Cookies
Diese Website verwendet Cookies und ähnliche Technologien für Analyse- und Marketingzwecke. Durch Auswahl von Akzeptieren stimmen Sie der Nutzung zu, alternativ können Sie die Nutzung auch ablehnen. Details zur Verwendung Ihrer Daten finden Sie in unseren Datenschutz­hinweisen, dort können Sie Ihre Einstellungen auch jederzeit anpassen.
EinstellungenAkzeptieren
Digital Business

EU AI Act: What are the requirements for the use of AI in companies?

7
Minuten Lesezeit

Notice: This article is written in German.

Eu AI Act im Unternehmen
Michael Gwozdz
Michael Gwozdz
Der EU AI Act schafft einen rechtlichen Rahmen für KI in Europa. Was bedeutet das für Unternehmen und die Entwicklung von KI-Anwendungen? Wir werfen einen Blick auf die Kernpunkte der Verordnung und geben einen Überblick über die notwendigen Anforderungen an KI-Systeme.

Was ist der EU AI Act?

Beim EU AI Act handelt es sich um eine umfassende Verordnung der EU zur Regulierung von Künstlicher Intelligenz. Das Hauptziel dieses Gesetzes ist es, einen einheitlichen Rechtsrahmen für die Entwicklung, den Einsatz und die Nutzung von KI-Systemen zu schaffen. Dabei handelt es sich um ein risikobasiertes Regulierungsmodell, das KI-Anwendungen nach ihrem Risiko kategorisiert.

EU AI Act KI-Verordnung
Abbildung: Übersicht der Risikogruppen im EU AI Act

Das Grundverständnis ist einfach, je höher das Risiko eines KI-Systems, desto höher sind die Anforderungen und Pflichten. Die Regulierung betont in diesem Zusammenhang die Transparenz, Rechenschaftspflicht und menschliche Aufsicht. Auf diese Weise soll sichergestellt werden, dass KI-Systeme vertrauenswürdig sind,  die Entwicklung von KI ethisch vertretbar ist und dass die Innovationskraft der EU gestärkt wird.

Ab wann gilt der EU AI Act?

Der EU AI Act folgt einem gestaffelten Zeitplan für seine Einführung und Umsetzung. Zunächst trat das Gesetz am 1. August 2024 offiziell in Kraft. Das war der Startschuss für die Vorbereitungen auf seine Anwendung. Ein wichtiger Meilenstein folgt am 2. Februar 2025, wenn erste konkrete Bestimmungen des Acts wirksam werden, insbesondere das Verbot bestimmter KI-Systeme. In den darauffolgenden Monaten und Jahren wird der EU AI Act dann schrittweise vollständig implementiert, wobei verschiedene Aspekte des Gesetzes zu unterschiedlichen Zeitpunkten in Kraft treten, um allen Beteiligten eine angemessene Anpassungszeit zu gewähren. Der konkrete Zeitplan kann hier eingesehen werden.

Was sind verbotene KI-Systeme im EU AI Act?

Der EU AI Act definiert in Kapitel II, Artikel 5 eine Reihe von KI-Systemen und -Praktiken als verboten, um die Grundrechte der EU-Bürger:innen zu schützen und ethische Grenzen für den KI-Einsatz zu setzen. Untersagt sind Systeme, die durch Manipulation oder Täuschung das menschliche Verhalten beeinflussen oder Schwachstellen ausnutzen, um Schaden anzurichten. Ebenfalls verboten sind soziales Scoring mit nachteiligen Folgen und biometrische Kategorisierungen, die sensible Merkmale offenlegen (mit Ausnahmen in der Strafverfolgung). Das Verbot erstreckt sich auch auf das ungezielte Sammeln von Gesichtsbildern und die Emotionsanalyse in Arbeits- oder Bildungsumgebungen, außer aus medizinischen oder Sicherheitsgründen. Der Einsatz biometrischer Identifizierungstechnologien in öffentlichen Räumen unterliegt strengen Regulierungen und ist nur in Ausnahmefällen zulässig.

Was sind KI-Systeme mit einem hohen Risiko?

Der EU AI Act definiert Hochrisiko-KI-Systeme als Anwendungen, die ein erhebliches Potenzial haben, die Gesundheit, Sicherheit oder Grundrechte von Menschen zu beeinträchtigen (Kapitel III). Zu den Hochrisiko-KI-Systemen gehören Anwendungen in folgenden Bereichen:

  • Nicht verbotene biometrische Verfahren
  • Kritische Infrastrukturen
  • Allgemeine Bildung und Berufsausbildung
  • Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit
  • Zugang zu und Nutzung von privaten und öffentlichen Diensten und Leistungen
  • Strafverfolgung
  • Migration, Asyl und Grenzkontrollmanagement
  • Rechtspflege und demokratische Prozesse

Diese Anwendungsfälle haben gemein, dass der Einsatz von KI-Systemen in diesen Bereichen direkte und bedeutende Auswirkungen auf Menschen haben können. Sie können beispielsweise Einfluss auf Bildungschancen, Arbeitsmöglichkeiten, persönliche Freiheiten oder den Zugang zu wichtigen Dienstleistungen haben.

Welche Anforderungen gelten für Hochrisiko-KI-Systeme im EU AI Act?

Anbieter von Hochrisiko-KI-Systemen, die nicht grundsätzlich verboten sind gemäß dem EU AI Act, müssen umfangreiche Anforderungen erfüllen:

  • Risikomanagementsystem einrichten und aufrechterhalten
  • Hohe Datenqualität sicherstellen
  • Umfassende technische Dokumentation erstellen und aktualisieren
  • Automatische Aufzeichnung von Systemaktivitäten (Logging) implementieren
  • Ausreichende Transparenz für Nutzer:innen gewährleisten
  • Angemessene menschliche Aufsicht sicherstellen
  • Genauigkeit, Robustheit und Cybersicherheit gewährleisten
  • Konformitätsbewertung vor dem Inverkehrbringen durchführen

Bei Verstößen gegen diese Anforderungen drohen den Unternehmen erhebliche Bußgelder. Die Höhe der Strafen kann je nach Schwere des Verstoßes bis zu mehrere Millionen Euro oder einen prozentualen Anteil des weltweiten Jahresumsatzes betragen. Diese strengen Sanktionen unterstreichen die Bedeutung der Einhaltung der KI-Verordnung und sollen einen verantwortungsvollen Umgang mit der Technologie fördern.

KI-Systeme mit begrenztem Risiko unterliegen weniger strengen Anforderungen. Sie müssen hauptsächlich Transparenzpflichten erfüllen, wie z.B. die Offenlegung, dass ein Nutzer mit einem KI-System interagiert. Beispiele hierfür sind Chatbots oder Systeme zur Erkennung von Deepfakes. KI-Systeme mit minimalem Risiko stellen keine oder nur eine geringe Gefahr für die Rechte oder die Sicherheit der Bürger dar und unterliegen keinen spezifischen Verpflichtungen. Beispiele hierfür sind KI-gestützte Videospiele oder Spamfilter.

Wie sind GPAI-Modell im EU AI Act geregelt?

Der EU AI Act beinhaltet spezifische Regelungen für GPAI-Modelle (Allzweck-KI-Modelle), die ein breites Spektrum von Aufgaben ausführen können. Dazu zählen z. B. große Sprachmodelle (wie ChatGPT oder Dall-E), die im Bereich der generativen KI genutzt werden. Diese Systeme sind für vielfältige Zwecke einsetzbar und in verschiedene Anwendungen integrierbar.

GPAI-Anbieter müssen nach der KI-Verordnung eine detaillierte technische Dokumentation erstellen und eine Zusammenfassung der Trainingsinhalte veröffentlichen. Sie sind verpflichtet, nachgelagerten Anbietern umfassende Informationen zur Integration bereitzustellen und eine Compliance zur Einhaltung der Urheberrechtsrichtlinie zu entwickeln. Bei GPAI-Modellen, die systemische Risiken mit sich bringen, gelten noch zusätzliche Anforderungen.

Bei der Integration von GPAI in Hochrisiko-KI-Systeme ist eine enge Zusammenarbeit zwischen GPAI-Anbietern und Anwendungsentwickelnden erforderlich. Wichtig zu beachten ist, dass GPAI-Systeme nicht automatisch als Hochrisiko eingestuft werden; ihre Risikobewertung hängt von der spezifischen Anwendung ab.

Wie gelingt eine EU AI Act-konforme Entwicklung und Nutzung von KI-Systemen im Unternehmen?

Um die im EU AI Act geforderten Kompetenzen für den Umgang mit Künstlicher Intelligenz zu entwickeln, besonders im Umgang mit Hochrisiko-KI-Systemen, können verschiedene Maßnahmen helfen, um den Anforderungen gerecht zu werden und eine strukturierte Einführung von KI-Anwendungen zu ermöglichen:

  • Aufbau einer KI-Governance-Struktur mit ethischen Richtlinien, Risikomanagement und klaren Verantwortlichkeiten.
  • Schulungsprogramme, um Mitarbeitende in KI-Technologien, Datenethik und regulatorischen Anforderungen zu schulen.
  • Einstellung von Fachkräften für den Aufbau eines kompetenten KI-Teams.
  • Partnerschaften mit externen Expert:innen, um den Zugang zu aktuellem Wissen und innovativen Ansätzen zu erleichtern.
  • Aufbau interner Wissensplattformen, um den Austausch von Wissen und Best Practices unter den Mitarbeitenden zu teilen.
  • Regelmäßige Audits helfen dabei Fortschritte zu überwachen und Anpassungen vorzunehmen.

Für Unternehmen ist es sinnvoll, sich frühzeitig mit den Regelungen der KI-Verordnung auseinanderzusetzen. Möglicherweise sind bereits KI-Systeme (z.B. GPAI-Modelle) von anderen Unternehmen im Einsatz. Hier kann man in einem ersten Schritt mit einer Bestandsaufnahme beginnen und sich daraus Verpflichtungen ableiten.

Fazit

Der EU AI Act schafft einen einheitlichen Rechtsrahmen für Künstliche Intelligenz in der EU, der Innovationen fördert und Grundrechte schützt. Für Unternehmen bedeutet dies die Notwendigkeit, KI-Systeme zu evaluieren und an die neuen Compliance-Anforderungen anzupassen. Eine frühzeitige Auseinandersetzung mit der KI-Verordnung ermöglicht eine strategische Positionierung und Wettbewerbsvorteile. Trotz anfänglicher Herausforderungen bietet die Verordnung die Chance, das Vertrauen in Künstliche Intelligenz zu stärken. Proaktiv handelnde Unternehmen können von den neuen Regelungen profitieren und sich als Vorreiter im ethischen Umgang mit KI etablieren.

29.8.2024
Generative KI Anwendungen Use Cases
Digital Business

Generative AI - the first steps towards your own use case

KI im Unternehmen Generative KI GenAI
Digital Business

AI in companies - challenges and necessary prerequisites

ChatGPT GDPR data protection
Digital Business

Use ChatGPT in your company in compliance with GDPR

Partner für digitale Geschäftsmodelles

Are you looking for the right partner for your digital projects?

Let's talk!