AI Act: Was bedeutet die neue KI-Verordnung für Dich und Dein Business?
Die EU-KI-Verordnung (AI Act) ist seit dem 1. August 2024 in Kraft und wird schrittweise innerhalb der nächsten 36 Monate eingeführt. Als (zukünftiger) Unternehmer bzw. (zukünftige) Unternehmerin ist es wichtig, die Auswirkungen dieser neuen Regulierung auf Dein Geschäft zu verstehen und darauf vorbereitet zu sein.
Warum ist der AI Act relevant für Dein Business?
Der AI Act wurde eingeführt, um die Sicherheit von Menschen und den Schutz ihrer Rechte bei der Anwendung von KI-Systemen sicherzustellen. Je nach Einsatzgebiet Deiner KI-Lösungen können die Anforderungen und Einschränkungen stark variieren. Es ist daher essenziell, die Risikoklassen zu kennen, um sicherzustellen, dass Dein Unternehmen regelkonform agiert. Welche Auflagen die KI-Systeme in Zukunft erfüllen müssen, hängt von ihrer Risikoklasse und damit von ihrem Einsatzgebiet ab. Eine KI, die dir dabei hilft Texte auszuformulieren, muss kaum Auflagen erfüllen. Wird eine KI aber dazu eingesetzt über Bewerber und Bewerberinnen zu entscheiden, wird sie als KI mit hohem Risiko eingestuft und hat daher in Zukunft mehr Auflagen zu erfüllen.
Die vier Risikoklassen und ihre Bedeutung
-
Inakzeptables Risiko
KI-Systeme, die als gefährlich für Menschen und ihre Sicherheit eingestuft werden, sind verboten. Dazu gehören Systeme, die Menschen biometrisch kategorisieren, Social-Scoring betreiben oder sie ohne ihr Wissen beeinflussen. Solche Anwendungen sind für Unternehmen komplett tabu.
-
Hohes Risiko
Diese Klasse betrifft KI-Systeme, die wesentliche Auswirkungen auf Sicherheit, Gesundheit und Grundrechte haben. Dazu zählen z.B. KI-gestützte Entscheidungen im Personalwesen oder in der Gesundheitsbranche. Unternehmen müssen hier strenge Auflagen erfüllen, wie die Überwachung durch Menschen und der Nachweis, dass keine Diskriminierung vorliegt.
-
Begrenztes Risiko
Systeme, die zu Manipulation führen können, wie z.B. Chatbots, müssen klar als KI erkennbar sein. Nutzer müssen informiert werden, dass sie mit einer KI interagieren und auch KI-generierte Medien müssen als solche gekennzeichnet werden.
-
minimales Risiko
Alle anderen KI-Systeme, die keiner der obigen Risikoklassen angehören, können weitgehend ohne Einschränkungen genutzt werden.
Verbotene KI-Funktionen nach dem AI Act
Der AI Act der EU stuft bestimmte KI-Funktionen als „inakzeptables Risiko“ ein und verbietet deren Nutzung vollständig. Diese Verbote zielen darauf ab, die Sicherheit und die Grundrechte der Menschen zu schützen. Zu den wichtigsten verbotenen Funktionen gehören:
KI-Systeme, die Personen basierend auf ihren Aktivitäten, ihrem Verhalten und ihren Eigenschaften bewerten, sind verboten. Der AI Act soll verhindern, dass Menschen unfair behandelt oder diskriminiert werden.
Das gezielte Verändern des Verhaltens oder der Meinung einer Person durch KI, ohne dass sie es bewusst wahrnimmt, ist untersagt. Dies umfasst auch das Ausnutzen von Schwachpunkten wie Alter, physischen und mentalen Fähigkeiten oder der finanziellen Situation.
Die Erfassung biometrischer Daten in öffentlichen Räumen ist verboten. Auch die nachträgliche Identifikation dieser Daten ist untersagt, es sei denn, es gibt Ausnahmen wie die Verhinderung von Terrorismus oder das Auffinden von Entführungsopfern.
Systeme, die Emotionen am Arbeitsplatz oder in Bildungseinrichtungen messen, sind generell verboten. Ausnahmen bestehen für bestimmte Hochrisiko-KI-Anwendungen, beispielsweise um festzustellen, ob Autofahrende schlafen oder unter Alkoholeinfluss stehen.
Das Sammeln von Bildern von Gesichtern aus dem Internet oder von Überwachungskameras für das Training von KI-Systemen ist verboten.
Systeme, die vorhersagen sollen, ob eine Person aufgrund ihrer Eigenschaften ein Verbrechen begehen könnte, sind nicht erlaubt.
Was müssen Unternehmen, die Hochrisiko-KI-Systeme nutzen, nach dem AI Act beachten?
Wenn Deine KI-Anwendung als hohes Risiko eingestuft wird, gelten zehn spezifische Anforderungen:
- Qualitätsmanagement-System: Dokumentation aller Risiken und deren Beseitigung im Entwicklungsprozess. Dazu zählen ausführliche Testprozesse, ein umfassendes Monitoring und das Melden von Vorfällen.
- Umwelt- und Sozialanalyse: Untersuchung der potenziellen negativen Auswirkungen auf Menschen und Umwelt.
- Kontaktdaten für Nutzer: Support-Kontaktdaten müssen jederzeit für Nutzer und Nutzerinnen bereit stehen.
- Nutzungslogs: Führen von Logs (Zeiten und Input) über die Verwendung der KI.
- Transparenz: Offenlegung der Systemgrenzen und Klarstellung, dass eine KI im Einsatz ist.
- Dokumentation: Aufbewahrung aller relevanten Unterlagen (technische Dokumentation, QM, rechtliches) für mindestens zehn Jahre.
- Konformitätsuntersuchung: Registrierung und Prüfung des KI-Systems auf Einhaltung der Regularien und ggf. Anpassung der KI.
- Zweite Konformitätsuntersuchung: Bei Verdacht auf Regelverstöße muss eine weitere Prüfung durchgeführt werden.
- Menschliche Überwachung: Sicherstellung, dass die KI-Anwendung von Menschen überwacht werden kann, um Risiken zu minimieren und zu verhindern.
- Cybersicherheitsmaßnahmen: Maßnahmen zum Schutz vor Angriffen, Ausfällen und Manipulationen des Outputs müssen implementiert werden.
Fristen der Schrittweisen Einführung
Der AI Act ist seit dem 01. August 2024 Inkraft. Dennoch müssen die Anforderungen des Gesetzes nicht sofort umgesetzt werden, sie werden innerhalb der nächsten 36 Monate zur Anwendung kommen. Die ersten Verbote für bestimmte KI-Systeme gelten beispielsweise ab dem 01. Februar 2025. Unternehmen bleibt also genügend Zeit, Maßnahmen zu ergreifen, um die Anforderungen des AI Acts umzusetzen.
Eine gute Übersicht, gibt die Timeline auf der zugehörigen Website der EU. Dort ist übersichtlich dargestellt, welche Maßnahmen wann getroffen werden müssen und die zugehörigen Anforderungen und Gesetzestexte sind verlinkt.
Sanktionen bei Nichteinhaltung
Bei Verstößen gegen den AI Act drohen erhebliche Strafen, die sich am weltweiten Jahresumsatz Deines Unternehmens orientieren. Diese reichen von Geldstrafen bis hin zu Sanktionen bei der Bereitstellung inkorrekter Informationen über Dein KI-Modell.
Nutzung von Drittanbieter-KI-Systemen
Der AI Act umfasst auch Artikel 28 b, der sich mit der Regulierung von Basismodellen beschäftigt. Diese Modelle, wie etwa ChatGPT, sind vielseitig einsetzbar und wurden mit riesigen Datenmengen trainiert. Auch für solche KI-Systeme gelten strengere Anforderungen:
- Erlaubnisvorbehalt: Basismodelle dürfen nur betrieben oder bereitgestellt werden, wenn sie die Anforderungen des AI Acts erfüllen. Dies gilt unabhängig davon, ob das Modell als eigenständiges System oder eingebettet in ein anderes Produkt genutzt wird, und schließt auch Open-Source-Lizenzen ein.
- Risikominderung und Dokumentation: Anbieter müssen nachweisen, dass sie alle vernünftigerweise vorhersehbaren Risiken für Gesundheit, Sicherheit, Grundrechte, Umwelt, Demokratie und Rechtsstaatlichkeit während der Entwicklung identifiziert, verringert und dokumentiert haben. Dies beinhaltet auch die Einbeziehung unabhängiger Experten.
- Schutz gegen rechtswidrige Inhalte: Generative KI-Systeme müssen so gestaltet sein, dass sie einen angemessenen Schutz gegen die Erzeugung rechtswidriger Inhalte bieten. Dies schließt Inhalte ein, die gegen EU-Recht verstoßen könnten.
- Urheberrechtsdokumentation: Wenn urheberrechtlich geschützte Werke für das Training der KI verwendet wurden, muss dies dokumentiert und öffentlich zugänglich gemacht werden. Dies soll sicherstellen, dass Rechteinhaber
bei Verletzungen ihre Ansprüche geltend machen können.
Praktische Auswirkungen für Dein Business
Wenn Du Drittanbieter-KI-Systeme wie ChatGPT nutzt, musst Du sicherstellen, dass diese Systeme den neuen Regelungen entsprechen. Dies bedeutet:
- Risikobewertung: Führe eine gründliche Risikobewertung des Systemeinsatzes bei Dir im Unternehmen durch, um sicherzustellen, dass alle vorgeschriebenen Schutzmaßnahmen implementiert sind.
- Transparenz und Dokumentation: Stelle sicher, dass die Anbieter der genutzten KI-Modelle die erforderliche Dokumentation zur Verfügung stellen, insbesondere bezüglich des Schutzes gegen rechtswidrige Inhalte und der Nutzung urheberrechtlich geschützter Daten.
- Compliance und Monitoring: Implementiere Prozesse zur kontinuierlichen Überwachung und Dokumentation der Nutzung der KI-Systeme, um jederzeit nachweisen zu können, dass alle Anforderungen des AI Acts eingehalten werden.
Fazit
Die Einführung des AI Acts ist ein signifikanter Schritt zur Regulierung von KI-Technologien in der EU. Für Dein (zukünftiges) Unternehmen musst Du sicherstellen, dass Deine bzw. die durch Dich verwendeten KI-Anwendungen den neuen Anforderungen entsprechen, um Sanktionen zu vermeiden und die Chancen zu nutzen, die eine gesetzeskonforme KI bietet. Fange jetzt an, Dein Unternehmen auf diese Veränderungen vorzubereiten. Analysiere Deine KI-Systeme, identifiziere potenzielle Risiken und implementiere die notwendigen Maßnahmen, um die Compliance sicherzustellen. So kannst Du sicherstellen, dass Dein Unternehmen nicht nur rechtlich abgesichert ist, sondern auch das Vertrauen Deiner Kund gewinnt.
Für weiterführende Informationen können wir Dir die zugehörige Website der EU empfehlen: https://artificialintelligenceact.eu/de/