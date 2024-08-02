Das EU-Gesetz zur künstlichen Intelligenz (EU AI Act) trat am 1. August in Kraft. Der EU AI Act ist eine der ersten Vorschriften für künstliche Intelligenz, die in einem der größten Märkte der Welt eingeführt wurde. Was wird sich für Unternehmen ändern?
Die Europäische Union (EU) ist der erste große Markt, der neue Regeln für KI festlegt.
„Das Ziel ist es laut EU-Beamten, die EU zu einem globalen Zentrum für vertrauenswürdige KI zu machen.“
Das KI-Gesetz verfolgt einen risikobasierten Ansatz, das heißt, es kategorisiert Anträge nach ihrem potenziellen Risiko für Grundrechte und Sicherheit. Einige der wichtigsten Bestimmungen umfassen: ein Verbot bestimmter KI-Praktiken, die als unannehmbares Risiko gelten, Standards für die Entwicklung und Bereitstellung bestimmter KI-Systeme mit hohem Risiko und Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI). KI-Systeme, die nicht in eine der Risikokategorien des EU AI Act fallen, unterliegen nicht den Anforderungen des Gesetzes (diese werden oft als „minimale Risikokategorie“ bezeichnet), obwohl einige von ihnen möglicherweise Transparenzverpflichtungen erfüllen müssen und sie andere bestehende Gesetze einhalten müssen.
„Es handelt sich um eine Form des regulatorischen Pragmatismus, der darauf abzielt, die Beschränkungen an das jeweilige Risikoniveau anzupassen“, erklärt Bruno Massot, Vice President, Assistant General Counsel und Head of Legal IBM Europe.
Nach diesen neuen Regeln werden bestimmte KI-Anwendungen verboten, die die Rechte der Bürger und Bürgerinnen gefährden. Diese umfassen biometrische Kategorisierungssysteme, die auf sensiblen Merkmalen basieren, das ungezielte Scraping von Gesichtsbildern aus dem Internet oder CCTV-Aufnahmen zur Erstellung von Gesichtserkennungsdatenbanken, Emotionserkennung am Arbeitsplatz und in Schulen sowie vorausschauende Polizeiarbeit.
Das KI-Gesetz wurde am 22. April vom EU-Parlament und am 21. Mai von den EU-Mitgliedstaaten verabschiedet. Es wurde am 12. Juli im Amtsblatt der Europäischen Union veröffentlicht und trat am 1. August in Kraft, wobei verschiedene Bestimmungen des Gesetzes schrittweise in Kraft traten.
Der EU AI Act wird einem sehr schnelllebigen Zeitplan folgen.
„Es geht sehr schnell voran, aber das ist keine Überraschung. Die Entwürfe sind seit langem bekannt. Es ist auch wichtig, schnell vorzugehen, da sich die Technologie sehr schnell weiterentwickelt“, bemerkt Massot.
Nach sechs Monaten treten Verbote für verbotene KI-Praktiken in Kraft. Nach neun Monaten treten die Verhaltensregeln in Kraft. Nach zwölf Monaten allgemeine KI-Regeln, einschließlich Governance, in Kraft. Nach 24 Monaten treten die Regeln für risikoreiche KI-Systeme in Kraft. Schließlich gelten 36 Monate nach Inkrafttreten die Vorschriften für KI-Systeme, die Produkte oder Sicherheitskomponenten von Produkten sind, die unter bestimmte EU-Rechtsvorschriften fallen.
Die Nichteinhaltung des Gesetzes kann zu hohen Geldstrafen von bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes eines Unternehmens führen.
„Es besteht ein Gefühl der Dringlichkeit“, beobachtet Dasha Simons, Managing Consultant für vertrauenswürdige KI bei IBM. „Zwei oder drei Jahre mögen für einige Vorbereitungen lang erscheinen. Aber wenn Sie ein international tätiges oder multinationales Unternehmen mit vielen KI-Systemen weltweit sind, dauert es nicht so lange.“
Wo fangen Sie also an? Der erste Schritt besteht laut Simons darin, zu bestimmen, welche Vorschriften für Ihr Unternehmen gelten.
„Das KI-Gesetz legt unterschiedliche Regeln und Definitionen für Anwender, Anbieter und Importeure fest. „Je nachdem, welche Rolle Sie als Unternehmen einnehmen, müssen Sie unterschiedliche Anforderungen erfüllen“, erklärt Simons. „Kaufen Sie Modelle und versehen Sie sie lediglich mit einem neuen Markennamen, ohne das Modell selbst zu verändern?“ Oder optimieren Sie das Modell tatsächlich noch erheblich? Hierbei handelt es sich um den ersten Schritt.“
Der zweite Schritt ist die Ermittlung der in Ihrem Unternehmen verwendeten KI-Systeme und der mit jedem einzelnen System verbundenen Risikostufen.
„Das Wichtigste ist, dass man sich zunächst darüber im Klaren ist, worauf man sich konzentrieren möchte“, betont Simons. „Viele Unternehmen wissen gar nicht, welche Arten von KI-Systemen und -Modellen sie in der Produktion oder in der Entwicklung einsetzen.“
Diese Bewertung hilft Unternehmen, ihre Prioritäten festzulegen, indem sie zuerst die verbotenen Systeme und dann die risikoreichen Systeme bewerten.
„Auf diese Weise können Sie feststellen, welche Prozesse Sie bei der Implementierung neuer KI-Systeme einführen müssen, und sicherstellen, dass diese bereits proaktiv und nicht erst im Nachhinein mit dem KI-Gesetz konform sind.“
Laut Simons verdeutlichen die Vorschriften, dass Unternehmen einen strategischen Ansatz für KI verfolgen müssen und C-Suite-Führungskräfte sich intensiv an dieser Diskussion beteiligen sollten.
„Sie benötigen technisches Fachwissen, möglicherweise auch das Fachwissen eines Datenschutzbeauftragten, der die DSGVO umgesetzt hat. Dieses Wissen muss vorhanden sein, aber die Verantwortung und die Richtung sollten ebenfalls auf der Führungsebene festgelegt werden“, erklärt Simons.
Die Europäische Union hat sich zum Ziel gesetzt, einen Standard für die Entwicklung von KI zu etablieren, der als Blueprint für den Rest der Welt dienen soll. Die EU hat bereits 2018 mit der DSGVO ein umfassendes Gesetz zum Datenschutz und zur Datensicherheit verabschiedet.
Der EU AI Act ist „die weltweit erste Verordnung, die einen klaren Weg für eine sichere und auf den Menschen ausgerichtete Entwicklung der KI vorgibt“, erklärte Dragoș Tudorache, Mitglied des Parlaments und Verhandlungsführer für den EU AI Act, während einer Pressekonferenz.
Weltweit werden zahlreiche Verordnungen zum Einsatz von KI erlassen.
„Konsistenz ist wichtig, weil es [für Unternehmen] kompliziert wäre, unterschiedliche Systeme mit voneinander abweichenden Beschränkungen zu entwickeln“, glaubt Massot.
Hans-Petter Dalen, Business Leader für watsonx und integrierbare KI bei IBM EMEA, merkt an, dass eine interessante Veränderung darin bestehen wird, dass Organisationen und Unternehmen, die in der EU tätig sind, ihre Nutzer oder Mitarbeiter über KI aufklären müssen.
„Interessanterweise gibt es im EU AI Act einen Artikel über KI-Kompetenz. Daher wird jedes Unternehmen oder jede Organisation im EU-Binnenmarkt, die KI einsetzt, verpflichtet sein, die Nutzer und Mitarbeiter auf einem bestimmten Niveau zu schulen. „Wir wissen noch nicht, wie hoch das Niveau sein wird, aber es ist sehr gut, das Grundverständnis von KI zu verbessern“, erklärt Dalen.
„Ein Beispiel hierfür sind HR-Systeme, die bereits heute die Möglichkeit bieten, Lebensläufe zu sichten und Kandidaten vorzuschlagen. Das ist ein risikoreicher Anwendungsfall und bringt sieben wesentliche Anforderungen mit sich, die Sie erfüllen müssen. „Sind Sie als Käufer dieser Software ausreichend in KI geschult, um die Fragen zu verstehen, die Sie über die Algorithmen stellen müssen?“, fragt Dalen.
Es gibt noch viele Unbekannte in Bezug auf die technischen Standards, die durch das KI-Gesetz erforderlich werden.
„Es gibt sieben wesentliche Anforderungen für Anwendungsfälle mit hohem Risiko, die im Gesetz selbst recht frei formuliert sind. Und diese sieben Anforderungen haben zu zehn Anfragen nach technischen Normen geführt, die zwei der europäischen Normungsorganisationen jetzt entwickeln“, erklärt Dalen. „Die technischen Normen werden uns Klarheit darüber verschaffen, welche Anforderungen die Verordnung tatsächlich stellt, und wir gehen klar davon aus, dass die Umsetzung der technischen Normen der schnellste und kostengünstigste Weg zur Erreichung der Konformität sein wird.“