Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. Der folgende Beitrag gibt einen kurzen Überblick darüber, wie das neue Gesetz die Risiken von KI-Systemen minimieren will und liefert erste Handlungsempfehlungen für betroffene Unternehmen.
KI ist in aller Munde und wenn nicht bereits geschehen, wird sich früher oder später jedes Unternehmen überlegen, bestimmte Aufgaben von KI-Systeme erledigen zu lassen, um wettbewerbsfähig zu bleiben. Doch neben Effizienzsteigerungen, Qualitätsverbesserungen oder einer besseren Entscheidungsfindung gehen mit dem Einsatz von KI auch einige Gefahren einher. Diese umfassen bspw. Diskriminierung bestimmter Bevölkerungsgruppen, die Einschränkung der Privatsphäre oder die Verbreitung von Desinformation. Den Bedrohungen, die von KI-Systemen ausgehen, war sich auch die Europäische Union bewusst.
Die Regelungen des AI-Acts zielen insbesondere darauf ab, diesen Risiken zu begegnen und sie zu minimieren. Dabei werden neben Anbietern, Entwicklern und Betreibern innerhalb der EU auch Anbieter von KI aus Drittländern, die ihre Systeme in der EU betreiben oder einführen wollen, adressiert. Da sich sicher kein Unternehmen gerne mit Aufsichtsbehörden rumschlägt oder Bußgelder und einen Imageschaden aufgrund der Nichteinhaltung von rechtlichen Vorschriften riskiert, wollen wir uns im Folgenden ansehen, was auf Unternehmen im europäischen Markt zukommen wird.
Bei Missachtung der KI-Verordnung sind Sanktionen vorgesehen, die je nach Schwere des Verstoßes und Größe des Unternehmens unterschiedlich hoch ausfallen können. – Mareike Jockers
Im ersten Schritt scheint es daher sinnvoll, sich mit den verschiedenen Risikogruppen der KI-Verordnung vertraut zu machen.
Der Risikobasierte Ansatz
Das KI-Gesetz folgt einem risikobasierten Ansatz. Es werden vier verschiedene Risikogruppen definiert, in welche die KI-Systeme einzuordnen sind. Je höher das Risiko, desto strenger sind die Auflagen, die für den Einsatz dieser KI zu erfüllen sind.
Inakzeptables Risiko
KI-Modelle, die in diese Gruppe fallen, stellen eine Bedrohung für die Sicherheit, die Lebensgrundlagen und die Rechte von Menschen dar. Darunter fallen z.B. Anwendungen, die menschliches Verhalten manipulieren können oder das Social Scoring (soziale Bewertungssysteme). Die Einführung, Entwicklung oder der sonstige Einsatz dieser Anwendungen in der EU, wird strikt verboten.
Hohes Risiko
Hierunter fallen Anwendungen, die in sensiblen Bereichen wie der kritischen Infrastruktur, der Medizin oder der Strafverfolgung eingesetzt werden. Um diese KI-Systeme nutzen zu können, müssen strenge technische und organisatorische Pflichten erfüllt werden. Darunter fallen unter anderem die Einrichtung, Anwendung, Dokumentation und Aufrechterhaltung eines Risikomanagementsystems, die Bereitstellung transparenter Informationen für den Nutzer und die Anwendung nur unter menschlicher Aufsicht.
Begrenztes Risiko
Ein begrenztes Risiko weisen KI-Systeme auf, die mit Menschen interagieren, wie bspw. Chatsbots. Das Risiko liegt hier in der mangelnden Transparenz, dass es sich um eine KI handelt. Das KI-Gesetz sieht die Einführung von Transparenzpflichten für Anbieter solcher KI-Systeme vor, um dem Nutzer aufzuzeigen, dass er mit einem KI-System interagiert.
Minimales Risiko
KI-Anwendungen mit minimalem Risiko fallen nicht in den Anwendungsbereich des AI-Acts. Die Nutzung ist ohne besondere Auflagen möglich. In diese Risikogruppe fallen bspw. Spamfilter oder Videospiele.
General Purpose AI
Unter General Purpose AI (GPAI) fallen KI-Modelle mit allgemeinem Verwendungszweck. Diese Systeme generieren bspw. Texte oder Bilder und können für ganz unterschiedliche Zwecke eingesetzt werden. Ein bekanntes Beispiel ist GPT‑4 von OpenAI.
GPAI fällt grundsätzlich in die Gruppe mit begrenztem Risiko und unterliegt somit Transparenzpflichten. Wenn die Modelle über Fähigkeiten mit hohem Wirkungsgrad verfügen, werden die KI-Modelle einem systematischen Risiko zugeordnet. In diesem Fall, müssen die KI-Modelle weitergehende Pflichten erfüllen. Dazu zählt die Erstellung einer technischen Dokumentation und einer Strategie zur Einhaltung des Urheberrechts der Union und damit zusammenhängender Rechte.
Sanktionen
Da wir nun den risikobasierten Ansatz des AI-Acts kennen, sollten wir uns im nächsten Schritt anschauen, was passiert, wenn die gesetzlichen Auflagen nicht ganz so ernst genommen werden.
Bei Missachtung der KI-Verordnung sind Sanktionen vorgesehen, die je nach Schwere des Verstoßes und Größe des Unternehmens unterschiedlich hoch ausfallen können.
Werden bspw. KI-Modelle mit inakzeptablen Risiko eingesetzt, können Geldbußen von bis zu 35. Mio. € oder von bis zu 7% des gesamten weltweiten Jahresumsatzes festgelegt werden. Bei Verstoß durch KMU oder Start-Ups sind geringere Strafen anzusetzen, die deren Interessen und wirtschaftliches Überleben berücksichtigen.
KI-Aufsichtsbehörden
Um die Sanktionen durchsetzen zu können, braucht es natürlich auch Einrichtungen, welche die Umsetzung und Einhaltung des AI-Acts überwachen. Zu diesem Zweck werden nationale KI-Aufsichtsbehörden in jedem Mitgliedsstaat eingerichtet. Dadurch erhalten auch Verbraucher die Möglichkeit, Beschwerde einzulegen, wenn Unternehmen KI in unzulässiger Weise einsetzen.
Auch auf EU-Ebene werden Behörden eingerichtet, die den regelkonformen Einsatz von KI-Systemen kotrollieren.
Ab wann gilt der AI-Act?
Nachdem wir jetzt auch wissen, was passiert, wenn sich nicht an Recht und Ordnung gehalten wird, stellt sich natürlich die Frage, ab wann die Regelungen eigentlich gelten.
Die Verordnung wird voraussichtlich im Sommer 2026 in den Mitgliedsstaaten anwendbar sein. Einige Vorschriften gelten auch vorher schon: Die Regelungen zum Verbot von KI mit inakzeptablen Risiko greifen bereits Ende 2024/Anfang 2025 und Vorschiften zur GPAI sind ab Sommer 2025 anwendbar.
Handlungsempfehlungen für Unternehmen
Jetzt bleibt nur noch die Frage offen, was für betroffene Unternehmen jetzt zu tun ist.
Wenn nicht bereits geschehen, sollten Unternehmen die Zeit bis zum Inkrafttreten der Verordnung nutzen, um sich mit den Regelungen des AI-Acts auseinanderzusetzen und ggf. anfangen, die regulatorischen Anforderungen umzusetzen. Es gilt zu prüfen, inwiefern sie von den Neuerungen betroffen sind, welche Verpflichtungen auf sie zukommen und wie diese erfüllt werden können. Dafür ist es empfehlenswert, eine Bestandsaufnahme der vorhandenen KI durchzuführen und eine eigene Risikoeinordnung vorzunehmen. Bereits jetzt kann mit der Entwicklung eines Risikomanagementsystems begonnen und sich auf die Dokumentations- und Transparenzpflichten vorbereitet werden. Sinnvoll erscheint es in diesem Zusammenhang auch, einen KI-Beauftragten innerhalb des Unternehmens zu benennen, der die Einhaltung der KI-Verordnung sicherstellt.
Fazit
Da die Entwicklung und der Einsatz von KI in Unternehmen gerade erst am Anfang steht sind einheitliche Regelungen für einen sicheren Umgang unverzichtbar, um mögliche Gefahren zu minimieren. Mit der Einführung der KI-Verordnung ist ein erster wichtiger Schritt getan. Wie die konkrete Umsetzung schlussendlich aussehen wird und wie effektiv die Regelungen sind, um von KI-Systemen ausgehende Bedrohungen abzuwenden, wird sich zeigen. Fest steht, dass Unternehmen sich bereits jetzt mit den neuen Anforderungen auseinandersetzen und entsprechende Maßnahmen treffen sollten, um nicht unter Zeitdruck zu geraten und hohe Strafen zu riskieren.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
Autorin des Artikels: