Immer häu­fi­ger nut­zen wir in unse­rem pri­va­ten All­tag künst­li­che Intel­li­genz (KI) – zum Teil bewusst, oft aber auch unbe­wusst. So basie­ren bei­spiels­weise die Gesichts­er­ken­nung im Smart­phone, der Google Über­set­zer oder auch der Spam-Fil­ter Ihres E‑Mail-Post­fachs auf KI. Zahl­rei­che Unter­neh­men haben begon­nen, KI in Unter­neh­mens­pro­zesse und Pro­dukte zu inte­grie­ren, um sich Wett­be­werbs­vor­teile gegen­über der Kon­kur­renz zu sichern. Spä­tes­tens seit der Ver­öf­fent­li­chung von ChatGPT und dem damit ein­her­ge­gan­ge­nen Hype ist KI in aller Munde.

Aber haben Sie auch vom „Euro­pean Union (EU) Arti­fi­cial Intel­li­gence (AI) Act“ gehört, der zukünf­tig den Umgang mit künst­li­cher Intel­li­genz in der Euro­päi­schen Union regeln soll?

Neben inno­va­ti­ven Ein­satz­mög­lich­kei­ten schaf­fen es auch immer wie­der Berichte über Risi­ken künst­li­cher Intel­li­genz in die Medien. Bei­spiele hier­für sind Micro­softs Chat­bot Tay, der auf­grund ras­sis­ti­scher Äuße­run­gen nach nur 16 Stun­den aus dem Netz genom­men wer­den musste, sowie die Erstel­lung gefälsch­ter Bil­der und Video­se­quen­zen mit­hilfe von Deepf­akes.
Um die­sen Risi­ken zu begeg­nen und bes­sere Bedin­gun­gen für die Ent­wick­lung und Nut­zung KI-basier­ter Tech­no­lo­gien zu schaf­fen, hat die Euro­päi­sche Union einen recht­li­chen Rah­men für den Umgang mit künst­li­cher Intel­li­genz erar­bei­tet. Diese Ver­ord­nung wird meist mit ihrem Kurz­ti­tel als „EU AI Act“ bezeichnet.

Die­ser Blog-Bei­trag gibt einen Über­blick über die Kern­aus­sa­gen des EU AI Act und die dar­aus resul­tie­ren­den Anfor­de­run­gen an Unternehmen.

Wann tritt der EU AI Act in Kraft?

Der EU AI Act befin­det sich aktu­ell in der inhalt­li­chen Aus­ar­bei­tung und ist dem­entspre­chend noch nicht in Kraft getre­ten. Alle wei­te­ren Aus­füh­run­gen in die­sem Blog­ar­ti­kel sind daher unter Vor­be­halt zu betrach­ten, da ver­mut­lich noch gewisse Ände­run­gen an der Ver­ord­nung vor­ge­nom­men werden.

Den ers­ten Vor­schlag für die inhalt­li­che Aus­ge­stal­tung des EU AI Act hat die Euro­päi­sche Kom­mis­sion bereits im April 2021 ver­öf­fent­licht. Im Juni 2023 hat das Euro­päi­sche Par­la­ment seine Ver­hand­lungs­po­si­tion zum EU AI Act mit 499 Stim­men dafür, 28 dage­gen und 93 Ent­hal­tun­gen ver­ab­schie­det. Nun müs­sen sich im nächs­ten Schritt die Euro­päi­sche Kom­mis­sion, das Euro­päi­sche Par­la­ment und der Rat der EU in einem Tri­log auf die finale Ver­ord­nung eini­gen. Diese könnte bereits Anfang 2024 in Kraft tre­ten, falls sich der Abstim­mungs­be­darf zwi­schen den Par­teien in Gren­zen hält. Soll­ten sich im Tri­log grö­ßere Dif­fe­ren­zen zwi­schen den Par­teien erge­ben, könnte sich die Ver­ab­schie­dung des EU AI Act verzögern.

Die Mehr­heit der Vor­schrif­ten ist 24 Monate nach Inkraft­tre­ten der Ver­ord­nung ver­pflich­tend anzu­wen­den. Diese Über­gangs­frist soll­ten betrof­fene Unter­neh­men nut­zen, um sich auf die neuen Rah­men­be­din­gun­gen vorzubereiten.

Abbil­dung 1: Vor­aus­sicht­li­che Time­line des EU AI Act

Wer ist vom EU AI Act betroffen?

Gemäss dem ursprüng­li­chen Vor­schlag der Euro­päi­schen Kom­mis­sion gilt die Ver­ord­nung für:

  • Anbie­ter, die KI-Sys­teme in der EU in Ver­kehr brin­gen oder in Betrieb neh­men, unab­hän­gig davon, ob diese Anbie­ter in der Union oder in einem Dritt­land nie­der­ge­las­sen sind;
  • Nut­zer von KI-Sys­te­men, die sich in der EU befinden;
  • Anbie­ter und Nut­zer von KI-Sys­te­men, die in einem Dritt­land nie­der­ge­las­sen oder ansäs­sig sind, wenn das vom Sys­tem her­vor­ge­brachte Ergeb­nis in der Union ver­wen­det wird.

Unter Anbie­tern und Nut­zern wer­den natür­li­che oder juris­ti­sche Per­so­nen, Behör­den, Ein­rich­tun­gen oder sons­tige Stel­len ver­stan­den. Von der Ver­ord­nung aus­ge­schlos­sen sind Nut­zer, die KI-Sys­teme für per­sön­li­che und nicht-beruf­li­che Zwe­cke ver­wen­den. Eben­falls exklu­diert sind KI-Sys­teme, die aus­schließ­lich für mili­tä­ri­sche Zwe­cke ent­wi­ckelt oder ver­wen­det wer­den. An die­ser Stelle ist anzu­mer­ken, dass bereits einige Ände­rungs­vor­schläge des Euro­päi­schen Par­la­ments zu die­sem Absatz der Ver­ord­nung vor­lie­gen. Unter ande­rem sol­len Nut­zer in Betrei­ber umbe­nannt, sowie zusätz­lich Ein­füh­rer und Händ­ler von KI-Sys­te­men ein­ge­schlos­sen werden.

Des Wei­te­ren sollte an die­ser Stelle geklärt wer­den, was das Euro­päi­sche Par­la­ment im Rah­men des AI Acts über­haupt unter künst­li­cher Intel­li­genz ver­steht, da diese Defi­ni­tion den Rah­men der Ver­ord­nung vorgibt.

Ein KI-Sys­tem ist „[]… ein maschi­nen­ge­stütz­tes Sys­tem, das so kon­zi­piert ist, dass es mit unter­schied­li­chem Grad an Auto­no­mie ope­rie­ren kann und das für expli­zite oder impli­zite Ziele Ergeb­nisse wie Vor­her­sa­gen, Emp­feh­lun­gen oder Ent­schei­dun­gen her­vor­brin­gen kann, die das phy­si­sche oder vir­tu­elle Umfeld beeinflussen.“

Die Defi­ni­tion ist sehr all­ge­mein gehal­ten und deckt eine Viel­zahl von Ver­fah­ren und Anwen­dungs­fäl­len ab. Für Bei­spiele von KI-Sys­te­men, die unter diese Defi­ni­tion fal­len, sei auf das nächste Kapi­tel verwiesen.

Wel­che Impli­ka­tio­nen erge­ben sich für Unternehmen?

Der EU AI Act ver­folgt einen risi­ko­ba­sier­ten Ansatz und teilt KI-Sys­teme in drei Kate­go­rien ein:

  • Unan­nehm­ba­res Risiko: Gewisse KI-Sys­teme gel­ten als ver­bo­tene Prak­ti­ken. Dazu gehört bei­spiels­weile die bio­me­tri­sche Echt­zeit-Fern­iden­ti­fi­zie­rung in öffent­lich zugäng­li­chen Räu­men für Zwe­cke der Straf­ver­fol­gung. Auch Social Scoring, die Bewer­tung des sozia­len Ver­hal­tens wie in China, soll ver­bo­ten wer­den. Bei Ver­stö­ßen gegen das Ver­bot müs­sen Unter­neh­men mit Geld­bu­ßen bis zu 30 Mio. € bzw. 6 % des gesam­ten welt­wei­ten Jah­res­um­sat­zes des Vor­jah­res rechnen.
  • Hohes Risiko: Diese KI-Sys­teme stel­len ein hohes Risiko für die Gesund­heit und Sicher­heit oder für die Grund­rechte natür­li­cher Per­so­nen dar. Ihr Ein­satz ist erlaubt, jedoch stark regu­liert. Zu die­ser Kate­go­rie gehö­ren bei­spiels­weise KI-Sys­teme, die für Ver­wal­tung und Betrieb kri­ti­scher Infrastruktur (Stra­ßen­ver­kehr, Strom­ver­sor­gung etc.) ein­ge­setzt wer­den. Auch KI-Sys­teme zur Ein­stel­lung und Aus­wahl von Bewer­bern fal­len in diese Kate­go­rie. Unter­neh­men, die sol­che Hoch­ri­siko-Sys­teme ein­set­zen, müs­sen diverse Anfor­de­run­gen erfül­len. Dazu gehö­ren unter ande­rem die Ein­füh­rung eines Risi­ko­ma­nage­ment­sys­tems, die Erfül­lung von Qua­li­täts­an­sprü­chen an Trai­nings- und Test­da­ten, die Anfer­ti­gung einer tech­ni­schen Doku­men­ta­tion sowie Mög­lich­kei­ten zur mensch­li­chen Auf­sicht des Sys­tems. Bei Nicht­kon­for­mi­tät von KI-Sys­te­men mit den in der Ver­ord­nung fest­ge­leg­ten Anfor­de­run­gen müs­sen Unter­neh­men eben­falls mit Geld­bu­ßen bis zu 30 Mio. € bzw. 6 % des gesam­ten welt­wei­ten Jah­res­um­sat­zes des Vor­jah­res rechnen.
  • Begrenz­tes Risiko: Die dritte Kate­go­rie umfasst KI-Sys­teme mit Trans­pa­renz­an­for­de­run­gen. In diese Kate­go­rie fal­len unter ande­rem Sys­teme, die mit Men­schen inter­agie­ren (z.B. Chat­bots und Sprach­as­sis­ten­ten) oder künst­li­che Inhalte gene­rie­ren, die rea­len Per­so­nen ähneln (z.B. Deepf­akes). Inhalte, die durch ein sol­ches Sys­tem erzeugt wer­den, müs­sen gekenn­zeich­net wer­den, um Trans­pa­renz für End­nut­zer zu schaf­fen. Bei Ver­stö­ßen gegen diese Anfor­de­run­gen wer­den Geld­bu­ßen bis zu 20 Mio. € bzw. 4 % des gesam­ten welt­wei­ten Jah­res­um­sat­zes des Vor­jah­res fällig.

Täti­gen Unter­neh­men fal­sche, unvoll­stän­dige oder irre­füh­rende Aus­sa­gen bezüg­lich ihrer KI-Sys­teme gegen­über zustän­di­gen Stel­len und Behör­den, wer­den Geld­bu­ßen bis zu 10 Mio. € bzw. 2 % des gesam­ten welt­wei­ten Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Geschäfts­jah­res fäl­lig. Dies gilt unab­hän­gig von der Ein­stu­fung des KI-Sys­tems in die oben genann­ten Kategorien.

Abbil­dung 2: Gesichts­er­ken­nung in Echt­zeit an öffent­li­chen Orten soll ver­bo­ten sein.

Wie kön­nen sich Unter­neh­men vorbereiten?

Wie aus dem vor­an­ge­gan­ge­nen Kapi­tel her­vor­geht, schafft der EU AI Act zahl­rei­che Ver­pflich­tun­gen für Unter­neh­men, die KI ein­set­zen. Unter­neh­men soll­ten sich daher recht­zei­tig mit der Umset­zung die­ser Anfor­de­run­gen beschäf­ti­gen, um sich auf das Inkraft­tre­ten der Ver­ord­nung vorzubereiten.

Dabei kön­nen sich Unter­neh­men grob an fol­gen­dem Vor­ge­hens­mo­dell ori­en­tie­ren:

  1. Exper­ten­gruppe bil­den: Bil­den Sie ein Team von Mit­ar­bei­ten­den, das die Ver­ant­wor­tung für die Umset­zung der aus dem AI Act resul­tie­ren­den Anfor­de­run­gen über­nimmt. Kan­di­da­ten hier­für stam­men aus der Rechts­ab­tei­lung, dem Daten­schutz sowie aus der IT oder dem Data Office.
  2. Gesetz­li­che Vor­ga­ben ana­ly­sie­ren: Machen Sie sich mit den gesetz­li­chen Anfor­de­run­gen ver­traut. Zie­hen Sie in die­sem Schritt Ihre Rechts­ab­tei­lung hinzu, um ein kor­rek­tes Ver­ständ­nis der Geset­zes­texte zu gewährleisten.
  3. KI-Sys­teme inven­ta­ri­sie­ren: Erstel­len Sie ein umfas­sen­des Inven­tar der im Unter­neh­men vor­han­de­nen Appli­ka­tio­nen, Modelle und sons­ti­gen Lösun­gen, in denen KI ein­ge­setzt wird.
  4. KI-Sys­teme klas­si­fi­zie­ren: Ord­nen Sie die vor­han­de­nen KI-Sys­teme den in die­sem Arti­kel beschrie­be­nen Risi­ko­ka­te­go­rien zu. Hal­ten Sie diese Zuord­nung in Ihrem KI-Inven­tar fest.
  5. Anfor­de­run­gen umset­zen: Set­zen Sie die gesetz­li­chen Anfor­de­run­gen um, die sich durch die rele­van­ten Risi­ko­ka­te­go­rien ergeben.

Ins­be­son­dere zur Umset­zung der Schritte 3–5 gibt es bereits einige spe­zia­li­sierte Soft­ware-Lösun­gen auf dem Markt. Dar­über hin­aus ist zu erwar­ten, dass auch Anbie­ter von Data Gover­nance und Daten­ka­ta­log­lö­sun­gen ihr Ange­bot um AI Gover­nance Funk­tio­na­li­tä­ten erwei­tern wer­den. So hat bei­spiels­weise unser Soft­ware-Part­ner Col­li­bra bereits ein AI Gover­nance Frame­work erar­bei­tet und arbei­tet an einer Erwei­te­rung der Plattform.

Fazit

Im Fol­gen­den wer­den die Kern­aus­sa­gen die­ses Blog-Arti­kels noch­mals zusammengefasst:

  • Der EU AI Act befin­det sich noch in einem Ent­wurfs­sta­tus und könnte bereits Anfang 2024 in Kraft treten.
  • 24 Monate nach Inkraft­tre­ten der Ver­ord­nung sind die meis­ten dar­aus resul­tie­ren­den Vor­ga­ben für betrof­fene Unter­neh­men verbindlich.
  • KI-Sys­teme wer­den gemäß der Ver­ord­nung in Risi­ko­ka­te­go­rien ein­ge­teilt, aus denen unter­schied­li­che Anfor­de­run­gen an die Lösung resultieren.
  • Bei Nicht­er­fül­lung der gesetz­li­chen Anfor­de­run­gen haben Unter­neh­men hohe Buß­gel­der zu erwarten.

Sie haben noch Fra­gen oder benö­ti­gen Unter­stüt­zung bei der Umset­zung Ihrer AI Gover­nance? Dann kon­tak­tie­ren Sie uns.