Die Europäische KI-Verordnung
Anfang 2024 haben sich die EU-Mitgliedstaaten auf klare Regeln und Standards für den Einsatz von Künstlicher Intelligenz (KI) verständigt. Die KI-Verordnung (auch KI-VO oder EU AI-Act genannt) sieht vor, Künstliche Intelligenz nach den Risiken ihrer Anwendungszwecke zu klassifizieren, von risikoarmer, begrenzt riskanter, zu riskanter und verbotener KI.
Was ist das Ziel der KI-Verordnung?
Der Einsatz von KI bietet vielfältige Potenziale für Wirtschaft und Gesellschaft. Als Beispiele können die Verbesserung von Prognosen, die Optimierung der Ressourcennutzung und die Personalisierung von Dienstleistungen genannt werden. Dieselben KI-Faktoren, die einen sozioökonomischen Nutzen erbringen, bergen aber auch neue Gefahren und Nachteile für unsere Gesellschaft. Beispielsweise neigen KI-Systeme, die auf unzureichenden Trainingsdaten basieren, dazu Vorurteile zu übernehmen und dadurch beispielsweise diskriminierende Entscheidungen zu treffen. Die EU möchte deshalb sicherzustellen, dass KI immer im Einklang mit den Werten, Grundrechten und Prinzipien der EU entwickelt und eingesetzt wird.
Wer ist von der KI-Verordnung betroffen?
Die KI-Verordnung betrifft eine Vielzahl von Unternehmen, die in irgendeiner Form Künstliche Intelligenz in der EU einsetzen. Die Verordnung unterscheidet dabei zwischen vier Gruppen:
- Anbieter entwickeln eigene KI-Systeme und bringen sie auf den Markt.
- Betreiber nutzen fremdentwickelte KI-Systeme für betriebliche Zwecke
- Händler stellen KI-Systeme bereit
- Einführer bringen nicht europäische KI-Systeme in den Verkehr
Grundsätzlich müssen alle Unternehmen, die KI in ihren Prozessen einsetzen, überprüfen, ob ihre Systeme den neuen Regulierungen entsprechen und entsprechende Anpassungen vornehmen. Die Implementierung dieser Vorschriften wird besonders für Unternehmen relevant, die in stark regulierten Sektoren wie Gesundheitswesen, Finanzdienstleistungen oder kritischer Infrastruktur tätig sind.
Ist meine KI-Anwendung von der KI-Verordnung betroffen?
Die Verordnung ist darauf ausgelegt, nur KI-Systeme mit hohem Risiko für die Allgemeinheit mit strengen Vorschriften zu unterlegen oder zu verbieten. Die meisten KI-Anwendungen fallen jedoch nicht unter diese Kategorien. Für sie gibt es keine Vorschriften oder nur Transparenzpflichten. Um zu bestimmen, welche Vorschriften für welche KI-Systeme gelten, wurden fünf Risikoklassen gebildet:
| Risikoklasse | Beschreibung | Regulierung | Beispiel |
|---|---|---|---|
| inakzeptabel | Bedrohung grundlegender Rechte | Verbot | Social Scoring |
| hoch | potenziell hohes Risiko für Betroffene | weitreichende Anforderungen (menschl. Aufsicht, hochwertige Datensätze etc.) |
Kreditwürdigkeitsprüfung, KI im Personalbereich |
| systemisch | Allzweck-KI | weitgehende Transparenz- und Dokumentationspflichten, Risikominderung |
ChatGPT-4 oder Gemini |
| begrenzt | Interaktion mit Menschen & Allzweck-KI |
Transparenzpflicht (Praxisleitfaden Art. 56 AIA) |
Chatbots (GPT3) |
| minimal | alle anderen Systeme | keine rechtlichen Anforderungen (freiwillige Verhaltenskodizes) |
Spamfilter |
Ab wann wird die KI-Verordnung umgesetzt?
Die KI-Verordnung ist am 1. August 2024 in Kraft getreten und findet grundsätzlich 24 Monate später Anwendung. Sie wird schrittweise in den nächsten Jahren wirksam:
- ab Februar 2025: Verbotene KI-Systeme, die ein unvertretbares Risiko darstellen, dürfen nicht mehr verwendet werden. Zudem müssen Anbieter und Betreiber eine ausreichende KI-Kompetenz in der Belegschaft sicherstellen.
- ab August 2025: Anwendbarkeit der Bestimmungen für "Allzweck-KI-Modelle“ (gemeint sind Basismodelle wie beispielsweise Chat-GPT) sowie Inkrafttreten der Sanktionen bei Verstößen gegen die KI-Verordnung
- ab August 2026: allgemeine Anwendbarkeit der KI-Verordnung mit Ausnahme bestimmter Hochrisikosysteme sowie Geltung der Regelungen für “Deep Fakes”
- ab August 2027: Anwendbarkeit der KI-Verordnung für bestimmte Hochrisikosysteme
Was ist jetzt zu tun?
Die konkreten Anforderungen sind stets abhängig von dem speziellen KI-System, der eigenen Rolle sowie der Art der Verwendung des Systems und des Outputs! Wir empfehlen folgende Schritte:
- Prüfen Sie, ob und wo KI in Ihrem Unternehmen eingesetzt wird (beispielsweise beim Vertrieb der eigenen Produkte, im Kundenservice und Support, für personalisierte Werbung, bei der Automatisierung von Geschäftsprozessen oder im Bereich Predictive Analytics wie Predictive Maintenance, Betrugserkennung, Personalmanagement und Rekrutierung) und welche Mitarbeitenden mit den KI-Anwendungen arbeiten.
- Stufen Sie Ihre KI-Systeme in die Risikoklassen und bestimmen Sie Ihre eigenen „Rollen“ (Anbieter, Betreiber etc.).
- Erarbeiten Sie einen individuellen Pflichtenkatalog mit Zeitrahmen (Kompetenz-Anforderungen, Transparenzanforderungen) und beachten Sie zukünftige Spezifizierungen der Verordnung.
Eine erste Einschätzung der Betroffenheit kann über den EU AI Act Compliance Checker des Future of Life Institute (FLI) erfolgen. Wir empfehlen Ihnen darüber hinaus eine rechtliche Beratung.
Bezogen auf die Entwicklung und Verwendung von KI-Systemen sowie deren Output sind neben der KI-Verordnung vielfältige rechtliche Anforderungen zu beachten (Arbeitsrecht, Datenschutz, Urheberrecht). Wir empfehlen zudem die Erarbeitung einer unternehmensinternen KI-Richtlinie.
Welche Kompetenzen sind gefordert?
Der AI-Act beschreibt KI-Kompetenz als
- die Fähigkeit, fundiert mit KI-Systemen umzugehen (z. B. Umgang mit Systemen, Erkennen von KI-Systemen, Risikoklassen)
- das Erkennen von Chancen und Risiken (z. B. Halluzination von KI, Ethik, Datenschutz)
- Grundlage auf dieser Basis verantwortungsvolle Entscheidungen zu treffen
Ziel ist es, dass Mitarbeitende KI-Systeme sicher und effizient nutzen und Schäden vermeiden. Die Anforderungen an die KI-Kompetenz kann sich nach Risikoklasse der KI unterscheiden. Beispielhaft hat die KI-Nutzung im Bereich Marketing andere und ggf. nicht so folgeschwere Risiken wie eine KI-Nutzung in der Medizin. Die EU-Komission hat weitere Informationen zur KI-Kompetenz bereitgestellt.
Wie können KI-Kompetenzen nachgewiesen werden?
In der aktuellen KI-Verordnung finden sich keine Anforderungen an eine Dokumentation oder Nachweispflicht der KI-Kompetenzvermittlung. Unternehmen sollten dennoch jegliche Evaluationen, Schulungsmaßnahmen, Inhalte und Umsetzung dokumentierten, um mögliche Risiken und Haftung im Schadensfall zu minimieren. Ein Verstoß gehen die Sicherstellung der KI-Kompetenz ist aktuell nicht bußgeldbehaftet. Nationale Aufsichtsbehörde soll die Bundesnetzagentur (BNetzA) werden.
Unser IHKLW-Weiterbildungsangebot umfasst die Bereiche Künstliche Intelligenz und Digitalisierung. Weitere Angebote der Industrie- und Handelskammern finden Sie bei #GemeinsamDigital der Deutschen Industrie- und Handelskammer (DIHK) sowie u. a. beim Mittelstand-Digital Zentrum Hannover.