Welche Bedeutung und Folgen hat das europäische Gesetz zur Regelung der künstlichen Intelligenz, dass am 01.08.2024 in Kraft getreten Künstliche Intelligenz Act (AI Act), für Unternehmen in Deutschland? Dieser Artikel gibt einen ersten Überblick über die neue Regelung.
1. Hintergrund der gesetzlichen Neuregelung
Künstliche Intelligenz gilt als eine der wichtigsten Technologien der Zukunft, in ihren Auswirkungen bereits heute als nächste industrielle Revolution bezeichnet. Neben den unbestreitbaren Vorteilen für Behörden, Institutionen sowie Wirtschaftsunternehmen jeder Branche und Größe, sieht der europäische Gesetzgeber auch die mit dieser Technologie verbundenen Risiken und Gefahren. Die EU tritt dem mit einer auf Risikoanalysen beruhenden Neuregelung, dem Künstliche Intelligenz Act entgegen.
Der AI Act ist ein bisher einmaliges Regelwerk der EU und umfasst in der deutschen Fassung mehr als 200 Seiten. Er dient dem Ziel, die bereits absehbaren, negativen Folgen und Risiken einer völlig neuen, in ihrer disruptiven Entwicklung noch nicht abschätzbaren Technologie einzugrenzen. Gleichwohl sollen die innovativen Möglichkeiten der Künstliche Intelligenz für Unternehmen sowie Wissenschaft und Forschung nicht unnötig behindert und soweit möglich gefördert werden. Die Verordnung ist nach rund fünfjähriger Arbeit am 01.08.2024 in Kraft getreten und soll in mehreren Stufen ab 02.02.2025, überwiegend ab 02.08.2026 Geltung erlangen. Deutschland und die anderen Mitgliedsstaaten sind nun gehalten, die Regelungen des AI Acts im Rahmen ihrer digitalen Strategien in nationales Recht umzusetzen.
Einteilung nach Risikostufen
Der AI Act unterteilt, seiner Intention entsprechend, die Anwendungsbereiche künstlicher Intelligenz sowie die daran anknüpfenden Verpflichtungen und Rechtsfolgen nach Risikokategorien ein:
Verbotene, nicht hinnehmbare Anwendungsbereiche
Hierbei handelt es sich um Modelle, die unter rechtsstaatlichen Gesichtspunkten und unter Berücksichtigung der demokratischen Grundrechte der Mitgliedstaaten als verboten anzusehen sind. Darunter fällt bspw. eine als Social Scoring bezeichnete Überwachung nach jeweiligem Sozialverhalten mittels KI-Anwendungen.
Anwendungsgebiete mit einem hohen Risiko
Anwendungsgebiete mit einem hohen Risiko, dem Teil, der den größten Raum im AI-Act einnimt: Artikel 6 der Verordnung enthält hierzu in Verbindung mit seinen Anhängen I. und III. einen umfangreichen Katalog, welche Modelle mit einem hohen Risiko für Menschen verbunden sind.
Intelligenz gestützte Arztbehandlungen / Operationen), die Grundrechte (Bsp.: auf Künstliche Intelligenz gestützte Überwachung oder Einstellung von Arbeitnehmern) oder die Sicherheit beeinträchtigen können. Insbesondere den Anforderungen an bestimmte Sicherheitsbauteile kommt bei der Risikoeinstufung eine hohe Bedeutung zu. Unternehmen und Institutionen, die ihre Systeme im Bereich der Versorgrung kritischer Infrastrukturen, Verkehrswesen, Justiz und Strafverfolgung (Verwendung biometrischer Daten) anbieten oder verwenden, sind ebenso betroffen, wie solche die im Bildungs- oder Gesundheitswesen arbeiten.
Anwendungsbereiche mit einem eingegrenzten Risiko
Bei diesen sind die Endnutzer vor allem darüber zu informieren, dass es sich um eine künstliche Intelligenz handelt, (Transparenzgebot bei Verwendung von Chatbots, Verhinderung von Deep Fakes).
unkomplizierte Artificial-Intelligence-Anwendungen
Artificial-Intelligence-Anwendungen, mit geringem Risiko die keine weiteren Regulierung benötigen, wie bspw. auf künstlicher Intelligenz beruhende Spam-Filter.
Verpflichtungen
Entsprechend der Einteilung nach Risikogruppen, definieren sich die Anforderungen an die jeweiligen Verwender von AI-Modellen und deren Verpflichtungen.
Die meisten und strengsten Verpflichtungen nach dem AI Act treffen die Anbieter und nachgelagert die Nutzer von KI-Anwendungen mit hohem Risiko. Die EU Verordnung unterscheidet hierbei wie folgt zwischen Anbietern und Nutzern von AI-Systemen.
Als Anbieter werden die Entwickler und Betreiber von Articial-Intelligence-Systemen in der EU, inbesondere solche mit einem hohem Risiko verstanden, gleich ob in der EU oder in einem Drittland geschäftsansässigsind
Als Nutzer werden die Institutionen, Unternehmen und Berufsgruppen verstanden, die die KI-Modelle der Anbieter für geschäftliche Zwecke einsetzen. Nicht gemeint sind Privatanwender, für die die Regelungen des KI-Gesetzes nicht gelten.
Insbesondere bei Systemen der Künstlichen Intelligenz mit einem hohen Risko ist die Verantwortung der betroffenen Unternehmen an die jeweilige Risikobewertung und das jeweilige IT-Risikomanagement hoch. Dies betrifft die Qualität der Datensätze ebenso wie die Rückverfolgbarkeit und die Überprüfbarkeit der Ergebnisse, die Information der Aufsichtsbehörden und die Zusammenarbeit mit ihnen. Die betreffenden Unternehmen müssen sicherstellen, dass jederzeit qualifiziertes menschliches Eingreifen möglich bleibt.
Umsetzung in der Praxis
Mit -Modellen arbeitende Unternehmen sollten zunächst ggf. unter Hinzuziehung qualifizierter Berater eine Risikobewertung ihrer Systeme nach den vorgenannten Kategorien durchführen.
Nach zuverlässiger Einstufung sind die nach dem AI Act zu treffenden Maßnahmen an die IT-Infrastruktur, die Datensätze und das Risikomanagement zu treffen. Nicht zuletzt ist an die Sensibilisierung und an die Schulung der KI-Verantwortlichen sowie der mit den -Systemen arbeitenden Mitarbeiter zu denken.
Die hohen, gleichwohl insgesamt trotz ihres Umfangs im Einzelnen noch unspezifischen Anforderungen des AI Acts erfordern regelmässige Kontrolle und Überwachung der eingesetzten Maßnahmen auf ihre Wirksamkeit und ggf. Anpassung an sich ändernde Anforderungen. Der Einsatz qualifizierter KI-Berater und IT-Security-Fachleute empfiehlt sich auch hier.
Meldepflichten und Sanktionen
Die Einhaltung der Vorgaben und Meldepflichten des AI Acts wird in den Mitgliedsstaaten durch das Europäische Amt für Künstliche Intelligenz überwacht und, wenn nötig, mit geeigneten Maßnahmen durchgesetzt. Verstöße gegen die Nutzung von nach Artikel 5 des AI Acts verbotenen Systemen können für Unternehmen Strafen von bis zu 7 % des weltweiten Jahresumsatzes oder bis zu 35 Millionen Euro nach sich ziehen. Andere Verstöße werden gestaffelt geahndet, mit Strafen von bis zu 3 % des Jahresumsatzes oder bis zu 15 Millionen Euro. Für kleine und mittlere Unternehmen (KMU) gelten anteilig angepasste Bußgelder. Diese Sanktionen übersteigen teilweise die bereits hohen Bußgelder, die unter der EU-Datenschutzgrundverordnung (DSGVO) verhängt werden können
Fazit und Ausblick
Unternehmer in Deutschland sollten ihre Firmen und ihre Mitarbeiter auf die Anfordeurngen des AI / KI Acts vorbereiten. Wenn nicht als Anbieter, so dürfen viele Unternehmer doch als Nutzer etwaiger KI-Modelle auch mit hohem Risiko in Betracht kommen. Im Zweifelsfall sollte qualifizierte rechtliche und technische Beratung in Anspruch genommen werden. Untätigkeit, die unvorbereitete oder die unvorsichtige Verwendung vom AI-Modellen kann ansonsten unnötig teuer werden.
Dieser Artikel dient als Überblick zu den Neuregelungen des AI Acts. Die Grundlagen wurden sorgfältig recherchiert. Bitte berücksichtigen Sie, dass die rechtlichen und technischen Entwicklungen gerade beim AI Act noch fließend sind. Dieser Artikel kann keine Rechtsberatung im Einzelfall darstellen oder ersetzen, für etwaige Fehlentscheidungen wird daher keine Haftung übernommen.
German 
English