Das EU-KI-Gesetz wurde von den Mitgliedsstaaten einstimmig angenommen und wird im Allgemeinen in zwei Jahren vollständig anwendbar sein. Diese bahnbrechende Gesetzgebung ist die erste weltweit, die Regeln für künstliche Intelligenz und ihre Nutzung aufstellt – ähnlich wie die GDPR die Messlatte für die Regulierung des Datenschutzes gesetzt hat.

Jedes Unternehmen, das in der Europäischen Union KI einsetzt, wird von dem EU-KI-Gesetz betroffen sein. Und wie bei der GDPR sind die Strafen für die Nichteinhaltung hart. Die schlimmsten Verstöße werden mit Geldbußen von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes bestraft. Das übergeordnete Ziel des EU-KI-Gesetzes ist es, ethische Standards und menschliche Aufsicht über die Nutzung von KI einzuführen, um die Bürger vor potenziellen Gefahren zu schützen. Sicherlich kann die KI viele Herausforderungen mit geringem Risiko lösen. Bestimmte KI-Anwendungen haben jedoch das Potenzial, den Menschenrechten und der Gesellschaft erheblichen Schaden zuzufügen – und genau darauf konzentrieren sich die neuen Regeln.

Viele Unternehmen haben bereits selbst Maßnahmen ergriffen, um eine verantwortungsvolle Nutzung sicherzustellen, und benötigen möglicherweise nur relativ kleine Änderungen, um die Einhaltung der Vorschriften zu demonstrieren. Wenn Sie jedoch keine KI-Risiken in Betracht gezogen oder keinen Plan für den Einsatz von KI entwickelt haben, müssen Sie Ihre Position bewerten und bestimmen, was zur Einhaltung der Vorschriften erforderlich ist. AI
KI-Risiko und was es bedeutet

Risiko und was es bedeutet

Das KI-Gesetz der EU verbietet einige Anwendungen von KI ganz und gar. Und wenn sie erlaubt ist, muss die Nutzung verantwortungsvoll, offen und transparent sein. Die Regeln kategorisieren KI-Risiken nach ihrem Schadenspotenzial. Es gibt vier Hauptkategorien:

Verbotene Risiken. Dies ist die schwerste Kategorie. KI-Systeme, die eine eindeutige Bedrohung für die Sicherheit, die grundlegenden Menschenrechte oder die Lebensgrundlage eines Menschen darstellen, sind inakzeptabel. Sie können biometrische Daten zum Beispiel nicht verwenden, um die Rasse, die sexuelle Orientierung, den Glauben oder die Gewerkschaftszugehörigkeit einer Person zu verfolgen. Sie können keine Datenbank erstellen, indem Sie Gesichtsbilder aus dem Internet oder von Überwachungskameras abgreifen. Social Scoring ist ebenfalls verboten.

  • Was zu tun ist: Stellen Sie fest, ob Sie KI auf verbotene Weise einsetzen.
  • Wann: Sie haben sechs Monate nach der Einreise Zeit, die Vorschriften zu erfüllen.

Hohes Risiko. Diese Kategorie ist stark reguliert und umfasst KI-Systeme, die in kritischen Infrastrukturen eingesetzt werden, die die Gesundheit der Bürger gefährden könnten (z.B. öffentlicher Nahverkehr), Sicherheitskomponenten von Produkten (z.B. KI-unterstützte Chirurgie), Ausbildung, die den Verlauf des Lebens eines Menschen bestimmen könnte (z.B. Testauswertung), Beschäftigung (z.B. Lebenslaufprüfung) und wesentliche Dienstleistungen (z.B. Kreditauswertung).

  • Was zu tun ist: Diese Systeme müssen strenge Anforderungen erfüllen, bevor sie auf den Markt kommen können. Sie müssen über definierte Prozesse zur Risikobewertung und -minderung, für Data Governance und Schulungen sowie zur Dokumentation der Compliance verfügen. Die Systeme müssen auch über eine angemessene menschliche Aufsicht und eine robuste Cybersicherheit verfügen.
  • Wann: Sie haben 24 Monate nach der Einreise Zeit, die Vorschriften zu erfüllen.

Ein praktischer Blick auf hochriskante KI-Systeme

Wenn Sie ein KI-System entwickeln, das von der Regulierung als risikoreich eingestuft wird, müssen Sie bestimmte Schritte durchlaufen, um eine Zulassung zu erhalten, bevor Sie die Technologie auf den Markt bringen können.

  1. Bewerten Sie das System, um sicherzustellen, dass es die AI-Anforderungen erfüllt, und benachrichtigen Sie das zuständige Gremium.
  2. Registrieren Sie das KI-System in einer EU-Datenbank.
  3. Unterzeichnen Sie eine Konformitätserklärung und kennzeichnen Sie das System als genehmigt.

Sobald das System auf dem Markt ist, müssen Sie schwerwiegende Vorfälle und eventuelle Fehlfunktionen melden und die menschliche Aufsicht sicherstellen. Die Behörden werden den Markt weiterhin beaufsichtigen.

Begrenztes Risiko. Diese Kategorie ist nur geringfügig reguliert und bezieht sich in erster Linie auf Risiken, die mit mangelnder Transparenz bei der Nutzung von KI verbunden sind. Menschen müssen zum Beispiel informiert werden, wenn KI zur Steuerung von Chatbots eingesetzt wird, damit sie entscheiden können, ob sie die Interaktion fortsetzen oder beenden möchten. Unternehmen müssen auch KI-generierte Inhalte als solche erkennen. Diese Kennzeichnung gilt sowohl für Text als auch für Audio- und Videoinhalte.

  • Was zu tun ist: Stellen Sie fest, wie Sie KI einsetzen und welche Inhalte/Interaktionen gekennzeichnet werden müssen.
  • Wann: Sie haben 36 Monate nach der Einreise Zeit, die Vorschriften zu erfüllen.

Minimales oder gar kein Risiko. Diese Kategorie umfasst die allgemeine KI-Nutzung, die keinen bestimmten Zweck verfolgt. Die meisten der heutigen KI-Systeme fallen in diese Kategorie.

  • Was zu tun ist: Die Nutzung ist zwar nicht eingeschränkt, aber das EU-KI-Gesetz verlangt eine Selbsteinschätzung und Minderung der systemischen Risiken, technische Dokumentation, Gebrauchsanweisungen, Einhaltung des Urheberrechts und menschliche Aufsicht über Systeme wie Chatbots. Alle Anbieter dieser Modelle müssen gegnerische Tests durchführen, schwerwiegende Vorfälle melden und sicherstellen, dass angemessene Cybersicherheitsmaßnahmen vorhanden sind. Systeme mit minimalem Risiko wie Spiele und Spamfilter können frei verwendet werden.
  • Wann: Sie haben 12 Monate nach der Einreise Zeit, die Vorschriften zu erfüllen.

So fangen Sie an

Angesichts der bevorstehenden Fristen sollten Sie sich jetzt Zeit nehmen, um sich über Ihre rechtlichen Verpflichtungen und Ihr weiteres Vorgehen zu informieren.

1. Führen Sie eine Lückenanalyse durch, um festzustellen, welche Änderungen an Ihren Datenverwaltungsstrukturen, Richtlinien, Risikobewertungsprozessen usw. erforderlich sind, damit Sie die Vorschriften einhalten und den Aufsichtsbehörden eine angemessene Dokumentation vorlegen können.

2. Operationalisieren Sie Ihre Prozesse, um die erforderlichen Schritte einzuführen und die Abstimmung im gesamten Unternehmen sicherzustellen. Die Anforderungen sollten in die bestehenden Compliance-Abläufe des Unternehmens eingebettet werden. Und es sollten regelmäßige Kontrollen stattfinden, um die Risiken neu zu bewerten, falls sich die Kategorie ändert.

3. Weisen Sie dem Vorstand, der Geschäftsleitung, den Managern usw. entsprechend Ihrer Kultur und den bestehenden Praktiken Verantwortlichkeiten für Risikobewertung, -verfolgung, -kennzahlen, -überwachung und -einhaltung zu. Überlegen Sie, wer benachrichtigt wird, wenn es ein Problem gibt.

4. Investieren Sie in KI-Kenntnisse, indem Sie Ihre Mitarbeiter über KI-Ethik und die Besonderheiten des EU-KI-Gesetzes schulen. Datenwissenschaftler und Ingenieure benötigen wahrscheinlich eine spezielle Ausbildung und Entwicklung für ihre Aufgaben.

Der Weg in die Zukunft. Das EU-KI-Gesetz: Was Sie jetzt wissen müssen .

Der Weg nach vorn

Künstliche Intelligenz – und insbesondere generative KI – entwickelt sich rasend schnell, und das EU-KI-Gesetz ist so konzipiert, dass es sich an den künftigen technologischen Wandel anpasst. Eine Konstante ist jedoch, dass KI-Anwendungen vertrauenswürdig bleiben sollten, und die Anbieter müssen die Risiken während des gesamten Lebenszyklus der Anwendung weiterhin bewerten und abmildern.

Die Vorstände und die Geschäftsleitung sind letztlich dafür verantwortlich, das Unternehmen vor Risiken zu schützen, auch vor regulatorischen und Reputationsrisiken. Und in einer perfekten Welt würden sie das EU-KI-Gesetz als einen Ausgangspunkt betrachten, um die Vertrauenswürdigkeit der Marke zu stärken. Praktisch gesehen könnte es jedoch schwierig sein, dieses Ideal zu erreichen. Konkurrierende Prioritäten und begrenzte Ressourcen können dazu führen, dass sich die Maßnahmen darauf beschränken, das Notwendige zu tun, um die Einhaltung der Vorschriften zu überprüfen.

Unabhängig davon, welchen Weg Sie einschlagen, müssen die Führungskräfte an der Bewertung der Risiken und der Festlegung der richtigen Vorgehensweise beteiligt sein, denn bei Nichteinhaltung drohen empfindliche Geldstrafen. Technologie-Tools können dabei helfen, indem sie eine einheitliche Methode zur Bewertung von Risiken, zur Überwachung von Maßnahmen, zur Verfolgung von Metriken und zur funktionsübergreifenden Zusammenarbeit bieten. Aber dieses Gesetz ist keine Verordnung, die man einfach so beschließt und die man wieder vergisst. Selbst etwas so Einfaches wie die Bereitstellung unvollständiger oder irreführender Informationen kann eine Geldstrafe von 7 Millionen Euro oder 1 % des weltweiten Jahresumsatzes nach sich ziehen.

KI bietet aufregende Möglichkeiten, und Unternehmen können und sollten weiterhin innovativ sein. Das EU-KI-Gesetz stellt sicher, dass die Mitglieder der Gesellschaft – individuell und kollektiv – die Vorteile aktueller und zukünftiger KI-Fähigkeiten genießen können, ohne Angst vor der dunklen Seite zu haben.

Wenn Sie mehr über effiziente Corporate Compliance erfahren möchten, laden Sie unser eBook Transforming Compliance from Check-the-Box to Champion herunter und testen Sie die Compliance-Softwarelösung von Riskonnect.