Die Europäische Union hat ihr Gesetz über künstliche Intelligenz (EU AI Act) fertiggestellt, eine umfassende Rechtsvorschrift zur Regulierung von KI-Systemen auf dem EU-Markt. Dieses Gesetz, das erste (und bisher einzige) seiner Art weltweit, zielt darauf ab, das immense Potenzial der KI mit der Notwendigkeit in Einklang zu bringen, die ihr innewohnenden Risiken zu mindern und sicherzustellen, dass ihre Entwicklung und Nutzung mit den europäischen Werten und Grundrechten in Einklang steht. Dieser Blogbeitrag dient als Leitfaden für Unternehmensleiter, um die Auswirkungen der EU-KI- Richlinie zu verstehen und ihre Unternehmen auf dessen Inkrafttreten vorzubereiten.
Umfang und Geltungsbereich
Das EU-KI-Gesetz verfolgt einen risikobasierten Ansatz und teilt KI-Systeme in vier Risikostufen ein (Artikel 6 und Anhang III): unannehmbar, hoch, begrenzt und minimal.
Unannehmbare Risiken (Artikel 5): KI-Systeme, die unannehmbare Risiken darstellen, sind streng verboten. Dazu gehören manipulative oder ausbeuterische Systeme, Social Scoring durch Behörden und biometrische Fernidentifizierung in Echtzeit in öffentlich zugänglichen Räumen, außer in bestimmten, genau definierten Situationen der Strafverfolgung (Artikel 5 Absatz 1 Buchstabe h)). Diese Verbote spiegeln das Engagement der EU für die Grundrechte und demokratischen Werte wider.
Hohes Risiko (Artikel 6 und Anhang III): Für KI-Systeme, die als hochriskant eingestuft werden, gelten strenge Anforderungen, bevor sie in Verkehr gebracht, in Betrieb genommen oder verwendet werden dürfen. Zu dieser Kategorie gehören KI-Systeme, die in den Bereichen kritische Infrastrukturen, allgemeine und berufliche Bildung, Beschäftigung, Zugang zu und Inanspruchnahme von wesentlichen Dienstleistungen (einschließlich Sozialversicherung und Kreditwürdigkeitsprüfung), Strafverfolgung, Migrations-, Asyl- und Grenzkontrollmanagement sowie Justizverwaltung eingesetzt werden. Diese Systeme erfordern unter anderem Konformitätsbewertungen (Artikel 43), Qualitätsmanagementsysteme (Artikel 17), technische Dokumentation (Artikel 11) und Überwachung nach dem Inverkehrbringen (Artikel 72). In den spezifischen Anhängen werden diese Anforderungen im Einzelnen aufgeführt.
Begrenztes Risiko (Artikel 52): KI-Systeme, die ein begrenztes Risiko darstellen, vor allem solche mit Transparenzverpflichtungen, wie Chatbots, müssen die Nutzer eindeutig darüber informieren, dass sie mit einem KI-System interagieren (Artikel 50 Absatz 1). Dies gewährleistet eine informierte Zustimmung und Transparenz bei KI-Interaktionen.
Minimales Risiko (implizit): Die meisten der derzeit verwendeten KI-Systeme fallen unter das minimale Risiko und unterliegen nur wenigen rechtlichen Anforderungen. Dieser Ansatz stellt sicher, dass das Gesetz die Innovation in Bereichen mit geringem Risiko nicht abwürgt.
Die wichtigsten Auswirkungen für Unternehmen
Wenn Ihr Unternehmen KI-Systeme in der EU entwickelt, einsetzt oder vertreibt oder wenn die Ergebnisse Ihres KI-Systems in der EU verwendet werden, sind Sie wahrscheinlich vom KI-Gesetz betroffen (Artikel 2). Das müssen Sie wissen:
Bestimmen Sie den Risikograd Ihres KI-Systems: Der erste Schritt besteht darin, den Risikograd Ihres KI-Systems auf der Grundlage seines Verwendungszwecks und seiner potenziellen Auswirkungen zu bewerten. Ziehen Sie die im KI-Gesetz genannten Kriterien heran und erwägen Sie, in komplexen Fällen juristischen Rat einzuholen.
Compliance für KI-Systeme mit hohem Risiko: Wenn Ihr System als hochriskant eingestuft wird, müssen Sie sich auf einen erheblichen Compliance-Aufwand einstellen. Dazu gehören die Einrichtung eines soliden Risikomanagementsystems (Artikel 9), die Sicherstellung der Datenqualität und -verwaltung (Artikel 10), die Entwicklung einer umfassenden technischen Dokumentation (Artikel 11), die Einführung menschlicher Kontrollmechanismen (Artikel 14) und die Gewährleistung von Genauigkeit, Robustheit und Cybersicherheit (Artikel 15). Diese Anforderungen gelten unabhängig davon, wo Ihr Unternehmen niedergelassen ist (Artikel 2 Absatz 1 Buchstabe a)).
Transparenz für Systeme mit begrenztem Risiko: Bei Systemen mit begrenztem Risiko sollten Sie für Transparenz bei Ihren KI-Interaktionen sorgen, indem Sie die Nutzer deutlich darauf hinweisen, dass sie mit einem KI-System interagieren. Diese einfache Maßnahme fördert das Vertrauen und vermeidet potenzielle rechtliche Probleme.
Ausnahmen: Das KI-Gesetz nimmt KI-Systeme aus, die ausschließlich für wissenschaftliche Forschung und Entwicklung (Artikel 2 Absatz 6) und für Zwecke der nationalen Sicherheit oder des Militärs (Artikel 2 Absatz 4) entwickelt und eingesetzt werden. Werden diese Systeme jedoch später für zivile oder andere Zwecke, die in den Anwendungsbereich des Gesetzes fallen, weiterverwendet, so unterliegen sie den entsprechenden Vorschriften.
KI-Modelle für allgemeine Zwecke: Für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck, insbesondere solchen mit systemischen Risiken, gelten besondere Verpflichtungen in Bezug auf Transparenz (Artikel 53), Dokumentation (Artikel 53 Absatz 1 Buchstabe a)) und Risikominderung (Artikel 55). Diese Modelle werden von den KI-Systemen selbst unterschieden (Artikel 97), und ihre Verpflichtungen gelten, sobald die Modelle auf den Markt gebracht werden.
Zeitplan für die Umsetzung
Das EU-KI-Gesetz soll schrittweise in Kraft treten, damit die Unternehmen Zeit haben, sich anzupassen:
2025: Die grundlegenden Elemente des Gesetzes, einschließlich der Risikoklassifizierung und der grundlegenden Transparenzanforderungen, werden Anfang 2025 in Kraft treten. Zu diesem Zeitpunkt sollten die Unternehmen ihre Risikoklassifizierungsprotokolle bereits eingeführt haben.
2026: Die Compliance-Anforderungen für KI mit hohem Risiko, wie Dokumentation, menschliche Aufsicht und Datenmanagement, werden Mitte 2026 in Kraft treten. Bis zu diesem Zeitpunkt müssen Unternehmen, die KI mit hohem Risiko einsetzen, Compliance-Mechanismen und Dokumentation bereithalten.
2027: Alle verbleibenden Bestimmungen, einschließlich regelmäßiger Audits und laufender Datenüberwachung, werden voraussichtlich bis 2027 in Kraft treten. Unternehmen sollten bis dahin die Vorschriften vollständig einhalten und sicherstellen, dass sie Aufzeichnungen führen und eine Prüfung unterstützen können.
EU: Überregulierung und Unterinvestition
Der EU AI Act ist ein weiteres Beispiel für Überregulierung. (Das Ziel dieser Compliance-Anforderungen für Hochrisikosysteme ist es, zur Entwicklung robuster, zuverlässiger und ethischer KI-Lösungen beizutragen. Während das EU-KI-Gesetz darauf abzielt, eine verantwortungsvolle KI-Entwicklung zu fördern, verursacht sein strenger Regulierungsrahmen unbestreitbar erhebliche Belastungen und Kosten für Unternehmen, insbesondere für KMU und Start-ups. Die umfangreichen Compliance-Anforderungen, einschließlich Konformitätsbewertungen, Qualitätsmanagementsystemen und laufender Überwachung, erfordern erhebliche finanzielle und personelle Ressourcen. Das Center for Data Innovation schätzt, dass der EU AI Act die europäischen Unternehmen 10,9 Milliarden Euro pro Jahr kosten wird. Dieser erhöhte Aufwand könnte die Innovation hemmen und Investitionen in KI in Europa verhindern. Folglich könnten Unternehmen einen Anreiz haben, ihre KI-Entwicklungs- und -Einführungsaktivitäten in Regionen mit weniger strengen Vorschriften zu verlagern, was zu einem „Brain Drain“ von Talenten und Investitionen aus Europa führen könnte. Diese Verlagerung könnte den beabsichtigten Zweck des Gesetzes untergraben und eine globale KI-Landschaft schaffen, die durch unterschiedliche ethische Überlegungen und Sicherheitsstandards fragmentiert ist. Um mit Emmanuel Macrons Worten zu schließen, der im Oktober '24 sagte: "Wir regulieren zu viel und investieren zu wenig. Wenn wir unserer klassischen Agenda folgen, werden wir in den nächsten 2 bis 3 Jahren vom Markt verschwunden sein. Daran habe ich keinen Zweifel!"
Comments