EU AI Act
Was bedeutet das neue KI-Gesetz für Unternehmen?
Als Reaktion auf die rasante Entwicklung und hohe Verbreitung von KI-Lösungen haben die EU-Mitgliedstaaten am 21. Mai das weltweit erste Gesetz zur Regulierung von KI endgültig verabschiedet. Der EU AI Act definiert Anforderungen, geht Risiken an und will vertrauenswürdige KI fördern.
Der Artikel liefert unter anderem Antworten auf folgende Fragen:
- Was ist der EU AI Act und warum wurde er eingeführt?
- Welche Unternehmen sind vom EU AI Act betroffen?
- Welche Übergangsfristen gelten für das neue KI-Gesetz?
- Wie werden KI-Systeme nach dem EU AI Act kategorisiert?
- Welche Rolle spielt die Transparenz im EU AI Act?
- Wie können Unternehmen die Anforderungen des EU AI Act umsetzen?
Im Mittelpunkt der umfassenden KI-Verordnung1 stehen Transparenzanforderungen, Risikobewertungen, Haftungsregelungen und ethische Grundsätze. Betroffen sind alle Unternehmen, die KI in ihren Geschäfts- und Entscheidungsprozessen einsetzen.Das Gesetz reguliert vor allem die Anwendung und den Betrieb von KI-Systemen. Es ist in erster Linie ein Produkthaftungsgesetz. Ein allgemeiner Übergangszeitraum von zwei Jahren nach Inkrafttreten des KI-Gesetzes ist vorgesehen. Allerdings müssen einzelne Bestimmungen schon früher erfüllt werden. Beispielsweise soll das Verbot von KI-Systemen mit inakzeptablen Risiken bereits nach sechs Monaten gelten, das heißt noch innerhalb des Übergangzeitraumes und Regelungen für General Purpose AI (GPAI), die beispielsweise Vertriebs-KI betreffen können, bereits nach zwölf Monaten.
Ein zentraler Aspekt des EU AI Acts ist die Einteilung der KI-Systeme in vier verschiedene Risiko-Kategorien:
- Inakzeptable Risiken
- Hohe Risiken
- Begrenzte Risiken
- Minimale Risiken/Kein Risiko
KI-Systeme, die als Bedrohung für die Sicherheit, Lebensgrundlagen und Rechte von Menschen gelten, sind inakzeptabel und in der EU schlicht verboten. Dazu zählen beispielsweise Systeme, die manipulative Techniken einsetzen, biometrische Kategorisierungen und emotionale Bewertungen vornehmen oder Social Scoring betreiben.
KI-Systeme, die in Bereichen wie kritische Infrastrukturen, Bildung, Personalwesen oder Strafverfolgung eingesetzt werden, sind Hochrisiko-KI-Systeme. Sie unterliegen strengen Auflagen, darunter umfassende Risikobewertungs- und -minderungsverfahren, detaillierte Dokumentation und menschliche Überwachung, bevor sie auf den Markt gelangen dürfen. Diese Systeme erfordern außerdem klare Anweisungen für den Gebrauch und transparente Informationen für die Benutzer, um eine verantwortungsvolle Nutzung sicherzustellen.
| Künstliche Intelligenz beschreibt die Fähigkeit von Maschinen, basierend auf Algorithmen Aufgaben autonom auszuführen und dabei die Problemlösungs- und Entscheidungsfähigkeiten des menschlichen Verstandes nachzuahmen. |
|---|
Darüber hinaus sind KI-Systeme mit allgemeinem Verwendungszweck, sogenannte General Purpose AI GPAI, stärker reguliert. Jede Allzweck-KI dieser Art, die zur Erzeugung von Text, Audio, Bild oder Video dient, muss dem Kunden transparente Informationen zum angewendeten KI-System liefern. Das betrifft den Vertrieb, da sich die hier genutzten KI-Systeme hin zu GPAI-basierten Systemen weiterentwickeln, um vielfältige Kundenanliegen möglichst effektiv zu beantworten. Denn durch den Einsatz von Voicebots und Chatbots, automatisierten Spracherkennungssystemen und personalisierten Empfehlungsalgorithmen können Unternehmen rund um die Uhr schnellen und maßgeschneiderten B2B-Service bieten.
Die intransparente Nutzung von KI gilt als begrenztes Risiko. Deshalb müssen KI-Systeme, die direkt oder indirekt mit Menschen interagieren, diese darüber informieren, dass sie mit einer Maschine kommunizieren. Kunden können sich dann entscheiden, ob sie mit der KI fortfahren oder nicht. Unternehmen, die solche Systeme einsetzen, sollten eine Möglichkeit schaffen, nahtlos zwischen Bots und Mitarbeitern zu wechseln, damit keine Kunden abspringen.
Die KI-Verordnung erlaubt die freie Nutzung von KI mit minimalem oder ohne Risiko. Das sind voraussichtlich die meisten der derzeit in der EU verwendeten KI-Systeme. Allerdings sollten Unternehmen diese KI-Lösungen bereits heute kategorisieren und dokumentieren.
Punkte für den Maßnahmenplan
Unternehmen, die sich zeitnah mit den Anforderungen des KI-Gesetzes auseinandersetzen, gewinnen doppelt. Sie profitieren von einer strategischen Planung und Umsetzung ihrer KI-Lösungen und stärken durch Transparenz auch das Vertrauen ihrer Kunden in KI. Diese Punkte gehören jetzt auf den Maßnahmenplan:
Vorhandene KI-Lösungen inventarisieren und bewerten
Unternehmen sollten ihre KI-Systeme zunächst systematisch erfassen und bewerten. Das bildet die Grundlage, um die KI-Lösungen in eine Risikogruppe gemäß der Verordnung einzuordnen. Managementsysteme für die Risikobewertung und das kontinuierliche Monitoring von Risiken beim Einsatz von KI sind dazu wesentliche Bausteine. Gleichzeitig bieten solche Managementsysteme auch die Möglichkeit, potenzielle Risiken für das Unternehmen zu identifizieren und zu reduzieren. Ein Managementsystem für die Qualität von Daten ist für alle Unternehmen, die KI-Systeme für ihre individuellen Geschäftstätigkeiten anpassen wollen, ohnehin notwendig. In vielen Fällen können bestehende Risiko- und Qualitätsmanagementsysteme auf die neuen Anforderungen angepasst werden.
Dokumentation und Transparenzpflicht erfüllen
Um Compliance mit dem AI Act sicherzustellen, müssen Organisationen detaillierte Dokumentationen der verwendeten KI-Systeme erstellen, damit einerseits Behörden die Einhaltung der Vorschriften überprüfen können und andererseits auch die Nutzer in der Lage sind, die Systeme zu verstehen und ihre Auswirkungen zu bewerten. Je nach KI-System gehören zu diesen Dokumentationen auch verwendete Trainingsdaten, Algorithmen und Entscheidungsfindungsprozesse. Insbesondere GPAI-Systeme sind hier angesichts der kürzeren Umsetzungsfrist zu beachten.
Zur Integration der neuen Gesetzesanforderungen in die betrieblichen Abläufe sind interne Richtlinienanpassungen und Schulungen für die Mitarbeiter erforderlich. Unternehmen müssen außerdem interne Kontrollmechanismen implementieren, um die Compliance zu überwachen und zu dokumentieren.
Vertrauen in KI-Lösungen stärken
In der KI-Verordnung spielen Datenschutz und Datensicherheit eine wesentliche Rolle. Durch die Bereitstellung hochwertiger und transparenter KI-basierter Lösungen können Unternehmen das Vertrauen ihrer Kunden stärken und gleichzeitig die Kundenerfahrung kontinuierlich verbessern. Dies umfasst die Implementierung robuster Datenschutz- und Sicherheitsmaßnahmen, klare Kommunikation über den Einsatz von KI und die Gewährleistung einer reibungslosen Interaktion zwischen KI und menschlichen Kundendienstmitarbeitern.
Die KI-Verordnung und die DSGVO2 werden dabei parallel existieren.
KI-Entwicklungen in einem rechtskonformen Rahmen vorantreiben
Bei neuen KI-Technologien ist es sinnvoll, die Anforderungen des KI-Gesetzes von Anfang an systematisch umzusetzen. Ziel ist es, neue KI-Lösungen frühzeitig zu bewerten und ihre Qualität sowie die zugehörigen Daten stetig zu überwachen. Ein AI Gateway garantiert den sicheren Einsatz von KI, die Transparenz aller Interaktionen durch Dokumentation und umfassendes Monitoring. Es schützt personenbezogene Daten durch leistungsstarke Anonymisierungs-Technologien und prüft außerdem jede Kundenanfrage auf ihre exakte Anforderung.
Als Vorreiter vom AI Act profitieren
Unternehmen haben schon jetzt die Chance, sich vorzubereiten und die zukünftigen Anforderungen des KI-Gesetzes umzusetzen. Vorreiter können sich dabei Wettbewerbsvorteile sichern und ihre Kunden durch vertrauenswürdige KI überzeugen. Unternehmen, die die strengen Vorgaben umsetzen, profitieren von investitionssicheren KI-Lösungen, die über Deutschland hinaus auch in anderen Ländern konform sind. Die Basis dafür bilden KI-SaaS-Anbieter mit Servern in Deutschland: Sie gewährleisten Datenintegrität, Datenschutz sowie die Einhaltung der regulatorischen Anforderungen ohne Einschränkungen.
Sirke Reimann ist Chief Information Security Officer bei Vier.
1 https://digital-strategy.ec.europa.eu/de/policies/european-approach-artificial-intelligence
2 https://dsgvo-gesetz.de/
Umsetzung des AI-Gesetzes: Zeitpläne und nächste Schritte: https://artificialintelligenceact.eu/de/ai-act-implementation-next-steps/
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Interview mit Fachanwältin für IT-Recht
„Nicht nur Pflicht, sondern echter Mehrwert für die Unternehmen“
AI Act und ISO 42001
Nicht nur eine punktuelle Aufgabe
Bitkom-Studie
Jedes vierte Unternehmen beschäftigt sich mit dem AI Act
Vor dem Hintergrund des AI Acts
TÜV AI.Lab bietet Compliance-Check für KI an
Empfindliche Strafen bei Verstößen
Neues KI-Gesetz der EU tritt in Kraft – was ändert sich?
Webinar-Thementag am 28. August
Bereit für DORA?
EU AI Act? Nie gehört!
Viele Entscheider kennen den Inhalt des Gesetzes nicht
Umfrage zum Status quo NIS2-Umsetzung
Jetzt teilnehmen und mit etwas Glück gewinnen!
AI Act
KI-Gesetz nun beschlossene Sache
AI Act versus AI Action
Asiatischer Markt für KI-Lösungen äußerst attraktiv
Zwischen DSVGO und „AI Act“
Rechtliche Risiken im Blick behalten
