche, wenn da KI zum Einsatz kommt, die auch hoch riskant sind, sprich es gelten striktere Anforderungen. Und jetzt noch der allerletzte Punkt. Es gibt noch einen Bereich, wo der EU-Gesetzgeber auch gesagt hat, Da gibt es inakzeptable Risiken. Da gibt es auch, vielleicht anders als in China oder hier und da in den USA oder Asien eben, gibt es auch Verbote. Also überall dort, wo zum Beispiel [00:13:00] Emotionserkennung am Arbeitsplatz passiert oder so. Wo Echtzeitüberwachung biometrischer Natur Und so weiter passiert, obwohl es viele, viele Ausnahmen da auch gibt, auf die die Mitgliedstaaten auch gedrungen haben, gibt es eben Bereiche, die dann auch klar verboten sind, zum Beispiel auch Social Scoring, also sozusagen Bonitätsprüfer oder Kreditwürdigkeits-Einstufungen, die algorithmisch bestimmte Menschengruppen Aussortieren. Also angenommen es gab ja auch in den Niederlanden zum Beispiel diesen Skandal dass ganz viele alleinerziehende Mütter von einem Tag auf den nächsten aufgrund eines Algorithmusfehlers, muss man sagen, das betraf Tausende von Frauen und ihre Kinder natürlich, keine Sozialleistungen mehr bekommen haben. Das wäre also sozusagen so ein Fail, den die EU auch versucht, mit diesen Verboten die im Übrigen schon nach sechs Monaten auch gelten nach Artikel 5 eben auch dann gar nicht mehr in den Markt zu bringen.  Felix: Okay, also fassen wir das nochmal zusammen. Es gibt [00:14:00] Anwendungen, die haben kein Risiko und sind nicht reguliert. Dann gibt es mit einem sehr minimalen oder minimales und kein Risiko ist das das gleiche oder ist das nochmal aufgeteilt?  Patrick: Also kein Risiko ist im Prinzip so eine Restkategorie die im AI-Act überhaupt nicht vorkommt. Aber da gibt es dann auch gar keine Regeln dafür. Das betrifft auch ganz vieles wahrscheinlich Aber der AI fokussiert sich dann eher auf das begrenzte oder minimale Risiko Dafür gibt es eben, wie gesagt, vor allem Transparenzverpflichtung. Felix: Okay, also es gibt minimales, begrenztes hohes und ein... Nicht annehmbares Risiko dann verboten. Jetzt hast du ja auch verschiedenste Regelungen und so weiter schon auch mit aufgeführt. Für mich klingt das jetzt total kompliziert. Also wo ich schon mich frage okay, ich habe halt ein Unternehmen zu führen, der Tag ist voll, ich habe echt mehr als genug zu tun. Wir sehen aber die Vorteile von künstlicher Intelligenz. Wollen die natürlich auch [00:15:00] nutzen, aber wenn ich mir das jetzt anschaue ein paar hundert Seiten und zig Anforderungen und sowas, habe ich schon fast keine Lust mehr mich damit zu beschäftigen um das jetzt mal sehr plump auszudrücken. Lass uns aber jetzt hier mal eingehen auf die Unterschiede Die es gibt zwischen einem Unternehmen, was KI, Technologie und Produkte herstellt und auf dem Markt vertreibt und anderen Unternehmen zur Verfügung stellt und und das ist ja der Großteil, ich bin ein Anwenderunternehmen. Also, ich habe jetzt gelernt, ChatGPT hilft mir und meinen Mitarbeitern produktiver zu arbeiten. Oder ich habe gelernt, dass Bestimmte Anfragen im Kundensupport immer wieder kommen und die kann ich automatisieren oder ich habe gelernt, dass KI mir dabei helfen kann, akkuratere Prognosen zu machen für meine Kundenabwanderungsraten, damit ich rechtzeitig darauf reagieren kann oder meine Maschinen, wann die gewartet werden müssen. Das sind ja so typische Anwendungsfälle, die es in vielen Unternehmen [00:16:00] gibt. Wie unterscheiden sich jetzt diese Anforderungen und die Auflagen zwischen diesen Prognosen Und vielleicht würdest du dort auch nochmal etwas stärker differenzieren, als ich das jetzt getan habe.  Patrick: Nee, absolut. Das ist eben genau der Punkt. Einerseits ist das Ding komplex Muss man natürlich dazu sagen, die KI-Technologie und deren Risikopotenziale sind auch nicht gerade unterkomplex. Von daher darf man vielleicht dem Gesetzgeber auch einen Tacken verzeihen dass das Ding ein paar hundert Seiten hat, um eben so detailliert wie nötig schon mal zu werden. Ich würde aber noch einen Schritt weiter gehen und sagen, es ist noch nicht detailliert genug. Wir brauchen jetzt für die Unternehmen, und das ist auch etwas, was der TÜV-Verband regelmäßig fordert aber auch die Industrie und andere, dass es hier natürlich jetzt auch Leitlinien braucht. Wie genau ist die Einstufung der hochriskanten KI? Was sind konkrete Beispiele? Hier sind die Augen gerichtet auf das neu geschaffene AI Office als Teil der EU-Kommission in Brüssel. Unter der Leitung von Lucia Scioli und ihrem Team, dass eben auch konkrete Handreichungen, Guidelines, Hilfestellungen gegeben werden für Unternehmen. Wie genau [00:17:00] falle ich rein? Aber vielleicht, um das mal kurz von der Grundlogik zu skizzieren, also nochmal festzuhalten, je größer das Risiko ist Desto strikter die anforderung aber noch mal festhalten in den allermeisten fällen ist interne selbstregulierung also quasi eigene prüfungen der eigene information ausreichend natürlich gibt es immer auch den bereich dass ich freiwillig mehr machen kann als gesetzlich vorgeschrieben da sind wir bei dem thema responsible Das ist auch aus meiner Sicht etwas ganz Entscheidendes, das ich verstehe als Wettbewerbsvorteil. Erstens bin ich gut beraten, voll auf Responsible AI zu gehen. Wir haben sowieso in einigen Bereichen den Anschluss mit insbesondere USA und Asien insbesondere China verloren. Das heißt, unser USP, unser Unique Selling Point, unser Alleinstellungsmerkmal in Europa ist und wird sein. Jetzt wirklich zu double down auf die Vertrauenswürdigkeit unserer KI-Offerings um einfach deren schnelle In-Verkehr-Bringung und dann auch schnelle Marktdurchdringung sicherzustellen. [00:18:00] Also vertrauenswürdige KI als Label als Prüfung auch als Zertifikat natürlich sicherzustellen Hashtag TÜV geprüft, ist ein ganz vertrauensstiftendes und marktakzeptanzentscheidendes Element. Und der Unterschied, den du aufmachst, ist sau wichtig. Also als erstes muss ich mich mal fragen, bin ich ein KI-Hersteller oder bin ich ein Anbieter von einem KI-System oder einem großen KI-Modell Die kann man ja im Prinzip an der Hand abzählen, die ganzen Riesenmodelle, die hier vom AI-Act wirklich tangiert werden. Das sind ja im Prinzip Chat-GBT, hast du genannt aber auch Google Gemini, vielleicht noch Claude von Anthropic und so weiter, die wirklich diese sogenannte Flop-Grenze, also diese Rechenintensität der Trainingsdaten ich glaube, 10 hoch 25 oder 10 hoch 26. Das waren dann so die Diskussionen, wo ist da eigentlich der technische Threshold? Aber sei es mal geschenkt der Punkt ist, das tangiert ja wirklich nur die ganz Großen bei Allzweck-KI, aber eben auch viele Unternehmen, die KI-Systeme [00:19:00] herstellen beziehungsweise anbieten. Und dann tangiert der AI-Act teilweise auch Betreiber von solchen KI-Systemen oder Nutzer von solchen KI-Modellen. Also ich finde es immer ganz hilfreich so zu unterscheiden zwischen Unternehmen Upstream und Downstream. Wer schmeißt Upstream was in den Markt, was dann da irgendwie so rumschwimmt und wer nutzt oder importiert oder implementiert das dann Downstream? Das ist immer so eine ganz hilfreiche Unterscheidung und die Good News sind, dass natürlich Downstream weniger Anforderungen weniger strikte Anforderungen als Upstream es gibt. Das macht ja irgendwie auch Sinn so. Da ist aber noch ein bisschen ungeklärt auch die Frage der Haftung also Stichwort KI, Value Chain und Lieferkette. Wo genau macht man jemanden auch verantwortlich wenn etwas schief geht? Wo genau können sich VerbraucherInnen auch beschweren Das sind alles noch so Fragen, die jetzt auch geklärt werden müssen. Aber ich versuche mal die Kurve zu kriegen. Die entscheidende Frage für Entscheider im KI-Bereich ist eben erstens welche Rolle habe ich? Bin ich ein [00:20:00] KI-Anbieter oder bin ich ein Betreiber? Das ist schon mal ganz essentiell. Und zweitens wenn ich mir so mein KI-Nutzungs- oder Angebotsportfolio angucke welche Risikoklasse habe ich? Wenn ich das weiß, erstens welche Rolle und zweitens welche Risikoklasse, dann ergibt sich aus dieser Kombination die Anforderung Die ich zu erfüllen habe qua AI-Act, also wirklich verpflichtender Natur. Wie gesagt, nichts hindert mich daran, da auch drüber hinaus zu gehen und anzugeben auf meinem KI-Produkt oder auf meiner Website, wir sind Leaders in Responsible AI und wir machen auch freiwillig noch mehr als das gesetzlich vorgeschriebene und wir lassen uns auch unabhängig Beispielsweise TÜV prüfen obwohl wir es gar nicht müssten weil wir davon profitieren, weil das vertrauensstiftend ist, weil das unsere Market Penetration boostet und auch unseren Alleinstellungsmerkmal gegenüber den geopolitisch globalen Wettbewerbern. Aber das ist eben die Idee, dass je höher das Risiko desto mehr die Anforderungen Und nur um das kurz zu skizzieren, das sind dann Dinge wie zum Beispiel an die Performance des KI-Systems also wie robust ist [00:21:00] das, teilweise auch wie erklärbar ist es, wie transparent ist es. Und vieles von dem, was da an Anforderungen an Hochrisiko-KI-Betreiber oder Anbieter zukommt, lässt sich auch, das ist auch ein bisschen gute Neuigkeiten, ranflanschen An bestehende Risikomanagement- oder Qualitätsmanagementsysteme Also vielleicht auch ein bisschen Entwarnung. Felix: Ja, es ist komplex, aber ihr müsst ja sowieso als Start-up oder als KMU oder Großunternehmen perspektivisch ein funktionierendes Qualitätsmanagement- und Risikomanagementsystem aufziehen. Und da lässt sich eben vieles der Anforderungen des AI-Ex sozusagen anflanschen und man muss das Rad nicht von Grund auf neu erfinden. Hast du einen Tipp, wie ich als Geschäftsführer mich dort durcharbeiten könnte, um jetzt zu sagen, hey, pass auf, das sind unsere Anwendungsfälle, das sind vielleicht die Tools, die wir im Einsatz haben oder planen einzusetzen und dich dann... Ja, also mir [00:22:00] dieser Prozess ein bisschen erleichtert wird und ich jetzt nicht sechsstellige Summen in ein Team von Anwälten geben möchte, was mir dann eine tolle Empfehlung ausspricht die ich dann auch wieder alleine umsetzen muss, sondern mir das einfache erstmal einen Überblick zu bekommen für mich, meine Anwendungsfälle, meine Ziele, was gilt da eigentlich aus dem AI-Act für unser Unternehmen. Patrick: Ja, also erstmal ist das genau wichtig, was du sagst dass es ja auch einen Unterschied gibt in der Compliance Readiness. Ich mache mir gar keine Sorgen um die Großunternehmen dass die Googles und Amazons dieser Welt das voll auf dem Radar haben, auch hinter den Kulissen natürlich im Lobbying extrem aktiv waren, wie auch Amazon. Homegrown Champions, die wir hatten, Aleph Alpha oder in Frankreich Mistral AI, gut, die sind ja jetzt auch schon wieder amerikanisch aber die Idee ist quasi, dass die Großen mit ihren Legal Teams das relativ einfach wuppen können, so wie sie auch andere EU-Digital-Gesetzgebungen, die sich der AI, muss man ja sagen, einreihen, Digital Services Act, Data Act und so weiter dass sie das [00:23:00] erfüllen können. Die Frage ist ja, Wir haben eben ganz viele wichtige Start-ups, dass da sozusagen der Anreiz, Innovation schnell auf den Markt zu bringen, nicht im Keim erstickt wird auf dem Altar der Regulierung und ich sage jetzt mal so Formblatt-Angst AI-Act, da muss ich jetzt 100 Seiten ausfüllen. Das ist ja meist nicht der Fall wie gesagt, aber dennoch ist es wichtig, sich damit auseinanderzusetzen auch für KMU, die ja quasi das Backbone unserer deutschen sozialen Marktwirtschaft sozusagen darstellt. Wie genau mache ich das am besten? Das Da möchte ich gerne einen kleinen Werbeblock einbringen. Bisher gibt es da noch nicht so viele Angebote. Es gibt zum Beispiel vom Future of Life Institut einen, wie ich finde, sehr hilfreichen AI Act Explorer. Da kann man sich also den Gesetzestext, der wie gesagt nicht gerade zum Lesen einlädt also harter Tobak ist, kann man sich zumindest schon mal so ein bisschen interaktiv erklären lassen, auch mit Querverlinkungen Zu den Begriffen dann zwischen den Artikeln springen Also das kann man sich am Text schon mal orientieren. Und dann warten wir, wie gesagt, auf die politisch vorgegebenen [00:24:00] Leitlinien Da ist echt Druck im Kessel. Da haben wir echt einen krassen Need for Speed, dass Unternehmen jetzt nicht so im Limbo sind. Was kommt denn da? Und kann ich mir hier jemanden leisten im Startup, der sich das mal anguckt? Oder sollte ich erst mal wirklich nur aufs Produkt mich konzentrieren? Das ist natürlich mein Appell. Compliance by Design, Safety by Design, Security by Design. All das zahlt sich aus. Aber wie gesagt, scheitert oft an Kapazitäten. Und wir haben vom TÜV, beim TÜV AI Lab etwas entwickelt. Was wir den AI Act Risk Navigator nennen. Und das finde ich tatsächlich, das meine ich jetzt wirklich ganz ernst auch persönlich, glaube ich eins der besten Angebote, was es bisher gibt, um niedrigschwellig als Unternehmen, als Geschäftsführer oder auch als Mitarbeitender sich erstmal durchzuklicken. Erstens welche Rolle habe ich und zweitens welche Risikoklasse aller Wahrscheinlichkeit nach für mein gegebenes KI-Modell oder für mein KI-System als Betreiber oder als Anbieter. Und dann auch ein bisschen, das kommt dann in der zweiten Launch-Phase unseres Systemes AI Act Risk Navigators [00:25:00] zu schauen, welche Anforderungen leiten sich daraus aller Wahrscheinlichkeit nach ab. Die Adresse ist tiff, also mit ue-risk-navigator.ai Ich schreibe das in die Kommentare, wollte ich gerade sagen, aber die Idee ist eben, dass es wirklich sich lohnt, das mal aufzuklicken. Es ist kostenfrei. Das ist auch juristisch erst geprüft unter anderem mit Herausgebern von verschiedenen AI-Act-Kompendien, also wirklich Juristen. Gleichzeitig ist es aber, muss man dazu sagen, nicht juristisch letztverbindlich Also es stellt keine... Juristische Beratung oder Auskunft da. Es kann jetzt nicht das TÜV AI Lab verklagt werden, aber ich finde es sehr nützlich. Am Ende kriegt man dann so ein auch downloadbares PDF, wo man das zumindest mal als Ersteinschätzung, diesen ersten Stolperstein, ich traue mich da nicht ran, eben abseits des genannten AI Act Explorers auch schon mal nennen kann. Und vielleicht nur Zur kurzen Erklärung was das TÜV AI Lab ist. Also es gibt ja, wie ich beschrieben hatte, die TÜV, die natürlich auch mit ihren, als große Unternehmen muss man [00:26:00] sagen, mit ihren eigenen KI-Teams voranrennen verschiedenste Dienstleistungen in der Pipeline haben, sich selbst auch dank KI in der Art wie sie prüfen wie sie zertifizieren, modernisieren im Rahmen ihres eigenen Change Managements. Vielleicht kommen wir dazu noch. Aber wir haben eben auch schnell gemerkt bei diesem Riesenthema KI, da müssen wir irgendwie ran. Dann war zunächst mal die Idee, besser gemeinsam als einsam also Hashtag Collective Impact. Und man hat gesagt, wenn du erstmal nicht mehr weiter weißt, dann gründest du eben einen Arbeitskreis. Dann haben wir das TÜV AI Lab als Arbeitskreis über den Verband gegründet und haben gemerkt, das ist so fruchtvoll und hilfreich, das braucht aber eigentlich mehr Capacity Und dann haben die TÜV etwas geschafft, was gar nicht so oft vorkommt in der Unternehmensgeschichte. Da gibt es ja auch große kartellrechtliche Hürden zu überwinden. Also das Bundeskartellamt hat dann nach jahrelanger Vorarbeit freigegeben das TÜV AI Lab als GmbH, als Joint Venture Die TÜV sind darin [00:27:00] Gesellschafter und es ist wirklich ein Start-up der TÜV-Familie sozusagen und läuft, wie gesagt, ich nenne das jetzt mal so, die TÜV-Unternehmen sind teilweise natürlich große Infrastrukturen, sind weltweit, europaweit aktiv, haben hunderttausende Sachverständige aber sie sind natürlich auch Tanker. Felix: Sie sind große Strukturen Und das TÜV AI Lab ist ein kleines agiles Schnellboot ein Startup im großen Tanker, das wir eben als Schnellboot für KI auch dazu nutzen, bei genau diesen Themen AI Act Compliance Unternehmen zu helfen, Prüfkriterien abzuleiten, auf die Wichtigkeit der KI Normung und Standardisierung hinzuweisen auch mitzuarbeiten, nutzen. Okay, super spannend. Also vor allem jetzt nochmal den AI Act Explorer vom Future of Life Institut und den AI Act Risk Navigator vom TÜV AI Lab. Den kann ich mir schon mal nehmen und dort schon mal mich durchklicken und eine erste Einschätzung bekommen, was bedeutet [00:28:00] der AI Act eigentlich für mich als Unternehmen oder für uns als Unternehmen, je nachdem, wie er ist. Nutzen wollt. Okay, das hilft doch schon mal. Trotzdem wird ja der AI-Act sehr kontrovers diskutiert gerade. Ich sehe, es gibt ja nicht immer schwarz-weiß, aber ich sehe zwei große Lager. Das eine sagt, alles klar, ja, so die Welt macht eine Party, die USA bringen die Software mit, China bringt die Hardware mit und Europa bringt die Regulierung mit und wir haben uns jetzt gerade aus dem AI-Rennen damit selbst aus dem Rennen geworfen und haben eigentlich keine Chance mehr, aus Europa wirklich wettbewerbsfähige Technologien, AI-Technologien auf den Markt zu bringen, weil die Regulierung das ausbremst und gleichzeitig könnte es Probleme geben, gerade im großen Mittelstand, AI wirklich [00:29:00] voranzutreiben weil diese Regulierung nicht Immer wieder im Weg stehen wird, auch ähnlich wie es bei DSGVO ja einige Herausforderungen gibt. Und dann gibt es das andere Lager, was sagt, nein, dass der EU-AI-Act ist das einzig Richtige um eben sichere und vertrauensvolle KI herzustellen Zu entwickeln. Jetzt hast du ja auch diesen Prozess sehr sehr lang mit begleitet und du hast sicherlich da dir ja auch eine Meinung gebildet und vertrittst natürlich sicherlich auch den jetzigen Ausgang, aber wie ist denn dein Blick jetzt gerade darauf und vor allem, was würdest du denn den Menschen sagen, Die einfach auch Befürchtungen haben, dass wir jetzt im AI-Rennen abgehängt werden aufgrund der regulatorischen Anforderungen. Patrick: Also ganz grundsätzlich würde ich erstmal sagen, [00:30:00] Angst ist immer ein schlechter Berater. Aber um auch nochmal ein bisschen auszuholen, jetzt gibt es den AI-Act. Der ist politisch beschlossen. Man kann von ihm halten, was man will. Man kann in einem Lager oder in einem anderen Lager sein. Gegen Regulierung pauschal oder für Regulierung wegen der Risiken und weil man auch hofft dass ein klarer Rechtsrahmen, die Planungs und die Rechtssicherheit die sich eben aus klaren verbindlichen Regeln, die horizontal Hashtag Level Playing Field wirklich für alle in der EU und zwar für alle die KI in der EU betrifft In Verkehr bringen oder die sie hierzulande oder auf diesem Kontinent betreiben oder anbieten, dass da sozusagen natürlich sich auch ein Innovationskorridor ergibt, dass ich klarer weiß, das und das kann ich machen, das und das ist nicht verboten. Hier kann ich voll reingehen es gibt klare Regeln. Solange ich die erfülle, habe ich dann auch noch Ein vertrauensstiftendes Merkmal weil ich sagen kann, das ist trustworthy AI made in Europe. Das ist ja sozusagen die Hoffnung das Ziel. Aber ich möchte mich da gar nicht auf das ein oder [00:31:00] andere Lager stellen, sondern ich würde eher sagen, ich finde, jetzt müssen diese Lager mehr miteinander reden. Und der AI-Act wird nur so gut wie seine nationale, einheitliche, europaweit einheitliche Umsetzung. Das heißt also, grundsätzlich würde ich sagen, ist der AI-Act weder gut noch schlecht. Er ist natürlich kein... Ziel an sich, sondern er ist ein Mittel zum Zweck. Warum hat man vor Jahren, das war ja schon mit dem White Paper der EU-Kommission 2021 und der High-Level-Expert-Group der EU-Kommission davor, sich überhaupt auseinandergesetzt mit einem Rahmenwerk von Regeln politischer Natur für künstliche Intelligenz. Das hat man deshalb getan, weil man befürchtet hat, dass es da klare Risiken gibt. Das war ja alles noch vor ChatGPT. Ich denke, heutzutage können wir die Medienberichte überschlagen sich ja Klar sagen, das war keine falsche Ansatzweise sondern natürlich, wie bei jeder Supertechnologie, wie bei jedem Metatrend, gibt es auch, obwohl wir immer sagen, die Chancen überwiegen die Risiken, aber es gibt [00:32:00] eben ernstzunehmende Risiken durch künstliche Intelligenz. Einige haben wir schon beschrieben, autonomes Fahren, KI-betriebener Herzschrittmacher, keiner will bei sowas sterben. Hier geht es wirklich um Leib und Leben. Und auch beim ökologischen Fußabdruck großer KI-Systeme die Thematik der Large-Language-Models die ja auch einen CO2-Abdruck natürlich durch ihr Training haben Stichwort Server-Farm, die müssen dann gekühlt werden und so weiter, verursachen. Natürlich gibt es da auch ökologische Risiken Das heißt also, dem überhaupt erst mal gerecht zu werden, ist ja keine falsche Idee. Und deswegen hat man sich ja entschieden, und das finde ich aber schon wichtig, sonst wären wir da, glaube ich auch eher dagegen gewesen. Dass man nicht die Technologie an sich reguliert und abwirkt sage ich mal, insbesondere aufgrund der geopolitischen Wettbewerbssituation, die du beschrieben hast, Felix, sondern dass man sich für diesen risikobasierten Ansatz, also einen Ansatz wo die Anforderungen im Einklang und adäquat mit den realen Risikopotenzialen die sich natürlich auch dynamisch entwickeln, Sind. Und das ist natürlich ein bisschen die Challenge jetzt bei der Regulierung. Der [00:33:00] politische Gesetzgeber ist immer hinterher dem Speed der Technologieentwicklung Wir haben es hier mit krass ultraschnellen Innovationszyklen iterativer Natur zu tun. Gestern gab es noch gar nicht Chat-GBT, dann vor ein paar Stunden Chat-GBT 3.5, heute höre ich O1. Morgen sind wir schon bei GPT-11, also das geht so schnell, dass quasi die Systemrisiken natürlich auch regulativ erstmal irgendwie erfasst werden müssen. Und deswegen finde ich es aber summa summarum schon gut, dass der Gesetzgeber sich getraut hat, ein ambitioniertes Regelwerk vorzulegen. Auch generative KI, wenn auch nur mit leichten Transparenzverpflichtungen Vieles ist ja freiwillig jetzt auch erstmal mit Codes of Practice. Wo die Anbieter selbst mitarbeiten können, aber dann eben ab August 2025 auch verpflichtend also nach einem Jahr auch verpflichtend zu erfüllen. Dass Systemrisiken Einhalt geboten wird und dass bei hochriskanten Bereichen, wo eben KI-Systeme vermehrt und das wollen wir, dass die vermehrt im Hiring, in [00:34:00] HR-Prozessen oder anderswo zum Einsatz kommen, dass dies eben dann auf einer Basis passiert, wo dies sicher und vertrauenswürdig erfolgt. Also das vielleicht mal so ein bisschen weit ausgeholt zu meiner ordnungspolitischen Sicht. Ich glaube es ist falsch, das eine Lager gegen das andere auszuspielen, zu sagen, ey, bist du für Regulierung Und von gestern Oder bist du für Innovation? Du musst dich schon entscheiden. Nein, das ist der falsche Ansatz Wir haben bereits in vielen Bereichen den Anschluss verpasst. Wir sind super in der Spitzenforschung bei KI in Deutschland, auch in Europa. Wir haben nicht genug Compute wir haben nicht genug Transferausgründung Und wirkliche Start-up-Gründung. Das liegt aber auch an anderen Gründen für die der AI-Act nicht unbedingt was kann. Deswegen ist es so wichtig, dass man den AI-Act auch flankiert mit einer Innovationsförderung. Und genau dies passiert, genau dies hat ja auch Ursula von der Leyen in ihrer neuen Amtszeit der EU-Kommission sich jetzt vorgenommen, dass man hier eben parallel zu den Regeln Risiko-adäquaten Regeln für KI auch Innovationen noch stärker fördert, [00:35:00] Startups, KMU nicht vergisst, sondern ganz dezidiert eben auch unter die Arme greift dort wo sie ihre Unterstützung einfach brauchen. Ein letzter Satz möchte ich noch sagen. Das Argument was du gebracht hast, ist natürlich in gewisser Weise falsch, weil Auch bevor es den AI-Egg gab, haben wir in bestimmten Bereichen schon abgekackt Das heißt also, auch als es noch keine Regulierung gab, als das gänzlich unreguliert war, vor August diesen Jahres, hatten wir doch schon auch die strukturellen, infrastrukturellen, auch systemischen Probleme gelöst Bei der Startup-Ausgründung, bei sozusagen den fehlenden Unicorns die man ja quasi an einer Hand in Deutschland, Frankreich und Europa abzählen konnte, in der Konkurrenz zu den Big Tech-Firmen aus den USA, Google, Amazon, Amazon Web Services und so weiter. Das heißt also, jetzt ist die Hoffnung die wir haben, in diesem Systemwettbewerb muss man ja fast sagen, dass eben... Die Bekenntnis europäischen Werten und klaren Ansagen auch, was Unternehmen tun [00:36:00] dürfen, was sie gar nicht tun dürfen und was, wenn sie es tun, mit bestimmten Anforderungen eben ein hohes Schutzniveau ein hohes Sicherheitsniveau sichergestellt wird. Und dass damit natürlich dann einfach beides maximiert wird. Einerseits das Sicherheitsinteresse der Bevölkerung und andererseits aber auch die Innovationsförderung. Ich glaube schon, dass es möglich ist, das zu kombinieren. Von daher, es geht nicht darum, bist du für oder gegen den Ereignis. Es geht darum, jetzt haben wir ihn.  Keiner ist wirklich happy damit, wie das halt so ist mit politischen Kompromissen. Aber es gibt ihn und jetzt machen wir das Beste draus in der Umsetzung.  Felix: Aber ist es nicht schon so, dass jetzt insgesamt der EU-AI-Act Innovation im KI-Bereich eher hemmt als es gefördert wird? Und... Der Gewinn dafür ist halt ein höheres Sicherheitsgefühl. Also wenn ich jetzt heute überlege, ich möchte ein AI-Startup gründen, dann überlege ich mir das vielleicht doppelt oder dreifach aufgrund der höheren Anforderungen und Auflagen [00:37:00] und größeren administrativen Anforderungen Und wenn ich KI einsetzen möchte als Unternehmen, um schneller besser zu werden, schneller zu wachsen, höhere Profitabilität zu erreichen, dann habe ich in meinem Prozess auch immer wieder diesen Hinweis AI-Act als ein Thema und viele Unternehmen hatten schon große Herausforderungen, sich durch die Datenschutzanforderungen und ähnliches durchzukämpfen. Vor allem wie du auch schon gesagt hast, ja, diese große Backbone in Deutschland, eben die KMUs, die eben nicht große Anwaltsteams und Datenschützer und Was weiß ich, was intern beschäftigt haben, sondern das aus sich heraus irgendwie schaffen müssen. Und das finde ich einfach sehr, und natürlich hast du recht, es ist jetzt beschlossen und wir müssen damit umgehen, ich finde es trotzdem total wichtig Wichtig, dass das auch diskutiert wird und nicht einfach nur abgenickt wird, weil ich sehe es schon als eine große Herausforderung auch gerade mit [00:38:00] den Kunden mit denen ich arbeite die sich alle fragen, hey, wie gehen wir damit um? Wir haben aber keine Kapazität, wir haben keine Ressourcen, wir sehen die Vorteile mit KI, jetzt kommt hier aber... Nochmal irgendeine neue Regulierung und wir haben halt schon genug auf dem Tisch. Wir wollen aber einfach auch wettbewerbsfähig bleiben und der Wettbewerb ist halt nicht nur in Europa, sondern ist halt oft auch global mittlerweile und dort entstehen dann gefühlt mehr Nachteile als Vorteile. Patrick: Ja, die Frage wird sein, wer gewinnt am Markt. Also ich nehme diese Bedenken schon sehr ernst. Und ich denke aber, dass man auch dazu sagen muss, dass die Gefahr bestand, dass das so hätte sein können. So nach dem Motto Amerika innoviert Europa reguliert. Wir schaffen uns ab, wir schneiden den Ast ab auf dem wir sitzen. Diese Angst, diese Befürchtung ist ja unmittelbar Sehr ernst zu nehmen. Ich glaube aber, dass sie zum Glück hoffentlich falsch sein wird. Und zwar aus dem Grund, weil der Brussels-Effekt, also die globale Strahlkraft, die wir uns ja vom AI-Act erhofft haben, aber wo immer ein Fragezeichen dran war, ja wann wird das wirklich so kommen, tatsächlich schon jetzt zu beobachten ist. Also wir sehen, Dass die Tatsache, dass die EU hier vorangegangen [00:39:00] ist und sich auf die eigenen Werte und das europäische Vorsorgeprinzip also diesen risikobasierten Ansatz wirklich auch geeinigt hat, führt ja dazu, dass auch in genau den Ländern wo wir sagen, da würden ja sonst die Unternehmen die Startups abwandern, weil nur da kann man Bilder Westen machen, dass das gar nicht so stimmt. Sondern wir haben jetzt auch in Kalifornien mit dem Bild, ich glaube SB 1047, der im Moment auf dem Schreibtisch des kalifornischen Governors Gavin Newsom liegt, wo da ein bisschen drum gestritten wird, weil die Demokraten, wenn Kamala Harris an die Macht kommt, im Prinzip ein bundesweites, also wie beim AI-Act horizontales einheitliches Level Playing Field Gesamtregulierung für die USA wollen, aber die ganze Debatte geht auch dorthin insbesondere die großen AI-Models Zu regulieren, also nicht in die andere Richtung. Und das in Amerika von allen Ländern. Das heißt also, da sehen wir durchaus, so wie es ja auch bei der DSGVO war, eine gewisse Strahlkraft, was oft als dieser Brussels-Effekt beschrieben wird. Gleichzeitig ist DSGVO genau der Stolperstein. Denn da haben wir ja gesehen, dass eine [00:40:00] nicht einheitliche eine zu fragmentierte eine zu auch in Deutschland föderal fragmentierte Umsetzung in den Eine echte Frikadelle am Bein ist, die echt keiner gebrauchen kann, sage ich jetzt mal so plump, und schon gar nicht KMU oder Startups, die, wie du beschrieben hast, Felix, mit Ressourcen nicht gerade im Überschwang versorgt sind. Das heißt also, wir brauchen ganz besonders für diese kleineren und mittleren großen Akteure eben eine Rechtssicherheit Und es ist ganz wichtig, dass deren Chancenorientierung, deren Innovationsbegeisterung nicht im Keim erstickt wird durch die neuen Regeln, sondern dass man diese eher als Innovationskorridor sieht, innerhalb dessen fast alles, aber nicht alles erlaubt ist und es eben abseits einiger Transparenzverpflichtungen nur teilweise und auch dort mit ganz vielen Ausnahmen, wenn man sich mal bei unserem TÜV AI Lab, AI Act Risk Navigator so durchklickt, dann sieht man, dass am Ende letztlich ganz oft wirklich nur wenig eigentlich die Anforderungen wirklich sind, Außer natürlich, ich bin jetzt KI-Anbieter eines Systems, was eine kritische Infrastruktur [00:41:00] zum Management unserer Stromnetze und das in Zeiten wo Russland Cyberattacken fährt oder so anbietet. Ich meine, dann liegt es aber ja, wie gesagt, risikobasierter Ansatz auch nahe dass dort bestimmte Cybersecurity-Anforderungen oder so natürlich gelten müssten, weil ansonsten... Servieren wir auf unserem Silbertablett unsere vulnerablen Infrastrukturen und das sind dann eben so Bereiche, wo Akteure wie der TÜV eben auch unabhängig dritt prüfen können, um einfach wirklich Köpfe mit Nägeln oder Nägel mit Köpfen zu machen, dass das Ding dann wirklich auch sicher und vertrauenswürdig ist nach dem besten Stand. Felix: Der Technik Es gibt keine perfekte Sicherheit, das ist auch gerade uns bei der TÜV, wir sind ja da an der Praxisfront ganz nah dran, bewusst, aber eben nach dem Stand der Technik nach bestem Wissen und Gewissen auch durch unabhängige Sachverständige dritt geprüft idealerweise, kann man eben sicherstellen dass überall dort wo KI in bereits sektoral stark regulierten Bereichen, Medizin, Medical Device Regulation oder Ähnliches, oder es ist dieser Anhang 1, oder eben Anhang 3, die Bereiche wo die Politik gesagt hat, Dass Zugang zu Bildung, Zugang zu Beruf ist auch [00:42:00] hochriskant, dass dort man eben diesen Anforderungen gerecht werden muss. Du hast gesagt, dass wir jetzt das Beste draus machen müssen. Sehe ich auch so, ja. Bin ja eher auch Optimist und Pragmatiker. Die meisten von den Zuhörern hier sind eher Anwenderunternehmen. Und... Vielleicht können wir mal so einen Leitfaden, ich bin mir sicher, dass es da nicht jetzt die Blaupause gibt, die auf jedes Unternehmen zutritt, aber es wäre toll, wenn wir mal so einen Leitfaden entwerfen können, was sind denn jetzt eigentlich die Schritte, die so ein Unternehmen nehmen muss und da vielleicht können wir auch mal so die Zeitlinie im Auge behalten, wann jetzt eigentlich der EU AI Act auch Schritt für Schritt die einzelnen Auflagen in Kraft treten und da ausgerollt wird. Genau, dass wir mal so eine Zeitachse haben und welche Schritte es jetzt eigentlich zu gehen gilt, um so einen pragmatischen Ansatz und Start zu ermöglichen.  Patrick: Genau, das ist ja so ein bisschen die [00:43:00] One-Million-Dollar-Question Wer bin ich und wenn ja, wie viele und wo fange ich bloß an? Oh Gott, oh Gott oh Gott. Und das kann man wirklich voll verstehen, aber die guten Neuigkeiten ist, wie bei ganz vielen anderen Regelwerken kann man ja erstmal beim Stichwort Compliance Readiness, beim Stichwort Compliance Acceleration überhaupt erstmal anfangen Der erste Schritt des Weges ist der wichtigste, sich daran zu trauen, auch als Startup ohne Compliance-Team zu sagen, wir sind nicht zu dumm, wir kriegen das schon hin, das uns auf die Platte zu ziehen. Also überhaupt erstmal anzufangen, zu schauen, wo tangiert das uns? Wie gesagt, was ist meine Rolle, was ist meine Risikoklasse Und wie stelle ich mich am besten auf? Und das ist im Übrigen glaube ich jetzt der Wettbewerbsvorteil um eben schnell compliant mit dem AI-Act auch zu sein und trotz des AI-Acts vielleicht auch wegen oder wenn nicht wegen, dann zumindest trotz des AI-Acts schnell in Verkehr bringen zu können. Also Speed to Market. Halten zu lassen. Vorher war das ja so, wir hatten im Prinzip Unternehmen, die kaum etwas im Bereich [00:44:00] KI-Ethik getan haben und andere, die das freiwillig getan haben. Also dieser Bereich der Responsible AI. Da konnte man auch schon beobachten, dass Kunden im Zweifel sich oft für die vertrauenswürdigere Variante entschieden haben. Das ist ja wie in ganz vielen anderen Bereichen auch. Da nehme ich lieber beim Autohändler ein TÜV-geprüftes Teil als so eine Zitrone Oder ich nehme natürlich im Supermarkt vielleicht die Biomilch weil ich da mehr auf Tierhaltung oder zumindest Schadstofffreiheit vertraue als bei der billigsten Haarmilch auch wenn die 20 Cent oder mehr weniger kostet Das heißt also, Kunden sind bereits auf dieses Responsible AI Thema schon stark aufmerksam geworden, weshalb ja auch insbesondere die Großen da ganz stark vorangegangen sind. Und jetzt haben wir aber die Situation, dass der Wettbewerbsvorteil nicht mehr dadurch entsteht dass ich freiwillig etwas tue, was ich gar nicht müsste, auch wenn es diesen Vorteil sicherlich noch gibt, sondern dass alle etwas horizontal sowieso eintreten Einhalten müssen. Das heißt also, diejenigen, die am ehesten sich daran wagen, die am schnellsten  Felix: da  Patrick: zu Potte kommen, sich dann aufzuschlauern, sich zu ertüchtigen und da eben auch [00:45:00] einzuzahlen, diesen Anforderungen gerecht zu werden, diejenigen sein, das wird wie die Spreu vom Weizen getrennt wird, die eben auch auf dem Markt sich schneller behaupten und im Übrigen dann eben von dieser vertrauensstiftenden Wirkung solcher Qualitätssiegel oder eben auch eingehaltenen Anforderungen auch profitieren können. Felix: Aber lass uns hier mal wirklich auf eine konkrete Ebene und aus Anwendersicht. Also ich bin jetzt kein Betreiber, ich entwickle kein KI-Produkt. Ich will einfach nur meine Organisation mit KI wettbewerbsfähiger und leistungsfähiger machen, indem ich mein Produkt Kundenservice automatisiere, indem ich mein Marketing beschleunige, indem ich Mitarbeitern helfe repetitive Aufgaben abzunehmen, indem ich bessere Entscheidungen treffen kann in meinem Unternehmen, weil ich Daten gut auswerten kann und Vorhersagen auf die Zukunft daraus mache. Ja, das sind ja so die Bereiche die alle beschäftigen. Ich habe jetzt verstanden, dass ich Also erstmal, gut, also ich habe die Rolle, mir ist klar, ich bin ein Anwender, ich bin kein Betreiber. Jetzt würde ich hergehen und würde diese Use Cases [00:46:00] mir mal auflisten und würde die dann in die jeweiligen Risikoklassen auflisten Unterteilen und das könnte ich auch zum Beispiel mit eurem AI-Risk-Navigator machen. Auch  Patrick: wenn der natürlich nicht letztverbindlich juristisch ist, aber mit solchen oder ähnlichen Angeboten und wie gesagt, da braucht man nicht die kleinste Beratungsbude von links oder rechts, sondern es ist schon gut, sich auf seriöse Angebote dann einzuschießen, kann man sich da schon mal ganz gut aufstellen, ja. Felix: Um erstmal ein erstes Bild zu bekommen. Und dann könnte ich pro Risikoklasse gibt es dann klar definierte Anforderungen, die erfüllt werden müssen.  Patrick: Genau. Und ich glaube, von der AI-Customer-Journey oder Compliance-Reise oder wie auch immer, ist es wichtig, im allerersten Schritt natürlich mal sicherzustellen, machen wir was Verbotenes. Felix: Das sollte geklärt werden. Also nach Artikel 5 gibt es ja einige verbotene Bereiche. Da muss ich natürlich sicherstellen als Geschäftsführer von einem KI-Unternehmen oder auch als Geschäftsführer Eines, dass es einführt oder betreibt, dass ich da die Finger von lasse bzw. Speaker: nichts in die Richtung geplant habe oder bereits [00:47:00] tue, denn diese Verbote gelten schon nach sechs Monaten, also Anfang 2025. Der zweite Punkt ist, dass auch mit Blick auf die hochriskanten KI-Bereiche nach Anhang 3 im August 2026, also nach 24 Monaten, Die strikteren Anforderungen dann gelten werden. Also bis dahin habe ich auch noch mal die Zeit mich da prüfbereit oder compliance-ready zu machen. Und der dritte und letzte wichtige Milestone in diesen gestaffelten Übergangsfristen des AI-Acts also ist schon seit August diesen Jahres in Kraft, aber wie gesagt, die Anforderungen Kommen dann auch erst nach 36 Monaten noch für die Hochrisiko-KI-Produkte in bereits drittprüfungspflichtigen Bereichen, also nach Anhang 1. Da muss ich mich bis dahin dann fit machen, wenn ich beispielsweise im Bereich Medical Devices KI verstärkt einführen möchte, im Verkehr bringen möchte. Da muss ich eben sicherstellen, dass ich AI-Act und natürlich auch Medical Device Regulation konform bin bis dahin 36 Monate nach Inkrafttreten, [00:48:00] also ungefähr August 2027 dann. Speaker 2: Super, vielen Dank. Ich glaube, das gibt schon mal allen Zuhörern hier eine gute Orientierung und für mich jetzt auch das Learning, ja, Das ist ein sehr umfassendes Dokument, eine sehr umfassende Regulierung, aber für den Großteil der Unternehmen da draußen, die vor allem KI intern einsetzen wollen, ist der Aufwand dann doch überschaubar, wenn man sich einmal hinsetzt und diese Risikoklasseneinteilung vornimmt sich dort die Anforderungen anschaut und sich vielleicht dann auch einmal Unterstützung an Bord holt um diese Pflichten, die es dann gibt, zu erfüllen. Noch abschließend Patrick. Und es interessiert mich natürlich, wie ihr denn im TÜV euch in Bezug auf KI aufstellt und die Chancen die sich da bieten, auch für euch nutzt.  Speaker: Das ist absolut spannend, das miterleben zu dürfen in meinem Job hier, weil ich ja sozusagen [00:49:00] an der Schnittstelle der TÜV, auch des Verbands, aber auch sozusagen des TÜV AI Labs, des Neugegründeten was eben, wie gesagt, seit November 2023 als GmbH, als Joint Venture funktioniert Auch stark vorangeht als Player, als Akteur im KI-Ökosystem, wie viel Dynamik da natürlich auch für uns durch das KI-Thema einfach reinkommt Weil einerseits gibt es ja die Seite der Medaille, wo wir KI prüfen und andererseits gibt es die Seite der Medaille, wo wir prüfen mit KI. Und das sind einfach zwei ganz spannende, auch ganz unterschiedliche Bereiche, wo wir es einerseits damit zu tun haben, dass auch wir uns als TÜV aufstellen in unserem Produktportfolio in unserem Zertifizierungsportfolio, natürlich den Kunden auch staatsentlastend innerhalb der KI-Aufsicht und innerhalb der Qualitätsinfrastruktur Deutschlands Eben dafür zu sorgen, dass auch in hochriskanten und gerade in hochriskanten Bereichen KI-Produkte made in Germany, made in Europe schnellstmöglich produziert In Verkehr gebracht werden [00:50:00] können und dann eben auch den Markt durchdringen. Also da sehen wir uns als TÜV eben nicht als Innovationsbremsklotz am Ende der KI-Wertschöpfungskette, sondern ganz im Gegenteil von Anfang an als Enabler von Unternehmen, auch KMU und gerade Startups, die dann eben sozusagen wirklich diese vertrauensstiftende Wirkung, sei es freiwillig oder eben auch verpflichtender Natur, wenn sie im Risikobereich unterwegs sind, in Anspruch nehmen möchten und sich hier mit Experten wie beispielsweise unabhängigen Dritten Der TÜV zusammentun möchten oder müssen. Der zweite Punkt ist dann aber das Prüfen mit KI. Hier erleben wir gerade ganz spannende Entwicklungen. Hashtag agilere Zertifizierung. Wie können wir natürlich auch diese riesigen Unternehmen der TÜV Im Rahmen ihrer eigenen Digital Transformation bei ganz vielen bisher noch papierbasierten oder eher oldschool aufgestellten Brot-und-Butter-Prozessen einfach ranführen und auch acceleraten, also beschleunigen, natürlich im kundenorientierten Interesse, [00:51:00] dass man hier die Prozesse einfach digitaler aufstellt Neue Technologien einsetzt. Um nur ein einziges Beispiel zu nennen. Das Atomkraftwerk wurde früher, haben die TÜV eigene Seilkletterer beschäftigt die dann sozusagen auf Containern da, ich spitze das jetzt mal zu, auf dem Atomkraftwerk gewohnt haben. Und dann, um zu gucken, ob es da einen Riss im Gewebe gab, hochgeklettert sind, man hat riesige Gerüste aufgebaut. Es gab Ausfallzeiten in der keine Energie Produziert wird, all dies ist jetzt ja auch schon möglich mit einer Drohne, die das Atomkraftwerk umfliegt und mit höherer Präzision als vielleicht das menschliche Auge oder die ansonsten natürlich tollen Seilkletterer das könnten, eben schon feststellt wo es im Sinne von Predictive Maintenance vielleicht Probleme gibt, was ja auch ein huge business value für den Betreiber von so einer Anlage ist, dass ohne Ausfallzeiten und vor allem frühzeitig, also deswegen Predictive Maintenance, vorher schauende Wartung eben zu wissen. Das sind jetzt nur einzelne Beispiele und ansonsten kann das natürlich auch ganz plump etwas sein, wie die TÜV beschäftigen ja auch viele [00:52:00] Verkehrspsychologen im Bereich der Führerschein des Führerscheinentzugs oder ähnliches wo dann so Tests gemacht werden, darfst du wieder fahren. Und da nur als Beispiel lief ganz vieles natürlich vorher über Formulare die dann handschriftlich und Feedback bilden und so weiter. Und das kann man natürlich wunderbar im Sinne von Protokollierung wie auch in ganz vielen anderen Business-Bereichen automatisieren, digitalisieren und dementsprechend natürlich viel effizienter aussteuern als das bisher möglich war. KI unterstützt analysieren. Und da ergeben sich natürlich ganz viele spannende Themen. So auch bei den TÜV-Akademien. Also ich hatte ja schon angedeutet dass eben die TÜV da denkt man ja gar nicht zuerst dran an KI oder an Weiterbildung. Aber mein Job beim TÜV-Verband sind ja KI und Weiterbildung. Und auch im Weiterbildungsbereich dieser TÜV-Akademien sieht man, dass die natürlich einerseits inhaltlich auf das KI-Thema voll anspringen. Perspektivisch KI-Beauftragte und so weiter nach AI-Act und so. Oder auch... Einfach innerhalb von freiwilligen Weiterbildungen von Menschen, die sich für diese Change-Prozesse, die Anforderungen an New [00:53:00] Leadership, New Work durch KI interessieren, auch weiterzubilden Aber auch in der Art, wie sie die Weiterbildung darbringen, also Hashtag Educational Technology, natürlich durch KI, durch Präzisions-, durch individualisiertere Learning Journeys ganz viel mehr, auch Virtual Reality, Augmented Reality, you name it, Da gibt es virtuelle Campus mittlerweile der TÜV-Akademien. Speaker 2: Also da ist vieles möglich, was noch vor wenigen Jahren eigentlich Zukunftsmusik war. Das heißt also, wir haben einerseits die Herausforderung und die Chance, KI als Geschäftsfeld zu prüfen und andererseits auch die Chance und die Herausforderung KI zur Digitalisierung unserer eigenen Arbeitsweisen und Prozesse eben zu nutzen. Patrick vielen, vielen Dank für diesen Durchmarsch durch den EU-AI-Act, durch Chancen die auch dadurch entstehen. Ich finde es hat auch gut getan, jetzt mal die eher optimistische Brille darauf zu bekommen. Und [00:54:00] klare Handlungsansätze, wie ich mich heute diesem Thema nähern und damit umgehen kann und auch mal zu sehen wie ihr jetzt beim TÜV KI auch perspektivisch und auch heute schon einsetzen wollt für eure Prüfprozesse. Sehr, sehr spannend. Vielen Dank für deine Zeit.  Speaker: Ja, danke dir Felix und alles Gute vor allem für diejenigen, die an der Front jetzt da durch müssen und gleichzeitig eben auch wünsche ich und drücke die Daumen, dass diese besagten Wettbewerbsvorteile sich am Ende des Tages auch wirklich einstellen. Denn letztlich ist ja der AI-Act ein politisches Versprechen. Man hat das Ziel von vertrauenswürdiger, sicherer KI. Die TÜV wollen ihren Beitrag dazu leisten, aber am Ende des Tages muss sich das jetzt eben bewahrheiten und da sind alle im KI-Ökosystem, nicht nur die Politik, sondern natürlich auch die Unternehmen, auch Prüfdienstleister etc. gefordert ihren Beitrag zu leisten und das haben wir uns auch als TÜV vorgenommen. Von daher vielen Dank, dass du dir die Zeit genommen hast, mit uns hierüber zu sprechen.