Am 21. Mai 2024 wurde die KI-Verordnung (AI Act) von der EU offiziell verabschiedet. Diese Verordnung ist das erste umfassende Gesetz weltweit zur Regulierung von Künstlicher Intelligenz. Sie soll einheitliche Vorgaben für die Entwicklung und Nutzung von KI in der EU schaffen. Doch was bedeutet das für Unternehmen, die KI-Systeme wie ChatGPT, Gemini oder Copilot nutzen?
Was bedeutet die KI-Verordnung für Unternehmen?
Wer ist betroffen? Die Verordnung gilt für Entwickler und Nutzer von KI-Systemen, also für Unternehmen, die KI erstellen und solche, die KI verwenden.
Risikobasierter Ansatz: Die Verordnung bewertet KI-Systeme nach ihrem Risiko für Sicherheit, Gesundheit und Grundrechte von Menschen. Dabei werden vier Risikostufen unterschieden, die unterschiedliche Anforderungen an die Unternehmen stellen:
- Unannehmbare Risiken:
- Praktiken, die als unannehmbar eingestuft werden, sind strikt verboten. Dazu gehört beispielsweise Social Scoring, bei dem das Verhalten von Menschen bewertet und klassifiziert wird. Solche Praktiken werden als unvereinbar mit den Grundrechten angesehen und sind daher nicht erlaubt.
- Hochrisiko-KI-Systeme:
- Diese Systeme haben das Potenzial, erhebliche Auswirkungen auf die Sicherheit, Gesundheit oder Grundrechte von Personen zu haben. Beispiele hierfür sind KI-Systeme zur biometrischen Identifizierung oder zur Entscheidungsfindung im Personalmanagement. Für diese Systeme gelten strenge Compliance-Maßnahmen:
- Risikobewertung: Vor der Einführung muss eine gründliche Risikobewertung durchgeführt werden, um potenzielle Gefahren zu identifizieren und zu minimieren.
- Daten-Governance: Es müssen Maßnahmen zur Gewährleistung der Datenqualität und -integrität getroffen werden, um Verzerrungen (Bias) zu vermeiden und repräsentative Ergebnisse zu sichern.
- Technische Dokumentation: Es muss umfassende technische Dokumentation erstellt werden, die den Zweck und die ordnungsgemäße Verwendung des KI-Systems beschreibt.
- Menschliche Aufsicht: Die Systeme müssen so gestaltet sein, dass eine menschliche Aufsicht gewährleistet ist, um bei Fehlfunktionen oder unerwarteten Ergebnissen eingreifen zu können.
- Diese Systeme haben das Potenzial, erhebliche Auswirkungen auf die Sicherheit, Gesundheit oder Grundrechte von Personen zu haben. Beispiele hierfür sind KI-Systeme zur biometrischen Identifizierung oder zur Entscheidungsfindung im Personalmanagement. Für diese Systeme gelten strenge Compliance-Maßnahmen:
- General-Purpose KI:
- Diese Kategorie umfasst große, vielseitig einsetzbare KI-Modelle wie ChatGPT. Für diese Systeme gelten spezifische Transparenzpflichten:
- Offenlegung: Unternehmen müssen offenlegen, wenn sie Inhalte verwenden, die von generativen KI-Systemen wie ChatGPT erstellt wurden.
- Information der Betroffenen: Wenn KI-Systeme zur Emotionserkennung oder biometrischen Kategorisierung genutzt werden, müssen die betroffenen Personen darüber informiert werden.
- Diese Kategorie umfasst große, vielseitig einsetzbare KI-Modelle wie ChatGPT. Für diese Systeme gelten spezifische Transparenzpflichten:
- Allgemeine Pflichten:
- Für alle anderen KI-Systeme gelten allgemeine Vorgaben, die sicherstellen sollen, dass die Systeme sicher und verantwortungsvoll genutzt werden:
- Schulung und Kompetenz: Unternehmen müssen sicherstellen, dass ihre Mitarbeiter, die mit KI-Systemen arbeiten, ausreichend geschult sind und die Risiken sowie Nutzungsmöglichkeiten dieser Systeme verstehen.
- Datenschutz und Cybersicherheit: Es müssen Maßnahmen ergriffen werden, um die Datensicherheit und den Schutz der Privatsphäre zu gewährleisten, insbesondere bei der Nutzung von KI-Systemen, die mit sensiblen Daten arbeiten.
- Dokumentation: Es müssen technische Dokumentationen und Nutzungshinweise bereitgestellt werden, die den Zweck und die ordnungsgemäße Verwendung der KI-Systeme beschreiben.
- Für alle anderen KI-Systeme gelten allgemeine Vorgaben, die sicherstellen sollen, dass die Systeme sicher und verantwortungsvoll genutzt werden:
Dieser risikobasierte Ansatz soll sicherstellen, dass KI-Systeme verantwortungsvoll eingesetzt werden und gleichzeitig Innovationen gefördert werden. Unternehmen sollten sich mit den spezifischen Anforderungen vertraut machen und ihre Systeme entsprechend klassifizieren und anpassen.
Open-Source-KI-Systeme: Diese sind im Regelfall von der Verordnung ausgenommen, es sei denn, sie fallen unter Hochrisiko-KI-Systeme oder verbotene Praktiken.
Übergangsfristen:
- 6 Monate: Vorschriften über verbotene KI-Systeme treten in Kraft.
- 24 Monate: Allgemeine Vorgaben, inklusive Transparenzpflichten für generative KI-Systeme.
- 36 Monate: Pflichten für Hochrisiko-KI-Systeme.
Fazit: Unternehmen können weiterhin fortschrittliche KI-Systeme wie ChatGPT, Gemini oder Copilot nutzen. Die meisten Unternehmen müssen in Bezug auf ihre aktuelle Praxis wenig ändern. Es ist wichtig, dass Unternehmen sich gründlich informieren und sicherstellen, dass sie alle relevanten Regelungen einhalten, um rechtliche und finanzielle Risiken zu vermeiden.
Keine Angst! Die KI-Verordnung bringt neue Herausforderungen, aber auch Chancen. Unternehmen sollten die neuen Regeln als Möglichkeit sehen, ihre Prozesse sicherer und transparenter zu gestalten. Mit der richtigen Vorbereitung können Unternehmen die Vorteile von KI-Systemen weiterhin voll ausschöpfen, ohne rechtliche Risiken einzugehen. Für weitere Informationen oder Beratung stehen wir Ihnen gerne zur Verfügung.