#ArtificialIntelligence #AIAct #ITGovernance #GenAI
Am 21. Mai 2024 hat der Rat der Europäischen Union die KI-Verordnung (AI Act) verabschiedet. Dieses wegweisende Gesetz, das weltweit erste seiner Art, setzt klare und einheitliche Richtlinien für die Entwicklung und Nutzung von künstlicher Intelligenz in der Europäischen Union fest. Es ist der weltweit erste kodifizierte Standard zur Entwicklung und dem Einsatz von Künstlicher Intelligenz (KI) und hat den Anspruch, Regeln für die verantwortungsvolle und rechtskonforme Entwicklung und Anwendung von KI zu schaffen – mit strikten Regeln für Hochrisikosysteme bis hin zu einem Verbot von gewissen Anwendungsfällen. Selbst wenn Sie KI bisher nur in geringem Maße nutzen, ist Handlungsbedarf gegeben: Die gestaffelten Übergangsfristen bis spätestens Mitte 2026 sind kurz!
Die EU verfolgt dabei im Rahmen des AI Acts einen risikobasierten Ansatz: Je höher die Wahrscheinlichkeit negativer Effekte auf Gesundheit, Sicherheit oder auf Grundrechte durch ein KI-System, desto stärker wird die das System reguliert. KI-Systeme, deren Nutzung im Widerspruch zu Grundrechten oder EU-Werten stehen, werden ganz verboten.
Zu den verbotenen KI-Praktiken gehören insbesondere KI-Systeme, welche menschliches Verhalten unterschwellig beeinträchtigen, Verletzlichkeit besonders verwundbarer Personen ausnutzen oder zur Beurteilung der Vertrauenswürdigkeit natürlicher Personen anwenden, bspw. durch Social Scoring oder Emotionserkennung am Arbeitsplatz. Dieser Verbotsansatz unterstreicht die Intention der EU, ihre Bürger von potenziell schädlichen Effekten einer KI zu schützen.
Für die Entwicklung, Bereitstellung und Nutzung von hochrisikobehafteten KI-Systemen gelten strenge Anforderungen, z.B. an Datenschutz, Datenqualität, Sicherheit und Dokumentation. Konformität mit dem AI Act muss nachgewiesen werden: Insbesondere ein implementiertes Qualitäts-Management-Verfahren und ein Verfahren zur Validierung des KI-Systems (präventives Risikomanagement). Von hoher Bedeutung ist die Haftbarkeit des anwendenden Unternehmens im Falle fehlerhafter Ergebnisse der KI-Systeme. Als Kontrollanforderung gilt in derart gelagerten Fällen, dass ein Hochrisiko-KI-System von einem Menschen überwacht werden muss. Die technischen Schlagworte „Explainability“ und „Interpretability“ werden somit in der Modellentwicklung immer wichtiger!
KI-Systeme, die nicht in die zuvor erwähnten Kategorien fallen, profitieren von weniger strengen Regulierungsanforderungen. Anbieter und Betreiber von KI-Systemen mit direkter Interaktion mit natürlichen Personen müssen transparent über künstlich generierte Inhalte oder KI-basierte Entscheidungen informieren und diese durch eine Transparenzpflicht als KI-generiert kennzeichnen, z.B. Chatbots und Deepfakes. Dieses aktive Erfordernis entfällt, wenn es aus dem Kontext ersichtlich ist. Darüber hinaus greifen in diesen Fällen weiterhin andere gesetzliche Regelungen, z.B. zum Datenschutz.
KI-Systeme mit allgemeinem Verwendungszweck („General Purpose AI“ – GPAI) unterliegen ebenfalls einer Regulierung. Darunter fallen KI-Systeme, welche vom Anbieter entwickelt wurden, um allgemein anwendbare Funktionen (bspw. Bild- und Spracherkennung oder Textgenerierung) auszuführen und zunächst unabhängig vom konkreten Anwendungsfall sind. Grundsätzlich werden technische Dokumentation, Transparenz bezüglich verwendeter Trainingsdaten und weitere Anforderungen zum Risikomanagement sowie zur Cyber-Security vorausgesetzt. Je nach benötigter Rechenkapazität zum Trainieren des Modells können derartige KI-Systeme aber als Hochrisiko-KI-Systeme klassifiziert werden.
Durch den AI-Act schafft die EU vor allem Rechtssicherheit, mit der die Entwicklung und die Einführung von KI-Systemen in Unternehmen befördert werden kann. Damit KI-Systeme aber erfolgreich (weiter)entwickelt und in Unternehmen eingesetzt werden, sind klare Regeln für Ihr Unternehmen und dessen Mitarbeiter notwendig. Hilfreiche Orientierung für Sie bietet unser Dekalog für die Einführung einer KI-Governance.
Im Optimalfall ergeben sich Synergien, wenn Aktivitäten im Kontext AI-Act mit weiteren Umsetzungsvorhaben zu anderen regulatorischen Themen synchronisiert werden (bspw. NIS-2, DORA, DSGVO, …). Ein entsprechendes Setup verhindert, dass Arbeiten ggf. mehrfach ausgeführt werden und fördert zudem den ganzheitlichen Blick auf die IT-Landschaft des Unternehmens.
Unser Leistungsangebot unterstützt Sie und Ihr Unternehmen dabei, sich optimal auf die Regelungen im AI-Act vorzubereiten und diese erfolgreich umzusetzen. Wir bieten umfassende Beratung und maßgeschneiderte Lösungen, die von der Reifefeststellung über Risikobewertung bis hin zur Implementierung von Best Practices reichen. Unser Expertenteam hilft Ihnen, die Vorteile der KI-Technologie voll auszuschöpfen, während Sie gleichzeitig die gesetzlichen Vorgaben einhalten. Lassen Sie uns gemeinsam sicherstellen, dass Sie und Ihr Unternehmen nicht nur konform, sondern auch innovativ und zukunftssicher bleiben!
Dr. David Bauder
E-Mail: david.bauder@horn-company.de
Dr. Oliver Laitenberger
E-Mail: oliver.laitenberger@horn-company.de
Ihr Tor zu Branchenkenntnissen und Expertenanalysen! Folgen Sie uns auf LinkedIn für exklusive Fachartikel und Einblicke.