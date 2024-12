Gesetze, Regeln, Vorschriften. Sinnvoll, aber aufwendig. Mit dem EU AI Act kommen weitere Bestimmungen, nach denen sich Unternehmen ab dem 02. Februar 2025 richten müssen. Was aber zunächst nach zusätzlichen Maßnahmen viel Verantwortung klingt, hat für eure Arbeit mit KI auch enorm viele Vorteile.

Daher erklären wir hier verständlich, was eigentlich hinter dem KI-Gesetz steckt, wen es betrifft und wie ihr darauf ganz ohne Frust reagieren könnt.

AI Act: Was steckt hinter dem neuen KI-Gesetz?

Schon bevor ChatGPT der breiten Masse zugänglich war, wurde die Regulierung von KI umfassend diskutiert. Schließlich benötigen Lösungen, die auf künstlicher Intelligenz basieren, immer mehr und vor allem verschiedenste Daten, um deren Fähigkeiten zur Entscheidungsfindung zu optimieren. Daher konzipieren inzwischen verschiedenste Länder Regelungen für den sicheren, vertrauenswürdigen und ethischen Umgang mit künstlicher Intelligenz.

Die europäischen Länder sind dabei die ersten, die mit dem EU AI Act Unternehmen zum Handeln verpflichten. Die KI-Verordnung wurde bereits im Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht.

Ziel des EU AI Acts ist es, die verantwortungsbewusste Nutzung und Entwicklung von KI-Innovationen in Europa zu fördern. Dabei soll mit dem sogenannten »Human-Centric-Ansatz« sichergestellt werden, dass KI-Innovationen stets zum Vorteil von Menschen entwickelt werden.

Für wen gilt die KI-Verordnung

Gesetze haben es meistens in sich. Kaum jemand versteht sofort, was wirklich gemeint ist, und immer wieder stellen sich Fragen wie: Ist unser Unternehmen jetzt betroffen? Und wenn, in welchem Ausmaß?

Im Falle des EU AI Acts lassen sich diese Unklarheiten hingegen relativ einfach auflösen: Sobald ihr KI in eurem Unternehmen einsetzt, unabhängig in welchem Kontext, müsst ihr euch nach der KI-Verordnung richten. Denn die Anforderungen des KI-Gesetzes gelten branchenübergreifend für alle Unternehmen im EU-Raum.

Allerdings gilt die Verordnung für verschiedene Akteure auf unterschiedliche Weise. Die Rollen lassen sich unterscheiden in Anbieter, Betreiber, Importeure, Händler und Anwender. In diesem Beitrag konzentrieren wir uns auf die drei gängigsten Gruppen:

Anbieter (Provider)

Entwickelt ihr eigenständig ein KI-System oder -Modell und bringt es unter eigenem Namen auf den europäischen Markt, unterliegt ihr den meisten Pflichten.

Betreiber

Wenn ihr existierende KI-Lösungen in eure bestehende Systemarchitektur integriert habt oder das plant, zählt ihr als Betreiber. Ihr müsst bei der Anwendung Transparenz- und Sicherheitsregeln einhalten.

Anwender (User)

Zu Anwendern zählt ihr und eure Mitarbeitenden dann, wenn KI-Lösungen eigenverantwortlich genutzt werden. Beispielsweise, wenn jemand aus dem Marketingteam sich aus Stichpunkten einen ersten Textaufschlag für eine E-Mail entwerfen lässt.

Risikobasierter Ansatz: Kategorisierung von KI-Systemen nach Risikoklassen

Unabhängig davon, in welcher Rolle ihr mit KI arbeitet, verpflichtet euch der EU AI Act dazu, eure KI-Systeme und ihr Risiko selbst zu bewerten.

Damit klar ist, welche KI-Systeme ihr in Zukunft bedenkenlos einsetzen könnt oder welche zusätzlichen Sicherheitsmaßnahmen ihr beachten müsst, gibt es entsprechende Risikoklassen (auch bezeichnet als Risikokategorien).

Dabei wird zunächst zwischen »KI mit spezifischem Verwendungszweck« (Single-Purpose KI) und »KI mit allgemeinem Verwendungszweck« (General Purpose AI, GPAI) unterschieden. Die Technologien mit einem spezifischen Verwendungszweck lassen sich entsprechend ihrer Anwendung in vier Risikoklassen unterteilen:

Unakzeptables Risiko

KI-Systeme dieser Risikoklasse sind verboten. Sie könnten die europäischen Werte und Grundgesetze verletzen. Dazu gehören Anwendungen, die das soziale Verhalten von Menschen bewerten oder sie in irgendeiner Form benachteiligen. Ein Beispiel dafür ist das Konzept Social Scoring. Bei dieser rein numerischen Bewertung werden Menschen entsprechend ihren Merkmalen wie dem Wohnort und dem Alter Zahlenwerte zugeordnet. Dieser Score könnte dann beispielsweise Einfluss bei einer Jobbewerbung oder Kreditvergabe haben.

Hohes Risiko

Für KI-Lösungen dieser Risikokategorie gibt es strenge Anforderungen, da auch sie die Gesundheit, die Sicherheit oder die Grundrechte gefährden können. Beispiele dafür sind medizinische Geräte oder KI-basierte Sicherheitssysteme, die mit biometrischer Identifikation funktionieren.

Solltet ihr solche Hochrisiko-KI-Systeme im Einsatz haben, müsst ihr ein entsprechendes Risikomanagementsystem einrichten. Außerdem braucht es eine umfassende technische Dokumentation vor der Inbetriebnahme sowie eine kontinuierliche Aufzeichnung aller Vorgänge während des Betriebs. Weitere Anforderungen zu KI-Systemen mit hohem Risiko findet ihr in diesem Beitrag.

Begrenztes Risiko

Zu Systemen mit eingeschränktem Risiko gehören beispielsweise Chatbots und die Verwendung von ChatGPT-basierten Systemen. Habt ihr KI-Anwendungen dieser Risikoklasse im Einsatz oder plant ihr eine entsprechende Einführung, müsst ihr umfassende Transparenzpflichten beachten. Informiert je nach Anwendungszweck alle betroffenen Personen. Das können eure Mitarbeitenden, eure Kunden aber auch Lieferanten und andere Partner sein.

Minimales oder kein Risiko

Laut der Europäischen Kommission werden vermutlich die meisten KI-Lösungen in diese Kategorie fallen. Dazu gehören sämtliche Systeme, die keine personenbezogenen Daten verarbeiten und keine Vorhersagen treffen, die einen Einfluss auf Personen haben. Beispiele dafür sind Industrie-Applikationen wie die Analyse von Maschinen- und Produktionsdaten.

Für Anwendungen dieser Risikoklasse braucht ihr keine speziellen Anforderungen des EU AI Acts erfüllen. Dennoch solltet ihr auch bei der Arbeit mit diesen KI-Anwendungen verantwortungsbewusstes Handeln sicherstellen und eure Teams entsprechend schulen.

Einstufung von KI-Systemen mit allgemeinem Verwendungszweck (GPAI)

Wie der Name schon verrät, sind GPAI-Systeme nicht auf einen bestimmten Anwendungszweck spezialisiert. Mit der rasanten Verbreitung generativer KI stehen sie vielmehr allen Menschen für verschiedenste Aufgaben zur Verfügung. Sie basieren auf Large Language Models, die in den letzten Jahren von führenden Technologieanbietern entwickelt wurden.

Einen Vergleich vielversprechender Sprachmodelle findet ihr im Beitrag »Large Language Models: 5 KI-Sprachmodelle im Vergleich«.

Im Gegensatz zu den Single-Purpose KI werden GPAI entsprechend der Leistung und der Reichweite des Basismodells in zwei Level eingeordnet.

Level 1: Basismodelle

Auch die Basismodelle mit allgemeinem Verwendungszweck unterliegen zusätzlichen Transparenzpflichten. Heißt, ihr müsst umfassend dokumentieren, wie Trainingsdaten verwendet werden und mit KI-erstellte Inhalte deutlich kennzeichnen.

Level 2: Leistungsstarke Basismodelle mit systematischem Risiko

Als systematisch riskant werden alle GPAI-Modelle mit einer Rechenleistung über 1025 Flops, also der Anzahl der Gleitkommarechenoperationen pro Sekunde. Für sie gelten strenge Regeln in Bezug auf die Überwachung, Modellbewertung und Angriffstests.

So solltet ihr als Unternehmen auf den EU AI Act reagieren

Habt ihr bereits KI-Systeme im Einsatz, solltet ihr diese entsprechend den Risikoklassen einordnen. Schaltet KI-Tools mit unakzeptablem Risiko umgehend ab. Für alle anderen gilt es, sich mit den jeweiligen Anforderungen an die Nutzung vertraut zu machen. Und zwar für jede einzelne Mitarbeiterin und jeden Mitarbeiter, die mit diesem Tool arbeiten. Stellt also sicher, dass eure Teams umfassend und vor allem regelmäßig geschult werden.

Das gilt natürlich auch für alle Lösungen, die ihr in Zukunft einführen wollt. Stellt sicher, dass diese kein hohes Risiko darstellen, und involviert alle betroffenen Abteilungen, sobald ihr ein neues Tool einführen wollt.

Hilfreiche Tipps für den bewussten Umgang mit KI im Unternehmen und spannende Praxisbeispiele für den effizienzenten Einsatz erhaltet ihr im »KI Seminar: Generative KI für Business User – Effektive Anwendung im Geschäftsalltag «.

EU AI Act: Checkliste für Unternehmen

Risikoklassifizierung überprüfen Transparenzpflicht einhalten Bewusstsein schärfen Datenschutz beachten Überprüfungen durchführen

Am besten nutzt ihr das KI-Gesetz gleich als Grundlage, um eure gesamte KI-Strategie im Unternehmen zu überdenken. Die Übergangsfrist für die Umsetzung der Gesetzesanforderungen bietet euch genug Puffer euch mit erfahrenen KI-Expertinnen und -Expertenunter anderem über grundlegende Fragen:

Welche Rolle sollen KI-Anwendungen in unseren Unternehmen spielen?

Gibt es interne Governance-Verordnung für den Umgang mit KI und ist diese allen Mitarbeitenden bekannt?

Wie können wir sicherstellen, dass diese Anforderungen auch umgesetzt werden? Braucht es dafür gegebenenfalls eine »AI Governance Taskforce«?

Gibt es eine zentrale Anlaufstelle für die Nutzung und Einführung von KI-Lösungen?

Damit ihr die Zeit bis zur Gültigkeit des KI-Gesetzt bestmöglich nutzen könnt, bietet das Team von dotSource individuelle Beratungsgespräche an. Meldet euch für eine kostenfreie Erstberatung an und erfahrt, wie ihr den EU AI Act erfüllt und darüber hinaus profitiert.

Welche Umsetzungsfristen müssen Unternehmen für die KI-Verordnung kennen?

Veröffentlicht wurde der EU AI Act am 12. Juli 2024 im Amtsblatt der Europäischen Union.

In Kraft getreten ist die Verordnung am 1. August 2024 und soll vollumfänglich innerhalb von zwei Jahren, als ab dem 2. August 2026, angewendet sein.

Einige Bestimmungen werden allerdings schon früher anwendbar. Dazu gehört beispielsweise das Verbot von KI-Lösungen und -Praktiken mit unannehmbarem Risiko. Dieses gilt bereits ab dem 2. Februar 2025.

Die Verpflichtungen in Bezug auf KI-Modelle mit allgemeinem Verwendungszweck sind ab dem 2. August 2025 anwendbar.

Dagegen gelten die Regelungen über Hochrisikosysteme, Transparenzvorschriften und regulatorische Sandboxes erst nach drei Jahren, d.h. ab dem 2. August 2027.

Was passiert bei Verstößen gegen den EU AI Act

Auch wenn das KI-Gesetz zunächst mit Aufwänden verbunden ist, ist die Umsetzung dennoch günstiger als der Verstoß gegen die Verordnung. Arbeitet ihr nach Ablauf der Frist mit verbotenen KI-Praktiken kann euch das bis zu 30 Millionen Euro oder 6 Prozent des gesamten weltweiten Vorjahresumsatzes kosten.

Bei anderen Verstößen gegen die Pflichten und Verordnungen darunter auch der Anforderung an GPAI liegt die Strafe bei bis zu 20 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes.

Sind eure Angaben gegenüber den zuständigen Behörden falsch, unvollständig oder irreführend zahlt ihr bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes.

EU AI Act: KI in der Praxis verantwortungsbewusst einsetzen

So viel zur Theorie. Aber wie schafft ihr eine sichere Datengrundlage für die Arbeit mit KI? Und für welche Anwendungen lohnt sich der Einsatz, ohne dass ihr rechtliche Bedenken haben müsst?

Im Whitepaper »Künstliche Intelligenz – Wie KI das Digital Business voranbringt« erhaltet ihr hilfreiche Tipps für den verantwortungsbewussten Umgang mit KI. Außerdem erwarten euch spannende Praxisbeispiele, wie intelligente Lösungen das E-Business vorantreiben.

