Wie sich Unternehmen auf die Regulierung der künstlichen Intelligenz vorbereiten können
Mit dem 01.08.2024 trat eine EU-Verordnung in Kraft, die manche historisch nennen: Die Europäische Union reguliert mit dem AI Act (Verordnung (EU) 2024/1689, „KI-Verordnung“) umfassend die Nutzung künstlicher Intelligenz (KI). Für Unternehmen bringt es neue Anforderungen hinsichtlich der Transparenz und der Sicherheit von Produkten und Dienstleistungen mit sich. Bis zum 02.02.2025 müssen die ersten Maßnahmen umgesetzt werden – ein Fahrplan zur Umsetzung der KI-Verordnung tut deshalb Not.
Die KI-Verordnung (AI Act) will verhindern, dass Verbraucher in der EU durch künstliche Intelligenz (KI) unakzeptablen Risiken ausgesetzt sind. Diese Risiken werden als „unannehmbar“, „hoch“, „begrenzt“ und „gering“ kategorisiert.
Die Eingruppierung entscheidet darüber, ob ein KI-System mehr oder weniger strengen Auflagen unterliegt oder sogar verboten ist.
Betroffen von den Vorschriften sind Bereitsteller, Produkthersteller, Importeure, Händler und Anbieter von KI-Systemen. Mit anderen Worten: Jedes Unternehmen bzw. jede Organisation inner- und außerhalb der EU unterliegt der KI-Verordnung, sobald es an der Bereitstellung von KI-Systemen an europäische Verbraucher beteiligt ist. Davon betroffen sind nicht nur Großkonzerne, sondern auch kleine und mittlere Unternehmen, denn die Vorschriften gelten unabhängig von erzielten Umsätzen oder Nutzerzahlen.
Ausgenommen sind lediglich KI-Systeme für die wissenschaftliche Forschung, für Verteidigungs- oder Militärzwecke und für reine Haushaltstätigkeiten.
KI-Systeme mit unannehmbaren Risiken sind verboten
Die KI-Verordnung regelt klar, welche Anwendungen der künstlichen Intelligenz verboten sind und weder eingesetzt, bereitgestellt, in Verkehr gebracht noch angewendet werden dürfen. So sind Systeme für die vorausschauende Polizeiarbeit und biometrische Identifikationssysteme, die in Echtzeit arbeiten, verboten. Auch das gezielte Auslesen von Gesichtsbildern mit dem Ziel, eine Gesichtserkennungsdatenbank zu erstellen, ist ebenso wenig erlaubt wie KI-Systeme, die Rückschlüsse auf Emotionen von Menschen am Arbeitsplatz zulassen.
KI-Verordnung reguliert den Umgang mit Hochrisikosystemen
Anhang III der KI-Verordnung führt Anwendungen mit hohen Risiken auf. Dazu gehören KI-Systeme, die in der Biometrie, Bildung, Beschäftigung und Strafverfolgung zum Einsatz kommen oder im Bereich der kritischen Infrastruktur eine wichtige Rolle spielen.
Für diese KI-Anwendungen gibt es strenge Auflagen, wie z.B. eine Risikobewertung der Grundrechte, die Schulung von Beschäftigten, die mit Hochrisiko-KI-Systemen umgehen, sowie automatisch erstellte Protokolle, mit denen Ereignisse nachvollzogen werden können.
Begrenzte Risiken – begrenzte Auflagen
Bei KI-Systemen wie Deepfake-Generatoren oder Chatbots sieht der EU-Gesetzgeber nur begrenzte Risiken und legt den Akteuren nur geringe Pflichten auf. Wer solche KI-Systeme einsetzt, bereitstellt oder verwendet, muss Nutzer darüber informieren, dass das System mit künstlicher Intelligenz arbeitet. Zudem sind Fotos, Videos und Audioaufnahmen als KI-generiert zu kennzeichnen.
Beispielhaft führt der AI Act noch KI-Systeme mit „geringen Risiken“ auf, z.B. Empfehlungssysteme und Spam-Filter. Für sie gibt es keine Auflagen.
Zeitplan und erste Schritte
Wie bei EU-Verordnungen üblich, wird auch der AI Act (Verordnung (EU) 2024/1689, „KI-Verordnung) zwei Jahre nach seiner Veröffentlichung im Amtsblatt der EU, also am 02.08.2026, Anwendung finden. Allerdings gibt es eine stark verkürzte Frist für KI-Anwendungen mit inakzeptablem Risiko: Sie sind bereits ab dem 02.02.2025 verboten. Dagegen gibt es eine verlängerte Frist (bis 02.08.2027) für KI-Anwendungen mit hohem Risiko.
Ein Aktionsplan zur Umsetzung des AI Acts in der eigenen Organisation sollte folgende erste Schritte beinhalten:
- Erstellung einer Gesamtliste, wo im Unternehmen und in welcher Form KI-Systeme zum Einsatz kommen
- Prüfen, ob KI-Systeme mit unakzeptablen Risiken in der Organisation eingesetzt werden und ggf. deren Ausfall planen
- Identifikation von eingesetzten oder geplanten Hochrisiko-KI-Systemen und Analyse, wie diese gemäß der KI-Verordnung rechtskonform eingesetzt werden können
- Planen und Durchführen des Prozesses der Konformitätsbewertung und -dokumentation
- Erstellung von präzisen technischen Dokumentationen z.B. mit detaillierten Beschreibungen der Systemarchitektur, der verwendeten Algorithmen und der geplanten oder realisierten Sicherheitsmaßnahmen
- Feststellung des Schulungsbedarfs der Mitarbeitenden; Planung von Schulungen und Workshops