Die Umsetzung der EU-KI-Verordnung: Ein Leitfaden für den verantwortungsvollen KI-Einsatz
Der EU AI Act setzt als erstes globales KI-Gesetz Standards für die sichere und rechtlich konforme Nutzung von Künstlicher Intelligenz (KI), mit strengen Regeln für hochriskante Systeme und Verbote für bestimmte Anwendungen. Er bietet Unternehmer:innen nur eine kurze Übergangsfrist, um Compliance sicherzustellen. Dieser Artikel bietet konkrete Handlungsempfehlungen für Digital-, Rechts-, Compliance- und Risikobeauftragte zur Implementierung einer KI-Richtlinie. Die Zeit des Handelns ist jetzt, um den digitalen Wandel verantwortungsvoll zu gestalten.
Der EU AI Act als Meilenstein der globalen KI Regulierung
Der Artificial Intelligence Act (AIA), auf Basis der politischen Einigung Anfang Februar 2024, ist das erste globale KI-Gesetz, das Sicherheit, Legalität und Grundrechte in der KI-Nutzung gewährleistet. Flankiert durch eine KI-Haftungsrichtlinie und die Aktualisierung der Produkthaftungsrichtlinie soll diese umfassende Regulierung innerhalb des Anwendungsbereichs des EU-Rechts Haftungslücken schließen, den Umgang mit Rechtsverletzungen durch KI erleichtern und somit einen stabilen Rechtsrahmen für Unternehmen schaffen, um KI-Systeme zu entwickeln, anzubieten und zu nutzen.
Mit einem risikobasierten Ansatz, verpflichtender Folgenabschätzung und strengen Regeln für hochriskante KI-Systeme, setzt der AIA Standards und gleichzeitig hohe Strafen für die Nichteinhaltung. Verstöße können bis zu 35 Mio. EUR oder 7% des Jahresumsatzes kosten. Die strengen Vorschriften sollen sicherstellen, dass KI-Systeme die Sicherheit und Grundrechte der europäischen Bürger:innen respektiert.
Verbot von KI-Systemen mit unannehmbarem Risiko
In diese Kategorie fallen KI-Systeme, die menschliches Verhalten auf unterschwellige Weise nachteilig beeinflussen, die Ausnutzung von Schwächen schutzbedürftiger Personen ermöglichen, zur Bewertung der Vertrauenswürdigkeit natürlicher Personen („Social Scorings“) oder die zur biometrischen Echtzeitüberwachung im öffentlichen Raum zu Strafverfolgungszwecken eingesetzt werden. Solche KI-Systeme sind verboten, da sie ein erhebliches Risiko für die Grundrechte und Freiheiten darstellen. Die strikten Verbote unterstreichen das Bestreben der EU, alle Bürger:innen in Europa vor den potenziell schädlichen Auswirkungen der KI zu schützen.
Strenge Vorschriften für KI-Systeme mit hohem Risiko
KI-Systeme mit einem hohen Risiko für die Gesundheit, Sicherheit oder Grundrechte der Menschen beeinträchtigen die menschliche Würde, den Schutz personenbezogener Daten oder die Meinungsfreiheit. Für die Gestaltung, Inbetriebnahme und Nutzung dieser KI-Systeme gelten strenge Vorschriften, einschließlich Anforderungen an die Datenqualität, Sicherheit, Dokumentation und menschliche Aufsicht. Der Nachweis der Konformität mit dem AIA inklusive eines Qualitätsmanagement-Systems und einer Validierung des KI-Systems muss durch eine CE-Kennzeichnung sichtbar gemacht werden.
Verhaltenskodizes für KI-Systeme mit geringem/minimalem Risiko
KI-Systeme, die nicht den ersten beiden Kategorien zugeordnet werden, werden in der Klasse mit geringem/minimalem Risiko eingeordnet und unterliegen weniger strengen Anforderungen. Anbieter solcher Systeme werden ermutigt, Verhaltenskodizes zu erstellen und die Regelungen für Hochrisiko-KI-Systeme freiwillig anzuwenden. Der AIA fordert jedoch, dass auch diese KI-Systeme sicher sein müssen, um in den Verkehr gebracht oder betrieben zu werden, wobei Sicherheit durch die freiwillige Anwendung der Hochrisiko-Regelungen gewährleistet werden kann.
Sonderregelung für “General Purpose AI Models”
Neben den drei Hauptkategorien führt der AIA gesonderte Regelungen für General Purpose AI (GPAI) Models ein, die als eigenständige Systeme oder als integraler Bestandteil anderer Systeme angewandt werden können. Grundsätzlich gelten GPAI Modelle als Systeme mit begrenztem Risiko und unterliegen Transparenzpflichten. Jedoch werden GPAI-Modelle als systemisches Risiko klassifiziert, wenn der Rechenaufwand für das Training 10^25 Floating Point Operations (Kurz: FLOPS) übersteigt und damit eine hohe Wirkungsmöglichkeit unterstellt werden muss. Dann ist für GPAI Modelle neben der Bereitstellung technischer Unterlagen und Gebrauchsanweisungen, die Beachtung des Urheberrechts und die transparente Zusammenfassung der für das Training verwendeten Inhalte weitere Verpflichtungen bezüglich der Risikosteuerung und der Gewährleistung der Cybersicherheit zu berücksichtigen.
Verantwortungsvollen Umgang im eigenen Unternehmen regeln
Der AIA definiert strenge Vorschriften für KI-Systeme und sieht hohe Strafen bei Nichteinhaltung vor. Damit werden hohe Compliance-Aufwände für Unternehmen verbunden sein. Diese Maßnahmen, aber vor allem die rasante Geschwindigkeit in der Weiterentwicklung der KI, insbesondere die jüngsten Errungenschaften im Bereich der generativen KI, unterstreichen die innerbetriebliche Notwendigkeit von Leitplanken für einen gesetzeskonformen und ethisch verantwortungsvollen KI-Einsatz (“Trustworthy AI”). Der AIA bietet hierfür eine erste Orientierung, erfordert aber unbedingt Anpassungen an die betriebliche Praxis.
Ein grundsätzliches KI-Verbot halten wir nicht für zeitgemäß und nicht zielführend. Stattdessen sollte der digitale Wandel verantwortungsvoll, gesetzeskonform und im Einklang mit unseren europäischen Werten gestaltet werden, um einen klaren Handlungsrahmen für Mitarbeitende zu schaffen.
10 Tipps und Tricks wie die Erstellung einer KI-Richtlinie für Unternehmen jeder Größenordnung gelingt:
- Definieren Sie klare Rollen und Verantwortungen, indem Sie Digital-, IT-, Rechts-, Informationssicherheits- und Datenschutzverantwortliche aus Ihrem Unternehmen in einer integralen Aufbau- und Ablauforganisation verzahnen.
- Beziehen Sie Betriebsrat und mitbestimmungspflichtige Gremien frühzeitig ein, um Unterstützung und Compliance sicherzustellen.
- Erarbeiten Sie eine verständliche KI-Definition mit praxisnahen Beispielen, um ein gemeinsames Verständnis zu fördern. Achten Sie auf eine technologieneutrale Definition. Entscheidend ist nicht die Technologie, sondern die potentiellen Folgen.
- Bestimmen Sie den Geltungsbereich Ihrer KI-Richtlinie inklusive geografischer, prozessualer und rechtlicher Tragweite sowie möglichen Auswirkungen auf Lieferanten und Dienstleister.
- Definieren Sie Leitlinien für die ethisch verantwortungsvolle Nutzung von KI in Übereinstimmung mit Ihren Unternehmenswerten. Setzen Sie klare Grenzen
(“Rote Linien”). - Binden Sie Fachexpert:innen und Mitarbeitende in die Bewertung der Kritikalität von KI-Systemen ein, richten Sie diese an den Risikoklassen des AIA aus und verzahnen Sie den Prozess mit Ihrem RMS/IKS Regelprozess.
- Stellen Sie konkrete Vorlagen für die Kritikalitätsprüfung neuer KI-Systeme durch Mitarbeitende bereit, um den Prozess der Beantragung zu vereinfachen.
- Formulieren Sie praxisnahe Spielregeln für KI-Nutzung im Arbeitsalltag:
- Beschränken Sie die Anwendung strikt auf berufliche Zwecke und erlauben Sie ausschließlich den Zugriff über unternehmensinterne Konten.
- Beachten Sie stets die AGBs der Tool-Anbieter, vor allem hinsichtlich der Verarbeitung personenbezogener Daten.
- Regeln Sie sorgfältig den Umgang mit sensiblen Informationen.
- Überprüfen Sie die Ergebnisse aus KI-Anwendungen kritisch.
- Achten Sie auf die Einhaltung von Urheberrechten.
- Markieren Sie KI-generierte Inhalte transparent und eindeutig.
- Adressieren Sie rechtliche Fragen. Dazu gehören u.a. Haftungsfragen, das Beweiserhebungs- und Beweisverwertungsverbot gemäß StPO sowie die Klärung von Eigentumsrechten bei der Erzeugung von geistigem Eigentum durch KI-Systeme.
- Legen Sie Konsequenzen bei Nichteinhaltung fest und entwickeln Sie Notfallpläne für kritische Situationen.
- Verankern Sie Ihre KI-Richtlinie durch gezielte Kommunikations- und Trainingsmaßnahmen in Ihrem Unternehmen.
Handeln Sie jetzt!
Die EU-Verhandlungspartner haben die finale Fassung des AIA vorgelegt. In einem geleakten Dokument lässt sich auf 900 Seiten die Einigung zwischen dem Europaparlament und den EU-Mitgliedstaaten nachlesen.
LEAK: Given the massive public attention to the #AIAct, I’ve taken the rather unprecedented decision to publish the final text. The agreed text is on the right-hand side for those unfamiliar with four-column documents. Enjoy the reading! Some context: 1/6https://t.co/0EmhajXB2x
— Luca Bertuzzi (@BertuzLuca) January 22, 2024
Wie geht es jetzt weiter? Die finale Fassung wird offiziell veröffentlicht, gefolgt von Abstimmungen in den Ausschüssen des Europäischen Parlaments und einer Plenarsitzung und Ratssitzung Ende April. Das Gesetz tritt nach formeller Annahme 20 Tage nach Veröffentlichung im Amtsblatt etwa im Mai 2024 in Kraft. Bestimmte Vorschriften, besonders zu unannehmbaren Risiken, gelten zwar bereits sechs Monate nach Inkrafttreten, die Regelungen für allgemeine KI-Systeme gelten jedoch “erst” zwölf bzw. 24 Monaten nach Inkrafttreten. Parallel werden die EU-Mitgliedstaaten den AIA in nationales Recht umsetzen.
Unternehmen haben also nicht viel Zeit, Implikationen zu prüfen und die Übergangsfrist für ein effektives KI-Rahmenwerk zu nutzen. KI kann das Arbeitsleben verbessern, Effizienz steigern und neue Wachstumschancen bieten. Schaffen Sie mit einer KI-Richtlinie einen gesetzeskonformen und ethisch verantwortungsvollen Umgang mit KI. Ergreifen Sie diese Chance und warten Sie nicht länger. Handeln Sie jetzt!