AI Act: Diese Neuerungen bringt das neue KI-Gesetz
Die Anfänge des AI Acts
Mit dem Vormarsch der Künstlichen Intelligenz entstand die Notwendigkeit, Angebot und Nutzung dieser neuen Technologien europaweit zu regeln. Das neue KI-Gesetz möchte Balance schaffen. Auf der einen Seite soll ein ausreichendes Maß an Freiheit geschaffen werden, um das Potenzial von KI gewinnbringend zu nutzen. Andererseits sollen die Vorgaben ethische Grundsätze sicherstellen, auf deren Basis verantwortungsvoll mit den Daten Einzelner umgegangen wird.
Den ersten Gesetzesvorschlag brachte die Europäische Kommission bereits im April 2021 ein. Im Dezember 2023 erfolgte eine vorläufige Einigung zwischen der EU-Kommission, dem Europäischen Rat sowie dem Europäischen Parlament. Seit März 2024 liegt der endgültige Beschluss vor. Somit ist klar: Unternehmen, die in der EU tätig sind, müssen sich auf umfassende Änderungen einstellen, wenn sie KI-Produkte, -Systeme oder -Dienste anbieten.
Wichtige Punkte des Gesetzes sind unter anderem:
- Eine Definition Künstlicher Intelligenz
- Die Einteilung von KI-Systemen in verschiedene Risikokategorien
- Anforderungen und Schutzmechanismen für KI-Systeme
- Transparenzpflichten
Auf diese Weise soll der AI Act KI mit all ihren Innovationen fördern und gleichzeitig Risiken entgegenwirken. Denn neue Technologien bergen auch neue Risiken, mit denen erst noch richtig umgegangen werden muss. Übergeordnetes Ziel ist daher ein harmonischer EU-Binnenmarkt für KI, in dem die Rechte von Einzelpersonen respektiert und Investitionen in KI-Technologien gefördert werden.
Ab wann gelten die neuen Vorgaben?
Die Transparenz- und Governance-Vorschriften für allgemeine KI-Systeme haben ab Anfang 2025 Geltung, alle weiteren Verpflichtungen treten 2026 in Kraft. Lediglich die Anforderungen für Hochrisikosysteme sind nach 36 Monaten umzusetzen.
Doch Achtung: Erweist sich in KI-System nach den neuen gesetzlichen Regelungen als verboten, muss es schon spätestens sechs Monate nach Inkrafttreten des AI Acts abgeschafft werden.
Ziele des AI Acts
Der AI Act verfolgt verschiedene Ansätze, um einen harmonische KI-Binnenmarkt für die EU zu erreichen.
Innovation vorantreiben
Die EU möchte die Entwicklung neuer KI-Systeme fördern. Klare Richtlinien sollen Unternehmen die Richtung vorgeben, ohne sie einzuengen, wenn sie Neues ausprobieren wollen. EU-weit harmonisierte Standards sollen für mehr Transparenz und fairen Wettbewerb sorgen. Auf diese Weise besteht für alle Beteiligten Rechtssicherheit und die Grundrechte werden geschützt.
Best Practices finden
Die Klassifizierung von KI-Systemen sorgt dafür, dass die Risiken rund um das Thema Künstliche Intelligenz auf lange Sicht verständlicher werden. Auch die Auflagen für Hochrisikosysteme hinsichtlich Risikomanagement, Daten-Governance, Dokumentation etc. tragen dazu bei, Best Practices für die Nutzung von KI zu finden.
Umgang mit Risiken
Ein wichtiges Ziel des AI Acts ist, einen Umgang mit den Risiken durch KI zu finden. Dazu gehört das Verbot unannehmbarer Risiken sowie das Vermeiden von Grundrechtsverletzungen. Teil dieses Vorhabens ist das Vermeiden manipulativer und unethischer Techniken, die das Verhalten einer Person derart beeinflussen, dass sie sich selbst oder andere schädigt. Auch das Ausnutzen schutzbedürftiger Personen, beispielsweise aufgrund von Alter, Behinderung, oder politischer Einstellung sollen vermieden werden.
Damit all das funktioniert, braucht es rechtliche Sicherheit für alle Beteiligten. Das Gesetz will Ethik und Sicherheitsforderungen stärken, um dieses Ziel zu erreichen.
Neue Technologien bergen auch stets Risiken. Im Artikel KI und ihre Gefahren: Das Missbrauchspotenzial Künstlicher Intelligenz betrachten wir die Gefahren von KI und setzen uns mit möglichen Konsequenzen auseinander.
Wer ist betroffen?
Die Definition von Künstlicher Intelligenz ist im Gesetz recht weit gefasst, um möglichst viele verschiedene Technologien und Systeme abzudecken. Laut Artikel drei des KI-Gesetzes handelt es sich bei einem KI-System um ein
„…maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.“
Daher sind insbesondere Unternehmen in großem Maß vom KI-Gesetz betroffen und müssen gegebenenfalls weitreichende Änderungen vornehmen.
Konkret von den neuen Vorgaben betroffen sind außerdem Anbieterinnen und Anbieter, die KI-Systeme in der EU standortunabhängig in Verkehr bringen oder in Betrieb nehmen. Das gilt auch für Unternehmen, die nicht in der EU ansässig sind, sofern die Ergebnisse aus diesen Systemen in der EU zum Einsatz kommen beziehungsweise zur dortigen Verwendung bestimmt sind (Artikel zwei KI-Gesetz). Auch alle Produktherstellerinnen oder -hersteller, die Produkte mit KI-Systemen innerhalb der EU unter eigenem Namen oder eigener Marke in Verkehr bringen beziehungsweise in Betrieb nehmen, sind betroffen. Selbstverständlich richtet sich das Gesetz aber nicht nur an Anbietende, sondern auch an Nutzerinnen sowie Nutzer von KI-Produkten innerhalb der EU.
Überwacht wird die Einhaltung der Vorschriften künftig durch Aufsichtsbehörden – zentral koordiniert durch das europäische AI-Büro.
Die wichtigsten Punkte des KI-Gesetzes
Das KI-Gesetz definiert Künstliche Intelligenz ziemlich weitreichend, da KI ein sehr weites Spektrum an Technologien umfasst. Daher inkludiert der Gesetzestext sowohl einfache Technologien, die für einen bestimmten Anwendungsfall konzipiert sind, als auch komplexere Anwendungen – etwa für Deep Learning oder generative KI. Das vergrößert den Anwendungsbereich des Gesetzes erheblich. Ausnahmen gelten beispielsweise für KI-Systeme zu militärischen Zwecken und in begrenztem Umfang für Systeme, die unter einer freien, quelloffenen Lizenz verfügbar sind.
Zudem sehen die Vorgaben des AI Acts ein umfassendes Risikorahmenwerk mit Anforderungen für die unterschiedlichen Risikostufen vor. KI-Systeme werden nach Risiken klassifiziert und in verschiedene Kategorien eingeteilt – abhängig davon, welche Daten erfasst und welche Handlungen auf Basis dieser Entscheidungen folgen. Abhängig von der jeweiligen Risikokategorie enthält das Gesetz verschiedene Pflichten.
Risikostufen
Das sind die verschiedenen Risikostufen im Einzelnen:
- Minimales Risiko
In diese Kategorien fallen zum Beispiel Spamfilter oder KI-gestützte Videospiele. Für diese KI-Systeme sieht das Gesetz keine weiteren Pflichten vor. - Begrenztes Risiko
Das umfasst Systeme, die mit Verbraucherinnen oder Verbrauchern interagieren sowie generative Systeme, die Inhalte erzeugen oder manipulieren. Hier bestehen Transparenzpflichten, denn in solchen Fällen existieren Risiken hinsichtlich Identitätsbetrug und Täuschung. - Hohes Risiko
In diesen Bereich fallen zum Beispiel die Bewertung der Kreditwürdigkeit oder die Prüfung von Anträgen. Hier sind unter anderem Konformitätsbewertungen erforderlich, bei denen hohe Risiken für Gesundheit, Sicherheit, Umwelt und Grundrechte bestehen können. - Unannehmbares Risiko
Handlungen wie Social Scoring oder biometrische Echtzeitidentifizierung via KI sind verboten, da sie gegen die Grundwerte der EU verstoßen.
Das gilt für Hochrisiko-KI-Systeme
Bei Systemen mit hohen Risiken, beispielsweise im Bereich der kritischen Infrastruktur, sind die Auflagen für Nutzende und Anbietende entsprechend streng. Dazu gehört gemäß Artikel drei Abschnitt 2 unter anderem:
Risikomanagement:
Kommt ein Hochrisikosystem zum Einsatz, sind Sie verpflichtet, potenzielle Risiken für die Gesundheit, Sicherheit und die Grundrechte von Verwenderinnen und Verwendern zu ermitteln. Diese Gefahren müssen im Anschluss nicht nur bewertet, sondern auch entsprechende Maßnahmen ergriffen werden, um diese zu minimieren.
Daten-Governance:
Genutzte Datensätze müssen relevant, repräsentativ, fehlerfrei und möglichst vollständig sein.
Technische Dokumentation:
Sie enthält wichtige Informationen zu verwendeten Systemen und Prozessen. Dazu gehört unter anderem eine Beschreibung des genutzten KI-Systems, seiner einzelnen Bestandteile sowie seines Entwicklungsprozesses. Zusätzlich dokumentiert sie Überwachung, Kontrolle und Funktionsweise.
Aufzeichnungspflichten:
Ein Hochrisikosystem muss über eine Protokollfunktion verfügen, um Ereignisse während des Systemlebenszyklus zu dokumentieren. Relevant sind in diesem Zusammenhang vor allem relevante Änderungen innerhalb des Systems oder Situationen, die Risiken bergen.
Transparenz und Bereitstellung von Informationen für Betreiberinnen und Betreiber:
Hochrisikosysteme müssen so konzipiert sein, dass Betreibende sie angemessen verwenden können. Die Systeme werden mit Betriebsanleitungen bereitgestellt, die alle relevanten Informationen in verständlicher Form enthalten.
Menschliche Aufsicht:
Natürliche Personen müssen KI-Systeme angemessen beaufsichtigen können. Das umfasst unter anderem die Interpretation der Ausgabe, Verständnisse für die Fähigkeiten und Grenzen des Systems und (wenn notwendig) den Betrieb des Systems zu unterbrechen.
Genauigkeit, Robustheit, Cybersicherheit:
Hochrisikosysteme müssen gegenüber Fehlern und Störungen möglichst widerstandsfähig sein. Das kann man durch technische Redundanz erreichen. Zusätzlich müssen detaillierte Pläne vorliegen, wie im Fall einer Störung zu handeln ist.
Auch unbefugte Versuche Dritter, sich Zugang zum System zu verschaffen, müssen unterbunden werden.
Nutzende haben die Möglichkeit, Beschwerde einzureichen und können Erklärungen zu Entscheidungen verlangen, die aufgrund riskanter KI-Systeme getroffen wurden und unter Umständen ihre Rechte beschneiden. Außerdem müssen sie ihr KI-System im Rahmen des Gesetzes und gemäß den Richtlinien der Anbietenden betreiben. Das bringt Pflichten hinsichtlich des Zwecks, der Anwendungsfälle, Datenverarbeitung, Aufsicht und Überwachung mit sich.
Moderner Versicherungsschutz – auch bei neuen Technologien
Künstliche Intelligenz wird unsere Arbeitswelt weiterhin verändern – und zwar über viele verschiedene Branchen hinweg. Die neuen Vorschriften des KI-Gesetzes sind nur ein weiterer Grund, sich mit diesem Thema auseinanderzusetzen und Ihr Unternehmen fit für die Zukunft zu machen. Denn vollkommen egal, ob Sie bereits vorhandene Systeme nutzen, ein eigenes konzipieren oder sogar selbst KI-Systeme anbieten – Risiken begleiten Sie dabei in jedem Fall und Verstöße gegen das neue Gesetz können teuer werden.
Bescheren Sie Ihrer Kundschaft oder anderen Dritten einen Schaden, dem die Nutzung künstlicher Intelligenz zugrunde liegt, ist Ihr Unternehmen mit einer Berufshaftpflicht über exali geschützt. In diesen Versicherungsschutz sind dank offener Deckung sogar neue Technologien wie KI inkludiert. Denn wir wissen, dass sich Ihr Business verändert und möchten Ihnen eine Absicherung bieten, die diesen Entwicklungen Rechnung trägt.
Sie wollen mehr dazu wissen? Dann rufen Sie uns an! Von Montag bis Freitag von 9:00 Uhr bis 18:00 Uhr erreichen Sie unseren unter der Telefonnummer + 49 (0) 821 80 99 46 - 0 oder über unser Kontaktformular.
Das gilt für allgemeine KI-Systeme
Die aktuelle Version des Gesetzes wurde noch einmal um einige Punkte ergänzt, um auch Systeme mit allgemeinen Verwendungszwecken (General-Purpose-AI-Systems; GPAI) und generative Modelle mit einzubeziehen. Diese Modelle eignen sich für viele Aufgaben und können sowohl in allgemeinen als auch in Hochrisikosystemen zum Einsatz kommen. Damit sind sie in der EU Basis für viele KI-Systeme und äußerst relevant.
Aufgrund dessen müssen GPAI-Systeme laut Artikel 50 eine Reihe von Transparenzvorgaben erfüllen. Das soll systemische Risiken mindern, wenn diese Modelle flächendeckend eingesetzt werden. Diese Transparenzanforderungen umfassen:
- Informieren Nutzender darüber, dass sie mit einem KI-System interagieren
- Einhalten des europäischen Urheberrechts
- Veröffentlichen detaillierter Zusammenfassungen der Inhalte, die für das Training des KI-Systems verwendet wurden
- Modellbewertungen für leistungsfähigere Modelle, in denen Risiken nicht nur bewertet, sondern auch gemindert werden
- Kennzeichnen künstlich erzeugter oder bearbeiteter Bilder
Achtung: Das neue Gesetz berührt bestehende Vorschriften zu personenbezogenen Daten, Produktsicherheit, Verbraucherschutz etc. nicht. Unternehmen sind also nicht von bereits vorhandenen rechtlichen Pflichten entbunden.
Deshalb sollten Unternehmen sich damit beschäftigen
Es ist wichtig, dass Unternehmen sich eine umfassende Übersicht über genutzte beziehungsweise selbst entwickelte KI-Systeme verschaffen. Diese müssen Sie gemäß der im Gesetz festgelegten Risikostufen qualifizieren. Ergibt sich ein Risiko, müssen Sie bewerten, wie sich die zugehörige gesetzliche Vorschrift auf Ihr Unternehmen auswirkt. Das alles sollte möglichst zügig geschehen, damit Sie einen angemessenen Umgang mit diesen Auswirkungen finden und die Ziele des AI Acts umsetzen können.
Was heißt das für Unternehmen?
Besonders relevant ist das KI-Gesetz nicht nur für Führungskräfte mit Managementverantwortung in Bereichen wie Compliance oder Daten-Governance. Auch wer in der Entwicklung, Implementierung und Nutzung von KI-Technologien tätig ist, muss sich mit den neuen Vorgaben auseinandersetzen. Auch Vorstände aus Ausschüssen können von diesem Thema betroffen sein. Konkret heißt das:
Wissensschatz aufbauen:
Unternehmen müssen über alle Hierarchieebenen hinweg ein Bewusstsein und Wissen darüber aufbauen, welche KI-Technologien im Unternehmen zum Einsatz kommen und welche Risiken dabei entstehen. Dazu sind Pläne notwendig, um mit diesen Gefahren richtig umzugehen. Das umfasst auch eine Folgenabschätzung für die Rechte von Betroffenen.
Die Nutzung von KI-Tools kann Ihrem Business ganz neue Möglichkeiten eröffnen – wenn Sie das Implementieren des neuen Werkzeugs richtig angehen. Dabei hilft Ihnen unser Artikel KI im Business: So nutzen Sie künstliche Intelligenz als Freelancer.
Bei der Klassifizierung eines KI-Systems auf Basis der gesetzlich festgelegten Kategorien gilt es, Folgendes zu bedenken: Die Liste verbotener oder hochriskanter Systeme kann stets erweitert werden. Das muss bei der Bewertung unbedingt berücksichtigt werden. Außerdem sind Maßnahmen zu ergreifen, damit eine Erweiterung der Kriterien das Unternehmen nicht unvorbereitet trifft.
Sichere Datenverwaltung:
In diesem Zuge sollten Unternehmen ihre Praktiken zur Datenverwaltung auf den Prüfstand stellen. Das umfasst auch das Implementieren von Prozessen, um die Qualität, Sicherheit sowie den Schutz von Daten zu gewährleisten.
Compliance sicherstellen:
Es bietet sich an, ein eigenes Ethik-Team zu bilden. Dessen Mitglieder überwachen, ob die KI-Praktiken in einem Unternehmen gesetzlich und ethisch vertretbar sind. Außerdem leitet es andere Abteilungen in diesem Bereich zu richtigem handeln an.
Alle Beteiligten einbeziehen:
Dazu ist ein ganzheitlicher Ansatz nötig, der der weit gefassten Definition von KI im Gesetz möglichst entspricht. Alle Beteiligten vom Management bis zu den Mitarbeitenden müssen eng zusammenarbeiten, um sicherzustellen, dass das Unternehmen gesetzeskonform agiert. So gelingt das Implementieren von Standards und Praktiken zum Umgang mit KI-Systemen, ohne das Gesetz aus den Augen zu verlieren. Diese Standards sollten sämtliche Bereiche von der Entwicklung über die Implementierung bis hin zur Wartung umfassen. Am besten verfolgen alle Beteiligten dabei den Ansatz „Security by Design“ – das heißt, alle berücksichtigen das Thema Sicherheit bereits dann, wenn sie KI-Systeme entwickeln.
Interne Vorschriften festlegen:
Unternehmen sind gut beraten, klare interne Regelungen für den Umgang künstlicher Intelligenz festzulegen – selbst, wenn es „nur“ darum geht, ein wenig mit den Möglichkeiten von ChatGPT und Co. zu experimentieren. Das erfordert, den Umgang mit sensiblen Informationen, die Nutzung von KI-generierten Arbeitsergebnissen, Zuständigkeiten und Verantwortlichkeiten einzelner Personen zu klären. Dabei sind auch stets die nötigen Dokumentationserfordernisse zu beachten.
Kompetenz schaffen:
Schulungen sorgen nicht nur für einen kompetenten Umgang mit KI-Tools. Sie fördern außerdem eine offene, moralisch vertretbare Kultur und regen Innovationen an. So bringen Sie technologischen Fortschritt und soziale Verantwortung ins Gleichgewicht.
Das Gespräch suchen:
Wie in so vielen Bereichen gilt auch hier: Kommunikation ist alles. Unternehmen müssen daher den Dialog mit ihren Steakholdern suchen. Das bedeutet umfassende Gespräche mit der Kundschaft, Geschäftspartnerinnen und -partnern über das Thema Künstliche Intelligenz. Verantwortliche sollten mitteilen, wie sie gedenken, gesetzliche Regelungen einzuhalten und sich mit den Erwartungen der einzelnen Parteien auseinandersetzen.
Zeitgemäße Verträge abschließen:
Kaufen Unternehmen KI-Lösungen bei Dritten ein, sind verlässliche Verträge das A und O. Sie sollten den speziellen Gegebenheiten von KI Rechnung tragen. Veraltete Standard-Kaufverträge haben hier nichts verloren.
Vertrauen durch Transparenz:
Anbieterinnen und Anbieter von KI-Systemen sollten den Fokus auf Transparenz im Umgang mit Nutzenden legen. Das schafft Akzeptanz. Zusätzlich können sie die Implementierung des Systems bei Ihren Auftraggebenden besser realisieren.
Regelmäßige Audits und Aktualisierungen:
Systeme sind regelmäßig zu aktualisieren und zu prüfen, um Compliance zu gewährleisten und konsequent für Transparenz zu sorgen
Was droht bei Verstößen?
Nach Artikel 99 des KI-Gesetzes beläuft sich die Höchstgrenze bei Bußgeldern auf 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes – abhängig davon, welcher Betrag höher ist. Kommen verbotene KI-Systeme zum Einsatz, sind auch Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des Umsatzes möglich.
AI Act: Neue Herausforderungen für Unternehmen?
Das KI-Gesetz nimmt neben Anbietenden vor allem Unternehmen in die Pflicht. Diese beschäftigen sich daher am besten frühzeitig mit den neuen Vorgaben. So ist jedes betroffene Business mit Inkrafttreten der Regelungen zukunftssicher aufgestellt und kann das Potenzial künstlicher Intelligenz voll ausschöpfen.