EU AI Act: Neue Anforderungen für Unternehmen
Aus dem aktuellen Draft des EU-AI-Gesetzes lassen sich zahlreiche neue Anforderungen an Unternehmen ableiten, wobei zu beachten ist, dass das Gesetz sektorübergreifend und allgemein für alle Unternehmen im EU-Raum gelten soll. Die EU verfolgt bei diesem Gesetz den risikobasierten Anlass, wodurch Unternehmen in der Pflicht stehen, ihre KI-Systeme und das mit ihnen einhergehende Risiko selbst zu bewerten, zu dokumentieren und entsprechend mit den Behörden zu kommunizieren. Des Weiteren gibt der Staatenverbund eine offizielle Definition von KI-Systemen vor und definiert, welche Methoden und Techniken unter das neue Gesetz fallen würden (siehe auch Anhang „Annex I“ der AI-Regulation-Listen).
Der EU AI Act sieht die Kategorisierung der KI-Systeme in unterschiedliche Risikoklassen vor.
Ausgehend von dem identifizierten Risiko eines KI-Systems, sieht die EU spezifische Anforderungen vor. Hierbei wird die Kategorisierung der KI-Systeme in die Klassen „unacceptable risk“, „high risk“, „medium risk“ und „low“ beziehungsweise „no risk“ vorgenommen. Unter einem KI-System mit nicht akzeptablen beziehungsweise verbotenen Techniken kann man beispielsweise Social-Scoring-Techniken verstehen, welche die Vertrauenswürdigkeit und das Verhalten von Menschen anhand von gesammelten Daten prognostizieren sollen, woraufhin Einschränkungen wie zum Beispiel bei der Kreditvergabe oder der Teilhabe am öffentlichen Leben vorgenommen werden. Viel interessanter sind hierbei die KI-Systeme mit hohen Risiken, worunter sich beispielsweise medizinische Geräte aber auch auf KI-basierte Sicherheitssysteme (biometrische Systeme) verbergen können.
Für KI-Systeme mit der Risikokategorie „high“ sieht der EU AI Act vor, dass die Anforderungen aus den Artikeln 9 bis 15 befolgt und umgesetzt werden:
- Artikel 9: Für ein Hochrisiko-KI-System muss ein Risikomanagementsystem eingerichtet, angewandt, dokumentiert und aufrechterhalten werden.
- Artikel 10: Trainingsmodelle für Daten in Hochrisiko-KI-Systemen müssen mit Trainings-, Validierungs- und Testdatensätzen entwickelt werden, welche den im EU AI Act genannten Qualitätskriterien entsprechen (Artikel 10, Absatz 2 bis 5).
- Artikel 11: Es muss eine angemessene technische Dokumentation der Hochrisiko-KI-Systeme existieren, bevor diese Systeme in Verkehr gebracht oder in Betrieb genommen werden.
- Artikel 12: Hochrisiko-KI-Systeme müssen eine automatische Aufzeichnung (Protokollierung nach anerkannten Normen) von Vorgängen und Ereignissen während des Betriebs des Systems enthalten.
- Artikel 13: Es müssen Transparenzmaßnahmen entwickelt werden, um sicherzustellen, dass die Nutzer des Hochrisiko-KI-Systems angemessen über die Ergebnisse und deren Verwendung informiert werden.
- Artikel 14: Während der Dauer der Verwendung des KI-Systems muss es durch geeignete Werkzeuge möglich sein, dass natürliche Personen das System wirksam beaufsichtigen können.
- Artikel 15: Es ist sicherzustellen, dass Hochrisiko-KI-Systeme so konzipiert und entwickelt sind, dass ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit über den gesamten Lebenszyklus des Systems vorhanden ist.
Für Systeme der Kategorisierung „medium“ sind hauptsächlich Transparenzhinweise an die Nutzer vorgeschrieben. Hierbei kann es sich beispielsweise um einen Hinweis handeln, dass der Chatbot eine künstliche Intelligenz ist. Für die KI-Systeme in der Kategorie „low“ oder risikolos sind bisher keine rechtlichen Anforderungen vorgesehen, dennoch wird empfohlen, einen Code of Conduct für risikolose KI-Systeme zu erstellen und bei der Verwendung dieser zu befolgen. Laut der Europäischen Kommission werden voraussichtlich die meisten Systeme in diese Kategorie fallen, da es sich hierbei um Systeme zu Predictive Maintenance oder Industrie-Applikationen ohne Verwendung von personenbezogenen Daten und ohne Vorhersagen mit Einfluss auf Menschen handelt.
Als risikolos eingestufte KI-Systeme müssen keine Vorgaben befolgen – ein Code of Conduct wird dennoch empfohlen.
Des Weiteren wird der EU AI Act zwischen den Rollen der Anbieter, Nutzer und anderer Beteiligter unterscheiden und entsprechend der Rolle spezifische Pflichten stellen (siehe Kapitel 3 EU AI Act).
Der Gesetzesentwurf sieht vor, dass die EU eine Datenbank erstellen und pflegen wird, welche alle eigenständigen Hochrisiko-KI-Systeme beinhaltet. Diese müssen von den Unternehmen nach ihrer entsprechenden Identifikation an die dafür vorgesehene Behörde gemeldet werden (siehe Artikel 60 EU AI Act).
EU AI Act: Diese Strafen drohen bei Verstößen
Das neue Gesetz sieht vor, dass bei Verstößen gegen die erlaubten KI-Praktiken oder der Nichtkonformität des KI-Systems mit den in Artikel 10 festgelegten Anforderungen Geldbußen in Höhe von bis zu 30 Millionen Euro oder von bis zu 6 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden können.
Bei Verstößen gegen die Pflichten und Anforderungen außerhalb der verbotenen Praktiken (Artikel 5) und Trainingsmodelle (Artikel 10) können Strafzahlungen bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.
Werden von einem Unternehmen falsche, unvollständige oder irreführende Angaben gegenüber zuständigen nationalen Behörden auf deren Auskunftsverlangen hin gemacht, kann eine Geldbuße von bis zu 10 Millionen Euro oder bis zu 2 Prozent gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.
So können sich Unternehmen auf den EU AI Act vorbereiten
Da sich der EU AI Act aktuell in der Entwurfsphase befindet, müssen im weiteren Verlauf noch die einzelnen EU-Komitees abstimmen, bevor er im Plenum der EU verabschiedet werden kann. Das Gesetz würde am 20. Tag nach Verabschiedung in Kraft treten und 24 Monate später würde die Verordnung wirksam gelten.
Als Vorbereitung auf die rechtlichen Anforderungen des neuen Gesetzes wäre es daher ratsam, dass Unternehmen ihre internen (Kontroll-)Prozesse bezüglich KI-Systeme ergänzen und ihre Governance-Strukturen und Vorgaben auch dahingehend anpassen. Sollten noch keine Richtlinien zum Thema KI und kein Code of Conduct im Umgang mit künstlicher Intelligenz vorhanden sein, wäre es ratsam diese Vorgaben zu erstellen. Darüber hinaus können Unternehmen bereits Konformitäts-Assessments durchführen und KI in die internen Audits einbauen und die Abdeckung der neuen KI-Anforderungen durch bereits vorhandene (sektor-)spezifische Regularien überprüfen.
Abschließend werden Unternehmen in Zukunft unausweichlich Datenstrategien und Risikomanagement stärker miteinander verknüpfen und ihre Unternehmensprozesse und -kulturen flexibler aufbauen müssen, um den immer neuen rechtlichen Anforderungen zu entsprechen. Die Bundesregierung hat bereits in ihrem Koalitionsvertrag angekündigt, weitere Regulierungen bezüglich Datenregister und Vorgaben beim Umgang mit Gesundheitsdaten zu beschließen, womit der EU AI Act lediglich der Beginn der rechtlichen Beschränkung von künstlicher Intelligenz und automatisierter Datenverwendung sein wird.
Fazit
Unternehmen sollten sich auf den geplanten EU AI Act einstellen. Dieser wird sowohl für Konzerne relevant, die bereits KI-Systeme einsetzen als auch für solche, die dem Einsatz von künstlicher Intelligenz skeptisch gegenüberstehen, jedoch trotzdem über einen zukünftigen Einsatz von KI nachdenken. Da die KI-Regulierung international immer stärker in den Fokus rückt, ist es ratsam, dass sich Unternehmen bereits jetzt über künftige Anforderungen informieren und entsprechend aufstellen.