Was Unternehmen jetzt bei der Nutzung von KI beachten müssen
Mit dem Inkrafttreten des EU-AI-Acts am 1. August 2024 steht Europa weltweit an der Spitze der KI-Regulierung. Diese Verordnung, die auch als KI-Verordnung bekannt ist, bringt umfangreiche Anforderungen mit sich, die Unternehmen erfüllen müssen, wenn sie Künstliche Intelligenz (KI) einsetzen möchten.
Beginn einer neuen Ära der KI-Regulierung
Der EU-AI-Act, der mehrere hundert Seiten umfasst, wird von einigen als bürokratisches Monster betrachtet, während andere ihn als notwendigen Fortschritt sehen, der das Vertrauen in KI stärken und Europas Innovationsfähigkeit fördern soll. Tatsächlich liegt die Wahrheit wahrscheinlich in der Mitte, denn die Verordnung definiert nicht nur, was KI darf, sondern auch zahlreiche Pflichten für Unternehmen, die KI-Lösungen nutzen.
Hohe Strafen bei Verstößen
Unternehmen, die den Anforderungen des EU-AI-Acts nicht nachkommen, müssen mit hohen Strafen rechnen. Thorsten Ammann, Partner und Experte für IT-Recht bei der Wirtschaftskanzlei DLA Piper, betont, dass selbst leichte Verstöße bis zu 7,5 Millionen Euro oder ein Prozent des weltweiten Jahresumsatzes kosten können, je nachdem, welcher Betrag höher ist. Mittelschwere Verstöße werden mit bis zu 15 Millionen Euro oder drei Prozent des Umsatzes geahndet. Bei schwerwiegenden Verstößen, wie dem Einsatz verbotener KI-Systeme, können Strafen von bis zu 35 Millionen Euro oder sieben Prozent des Umsatzes verhängt werden.
Wen betrifft der AI-Act?
Für Unternehmen stellt sich die Frage, ob ihre genutzten KI-Systeme überhaupt unter die Regelungen des AI-Acts fallen und welche spezifischen Rollen sie dabei einnehmen. Zunächst müssen Unternehmen klären, ob ihre KI-Anwendungen überhaupt den Anforderungen des AI-Acts unterliegen und ob sie als Anbieter, Betreiber, Einführer oder Händler agieren.
Die verschiedenen Risikogruppen
Der AI-Act verfolgt einen risikobasierten Ansatz. Systeme mit untragbarem Risiko, wie etwa biometrische Systeme zur sozialen Bewertung, sind verboten. Hochrisiko-KI-Systeme, die etwa in Fahrzeugen oder im medizinischen Bereich eingesetzt werden, unterliegen strengen Anforderungen. Diese umfassen Risikomanagement, hochwertige Datensätze, technische Dokumentation, Aufbewahrungspflichten und menschliche Überwachung. Solche Systeme müssen außerdem in einer EU-Datenbank registriert und mit einer CE-Kennzeichnung versehen werden.
Geringeres Risiko, weniger Pflichten
Für KI-Systeme mit begrenztem Risiko gelten hauptsächlich Transparenzpflichten. Unternehmen müssen beispielsweise darauf hinweisen, wenn ein Chatbot verwendet wird. Systeme mit minimalem Risiko, wie KI-fähige Videospiele oder Spamfilter, unterliegen keinen besonderen Regelungen.
Sonderfall General Purpose AI
Für General Purpose AI (GP-AI) Modelle, wie ChatGPT, gelten spezifische Anforderungen. Diese unterscheiden sich je nach Risikoeinstufung und umfassen technische Dokumentationspflichten und möglicherweise verschärfte Anforderungen für GP-AI mit systemischem Risiko.
Rollenverständnis und Verantwortlichkeiten
Unternehmen müssen ihre Rolle in Bezug auf KI-Systeme klar definieren. Anbieter entwickeln und vertreiben KI-Systeme, während Betreiber diese in eigener Verantwortung nutzen. Einführer bringen KI-Systeme aus Drittstaaten in die EU und Händler stellen sie auf dem EU-Markt bereit. Es ist wichtig zu beachten, dass Unternehmen ihre Rolle wechseln können, was unterschiedliche Verpflichtungen nach sich zieht.
Compliance erfordert interdisziplinäre Zusammenarbeit
Die Umsetzung des AI-Acts stellt Unternehmen vor große Herausforderungen. Thorsten Ammann rät dazu, juristisches und technisches Know-how zu kombinieren und bereichsübergreifend zusammenzuarbeiten. Unternehmen sollten fortlaufend ihre Rolle und die Nutzung der KI-Systeme überprüfen, um Compliance sicherzustellen.
Fazit: Ein hoher Aufwand, aber unvermeidbar
Der Weg zur AI-Act-Readiness ist komplex und erfordert interdisziplinäre Anstrengungen. Unternehmen müssen juristisches Wissen und Prozess-Know-how vereinen und bereit sein, über den Tellerrand hinauszublicken. Trotz des hohen Aufwands ist es entscheidend, sich intensiv mit den Anforderungen des AI-Acts auseinanderzusetzen, um hohe Strafen zu vermeiden und die Vorteile sicherer KI-Nutzung zu nutzen.
