Immer häufiger nutzen wir in unserem privaten Alltag künstliche Intelligenz (KI) – zum Teil bewusst, oft aber auch unbewusst. So basieren beispielsweise die Gesichtserkennung im Smartphone, der Google Übersetzer oder auch der Spam-Filter Ihres E‑Mail-Postfachs auf KI. Zahlreiche Unternehmen haben begonnen, KI in Unternehmensprozesse und Produkte zu integrieren, um sich Wettbewerbsvorteile gegenüber der Konkurrenz zu sichern. Spätestens seit der Veröffentlichung von ChatGPT und dem damit einhergegangenen Hype ist KI in aller Munde.
Aber haben Sie auch vom „European Union (EU) Artificial Intelligence (AI) Act“ gehört, der zukünftig den Umgang mit künstlicher Intelligenz in der Europäischen Union regeln soll?
Neben innovativen Einsatzmöglichkeiten schaffen es auch immer wieder Berichte über Risiken künstlicher Intelligenz in die Medien. Beispiele hierfür sind Microsofts Chatbot Tay, der aufgrund rassistischer Äußerungen nach nur 16 Stunden aus dem Netz genommen werden musste, sowie die Erstellung gefälschter Bilder und Videosequenzen mithilfe von Deepfakes.
Um diesen Risiken zu begegnen und bessere Bedingungen für die Entwicklung und Nutzung KI-basierter Technologien zu schaffen, hat die Europäische Union einen rechtlichen Rahmen für den Umgang mit künstlicher Intelligenz erarbeitet. Diese Verordnung wird meist mit ihrem Kurztitel als „EU AI Act“ bezeichnet.
Dieser Blog-Beitrag gibt einen Überblick über die Kernaussagen des EU AI Act und die daraus resultierenden Anforderungen an Unternehmen.
Wann tritt der EU AI Act in Kraft?
Der EU AI Act befindet sich aktuell in der inhaltlichen Ausarbeitung und ist dementsprechend noch nicht in Kraft getreten. Alle weiteren Ausführungen in diesem Blogartikel sind daher unter Vorbehalt zu betrachten, da vermutlich noch gewisse Änderungen an der Verordnung vorgenommen werden.
Den ersten Vorschlag für die inhaltliche Ausgestaltung des EU AI Act hat die Europäische Kommission bereits im April 2021 veröffentlicht. Im Juni 2023 hat das Europäische Parlament seine Verhandlungsposition zum EU AI Act mit 499 Stimmen dafür, 28 dagegen und 93 Enthaltungen verabschiedet. Nun müssen sich im nächsten Schritt die Europäische Kommission, das Europäische Parlament und der Rat der EU in einem Trilog auf die finale Verordnung einigen. Diese könnte bereits Anfang 2024 in Kraft treten, falls sich der Abstimmungsbedarf zwischen den Parteien in Grenzen hält. Sollten sich im Trilog größere Differenzen zwischen den Parteien ergeben, könnte sich die Verabschiedung des EU AI Act verzögern.
Die Mehrheit der Vorschriften ist 24 Monate nach Inkrafttreten der Verordnung verpflichtend anzuwenden. Diese Übergangsfrist sollten betroffene Unternehmen nutzen, um sich auf die neuen Rahmenbedingungen vorzubereiten.
Wer ist vom EU AI Act betroffen?
Gemäss dem ursprünglichen Vorschlag der Europäischen Kommission gilt die Verordnung für:
- Anbieter, die KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen, unabhängig davon, ob diese Anbieter in der Union oder in einem Drittland niedergelassen sind;
- Nutzer von KI-Systemen, die sich in der EU befinden;
- Anbieter und Nutzer von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das vom System hervorgebrachte Ergebnis in der Union verwendet wird.
Unter Anbietern und Nutzern werden natürliche oder juristische Personen, Behörden, Einrichtungen oder sonstige Stellen verstanden. Von der Verordnung ausgeschlossen sind Nutzer, die KI-Systeme für persönliche und nicht-berufliche Zwecke verwenden. Ebenfalls exkludiert sind KI-Systeme, die ausschließlich für militärische Zwecke entwickelt oder verwendet werden. An dieser Stelle ist anzumerken, dass bereits einige Änderungsvorschläge des Europäischen Parlaments zu diesem Absatz der Verordnung vorliegen. Unter anderem sollen Nutzer in Betreiber umbenannt, sowie zusätzlich Einführer und Händler von KI-Systemen eingeschlossen werden.
Des Weiteren sollte an dieser Stelle geklärt werden, was das Europäische Parlament im Rahmen des AI Acts überhaupt unter künstlicher Intelligenz versteht, da diese Definition den Rahmen der Verordnung vorgibt.
Ein KI-System ist „[]… ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren kann und das für explizite oder implizite Ziele Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das physische oder virtuelle Umfeld beeinflussen.“
Die Definition ist sehr allgemein gehalten und deckt eine Vielzahl von Verfahren und Anwendungsfällen ab. Für Beispiele von KI-Systemen, die unter diese Definition fallen, sei auf das nächste Kapitel verwiesen.
Welche Implikationen ergeben sich für Unternehmen?
Der EU AI Act verfolgt einen risikobasierten Ansatz und teilt KI-Systeme in drei Kategorien ein:
- Unannehmbares Risiko: Gewisse KI-Systeme gelten als verbotene Praktiken. Dazu gehört beispielsweile die biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen für Zwecke der Strafverfolgung. Auch Social Scoring, die Bewertung des sozialen Verhaltens wie in China, soll verboten werden. Bei Verstößen gegen das Verbot müssen Unternehmen mit Geldbußen bis zu 30 Mio. € bzw. 6 % des gesamten weltweiten Jahresumsatzes des Vorjahres rechnen.
- Hohes Risiko: Diese KI-Systeme stellen ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen dar. Ihr Einsatz ist erlaubt, jedoch stark reguliert. Zu dieser Kategorie gehören beispielsweise KI-Systeme, die für Verwaltung und Betrieb kritischer Infrastruktur (Straßenverkehr, Stromversorgung etc.) eingesetzt werden. Auch KI-Systeme zur Einstellung und Auswahl von Bewerbern fallen in diese Kategorie. Unternehmen, die solche Hochrisiko-Systeme einsetzen, müssen diverse Anforderungen erfüllen. Dazu gehören unter anderem die Einführung eines Risikomanagementsystems, die Erfüllung von Qualitätsansprüchen an Trainings- und Testdaten, die Anfertigung einer technischen Dokumentation sowie Möglichkeiten zur menschlichen Aufsicht des Systems. Bei Nichtkonformität von KI-Systemen mit den in der Verordnung festgelegten Anforderungen müssen Unternehmen ebenfalls mit Geldbußen bis zu 30 Mio. € bzw. 6 % des gesamten weltweiten Jahresumsatzes des Vorjahres rechnen.
- Begrenztes Risiko: Die dritte Kategorie umfasst KI-Systeme mit Transparenzanforderungen. In diese Kategorie fallen unter anderem Systeme, die mit Menschen interagieren (z.B. Chatbots und Sprachassistenten) oder künstliche Inhalte generieren, die realen Personen ähneln (z.B. Deepfakes). Inhalte, die durch ein solches System erzeugt werden, müssen gekennzeichnet werden, um Transparenz für Endnutzer zu schaffen. Bei Verstößen gegen diese Anforderungen werden Geldbußen bis zu 20 Mio. € bzw. 4 % des gesamten weltweiten Jahresumsatzes des Vorjahres fällig.
Tätigen Unternehmen falsche, unvollständige oder irreführende Aussagen bezüglich ihrer KI-Systeme gegenüber zuständigen Stellen und Behörden, werden Geldbußen bis zu 10 Mio. € bzw. 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres fällig. Dies gilt unabhängig von der Einstufung des KI-Systems in die oben genannten Kategorien.
Wie können sich Unternehmen vorbereiten?
Wie aus dem vorangegangenen Kapitel hervorgeht, schafft der EU AI Act zahlreiche Verpflichtungen für Unternehmen, die KI einsetzen. Unternehmen sollten sich daher rechtzeitig mit der Umsetzung dieser Anforderungen beschäftigen, um sich auf das Inkrafttreten der Verordnung vorzubereiten.
Dabei können sich Unternehmen grob an folgendem Vorgehensmodell orientieren:
- Expertengruppe bilden: Bilden Sie ein Team von Mitarbeitenden, das die Verantwortung für die Umsetzung der aus dem AI Act resultierenden Anforderungen übernimmt. Kandidaten hierfür stammen aus der Rechtsabteilung, dem Datenschutz sowie aus der IT oder dem Data Office.
- Gesetzliche Vorgaben analysieren: Machen Sie sich mit den gesetzlichen Anforderungen vertraut. Ziehen Sie in diesem Schritt Ihre Rechtsabteilung hinzu, um ein korrektes Verständnis der Gesetzestexte zu gewährleisten.
- KI-Systeme inventarisieren: Erstellen Sie ein umfassendes Inventar der im Unternehmen vorhandenen Applikationen, Modelle und sonstigen Lösungen, in denen KI eingesetzt wird.
- KI-Systeme klassifizieren: Ordnen Sie die vorhandenen KI-Systeme den in diesem Artikel beschriebenen Risikokategorien zu. Halten Sie diese Zuordnung in Ihrem KI-Inventar fest.
- Anforderungen umsetzen: Setzen Sie die gesetzlichen Anforderungen um, die sich durch die relevanten Risikokategorien ergeben.
Insbesondere zur Umsetzung der Schritte 3–5 gibt es bereits einige spezialisierte Software-Lösungen auf dem Markt. Darüber hinaus ist zu erwarten, dass auch Anbieter von Data Governance und Datenkataloglösungen ihr Angebot um AI Governance Funktionalitäten erweitern werden. So hat beispielsweise unser Software-Partner Collibra bereits ein AI Governance Framework erarbeitet und arbeitet an einer Erweiterung der Plattform.
Fazit
Im Folgenden werden die Kernaussagen dieses Blog-Artikels nochmals zusammengefasst:
- Der EU AI Act befindet sich noch in einem Entwurfsstatus und könnte bereits Anfang 2024 in Kraft treten.
- 24 Monate nach Inkrafttreten der Verordnung sind die meisten daraus resultierenden Vorgaben für betroffene Unternehmen verbindlich.
- KI-Systeme werden gemäß der Verordnung in Risikokategorien eingeteilt, aus denen unterschiedliche Anforderungen an die Lösung resultieren.
- Bei Nichterfüllung der gesetzlichen Anforderungen haben Unternehmen hohe Bußgelder zu erwarten.
Sie haben noch Fragen oder benötigen Unterstützung bei der Umsetzung Ihrer AI Governance? Dann kontaktieren Sie uns.