Charlotte Ertner
6.11.2024
Spätestens seitdem Ende 2022 Open AI’s ChatGPT einen phänomenalen Hype ausgelöst hat, ist das Thema Künstliche Intelligenz (KI) nicht mehr aus dem Alltag und der Mitte unserer Gesellschaft wegzudenken.
Ob im beruflichen - oder privaten Umfeld, fast jede:r hat Berührungspunkte mit KI. So wird sie bei vielen alltäglichen Prozessen, wie beispielsweise der Daten- und Dokumentenverarbeitung oder auch Bild- und Texterstellung, bereits eingesetzt. Nicht nur die sozialen Medien sind gefüllt mit KI-generierten Inhalten, auch viele Unternehmen greifen auf KI-basierte Softwarelösungen zurück.
Neben den etlichen positiven Aspekten, die KI mit sich bringt, gilt es jedoch auch eine kritische Auseinandersetzung nicht zu vergessen.
Der rasante Anstieg der KI-Nutzung, aber auch der Ausbau der Entwicklungen in diesem Feld, rückte die Notwendigkeit in den Mittelpunkte Regulierungen zu treffen, welche einen Rahmen für den Umgang mit KI-Technologien beschreiben. Mit dem EU-AI Act, welcher der erste dieser Art ist, soll das Vertrauen in KI gestärkt und gleichzeitig die Arbeitsweisen mit dieser geregelt werden.
Die Regelungen im EU AI Act, die in den nächsten zwei Jahren in den EU-Staaten umgesetzt werden, bringen, je nach Umfang der KI-Nutzung oder auch KI-Entwicklung, für die Unternehmen einen erheblichen Aufwand. Viele Unternehmen setzen KI vielfältig ein. Während die neuen Regelungen Vertrauen schaffen sollen, besteht die Gefahr, dass die Innovationskraft in Europa geschwächt wird. Im Vordergrund stehen umfangreiche administrative Anforderungen, wie zum Beispiel ein effektives Risikomanagement oder auch die Sicherstellung von Qualität, (technischer) Dokumentation und proaktive Informationspflicht. Wichtig sind auch die Überwachung des KI-Einsatzes und die Schaffung von Möglichkeiten zum rechtzeitigen Eingreifen während des Betriebs.
Doch:
Grund genug, den EU-AI Act näher zu betrachten und Licht ins Dunkel zu bringen.
Die Entwicklung des EU AI Acts gilt als ein bedeutender Schritt in der Regulierung von KI innerhalb der Europäischen Union. Im April 2021 präsentierte die Europäische Kommission diesen Gesetzentwurf mit dem Ziel, einheitliche Standards für den Einsatz von KI zu schaffen und gleichzeitig den Schutz der Bürger:innen zu gewährleisten.
Nachdem der Gesetzesentwurf verabschiedet wurde, fand am 12. Juli 2024 die Veröffentlichung im Amtsblatt der EU statt. Mit dem Inkrafttreten am 1. August 2024 wurde eine neue Ära für die Nutzung von KI in Europa eingeläutet. Die meisten Regeln werden nach einer Übergangszeit von zwei Jahren in Kraft treten, während einige Bestimmungen bereits früher Anwendung finden. Ziel des AI Acts ist, dass innovative Technologien verantwortungsvoll eingesetzt werden, um sowohl wirtschaftliche als auch gesellschaftliche Vorteile zu fördern.
Verfolgt wird mit dem EU AI-Act ein risikobasierter Ansatz. Die Einstufung der KI-Systeme erfolgt danach, welches Risiko von ihnen ausgeht und welcher Regulierung sie demnach bedürfen. Somit müssen Anbieter:innen, Einführer:innen, Händler:innen und Betreiber:innen von KI-Systemen diverse Auflagen erfüllen.
Da es sich um die erste Regulierung dieser Art weltweit handelt, gilt es nach wie vor als anpassungsfähig. KI beschreibt ein weitläufiges Gebiet, welches sich konstant weiterentwickelt, weshalb Änderungen des Gesetzentwurfs in den nächsten Jahren erwartbar bleiben.
Innerhalb des EU-AI Acts werden verschiedenen Risikogruppen benannt, für die verschiedene Regelungen gelten. Diese werden folgend aufgelistet.
Ein wichtiger Bestandteil des AI Acts ist Artikel 5. Nach diesem sollen bestimmte KI-Praktiken in der EU verboten werden. Die Verbote richten sich gegen die Praktiken, die europäische Werte verletzen und somit ein inakzeptables Risiko für betroffene Personen darstellen.
Zu diesen verbotenen KI- Systemen gehören:
Die überwiegenden Aspekte des AI Acts beziehen sich auf sogenannte Hochrisiko-KI-Systeme, die die Gesundheit, Sicherheit oder Grundrechte gefährden, also ebenso mit den europäischen Werten nicht vereinbar sind. Diese Systeme wurden in zwei Kategorien unterteilt:
Als Resultat dürfen Hochrisiko-KI-Systeme nur dann auf dem europäischen Markt angeboten werden, wenn sie bestimmte Anforderungen erfüllen und einer Konformitätsbewertung unterzogen werden. Anbieter:innen sind verpflichtet, ein Qualitäts- und Risikomanagementsystem einzurichten und eine technische Dokumentation zu vollziehen. Die Daten, welche verwendet wurden, müssen dann den Vorgaben der KI-Verordnung entsprechen.
Die Kategorie des begrenzten Risikos bezieht sich auf die Risiken, die mit dem Mangel an Transparenz bei der Nutzung von KI verbunden sind. Der AI Act führt spezifische Transparenzpflichten ein, um sicherzustellen, dass Menschen informiert werden, wenn es notwendig ist, und somit Vertrauen gefördert wird. Ein Beispiel hierfür ist die Interaktion von Menschen mit KI-Systemen wie Chatbots., So müssen sie darüber informiert werden, dass mit einer Maschine interagiert wird, damit sie transparent selbst eine Entscheidung treffen können, ob sie fortfahren oder sich zurückziehen möchten.
Anbieter:innen müssen zudem sicherstellen, dass KI-generierte Inhalte eindeutig als solche identifizierbar sind. Darüber hinaus müssen KI-generierte Texte, die mit dem Ziel veröffentlicht werden, die Öffentlichkeit über Belange von allgemeinem Interesse zu informieren, als KI-basiert gekennzeichnet werden. Dies gilt ebenfalls für Audio- und Video-Inhalte,.
Unter Minimalrisiko bzw. Anwendungen ohne Risiko versteht man bspw. Videospiele oder Spamfilter, die auf KI basieren. Darunter fällt der überwiegende Teil der Systeme innerhalb der EU. Diese gelten weiterhin als frei einsetzbar.
Der AI Act setzt klare Transparenzverpflichtungen für bestimmte KI-Systeme, insbesondere solche, die mit natürlichen Personen interagieren. Diese Verpflichtungen betreffen insbesondere vier Arten von Systemen, die wir im Folgenden näher betrachten.
Anbieter:innen von Interaktionssystemen, wie zum Beispiel Chatbots, müssen sicherstellen, dass die Nutzenden darüber informiert sind, dass sie mit einem KI-System kommunizieren.
Für Anbieter:innen von KI-Systemen, die synthetische Inhalte erzeugen, gelten ebenfalls strenge Vorgaben. Die erzeugten Ergebnisse müssen in einem maschinenlesbaren Format gekennzeichnet und als künstlich erkennbar gemacht werden.
Betreibende von Emotionserkennungssystemen oder biometrischen Kategorisierungen haben die Verpflichtung, betroffene Personen über den Einsatz dieser Technologien zu informieren. Dies umfasst die Erklärungen darüber, wie die Systeme funktionieren und welche Daten erfasst werden.
Ein weiteres wichtiges Thema sind Deepfake-Systeme. Betreibende dieser Technologien müssen offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
Wenn eines dieser Systeme als Hochrisiko-KI-System eingestuft wird, sind zusätzlich die Anforderungen für Hochrisiko-KI-Systeme zu erfüllen.
Ein zentrales und oft diskutiertes Thema im Rahmen des EU AI Acts betrifft die Regulierung von KI-Modellen mit allgemeinem Verwendungszweck. Diese Modelle, die dank ihrer breiten Anwendbarkeit in vielen unterschiedlichen Bereichen eingesetzt werden können, zeichnen sich durch ihre Fähigkeit aus, eine Vielzahl von Aufgaben effizient und kompetent zu erfüllen sowie nahtlos in verschiedene Systeme integriert zu werden.
Ursprünglich enthielt der Vorschlag für die KI-Verordnung keine spezifischen Regelungen für diese Art von Modellen. Das Europäische Parlament setzte sich jedoch für deren Aufnahme ein, was als Reaktion auf die zunehmende Verbreitung von leistungsstarken Modellen wie GPT-4, die in Anwendungen wie ChatGPT verwendet werden, interpretiert werden kann.
In der endgültigen Fassung des AI Acts müssen alle allgemeinen KI-Modelle bestimmten Anforderungen genügen. Besonders für eine Untergruppe dieser Modelle, die potenzielle systemische Risiken mit sich bringen, sind zusätzliche Anforderungen vorgesehen.
Klar ist, dass Anbieter:innen und Betreiber:innen von KI-Systemen geeignete Maßnahmen ergreifen müssen, um sicherzustellen, dass ihr Personal über ein angemessenes Maß an KI-Kompetenz verfügt. Die Nichteinhaltung dieser Vorschriften kann zu erheblichen Konsequenzen führen, inklusive potenzieller Bußgelder.
Das Parlament verabschiedete im März 2024 das Gesetz über KI, und der Rat folgte im Mai 2024 mit seiner Zustimmung. Während die Verordnung grundsätzlich erst ab dem 02. August 2026 in Kraft tritt, ist es wichtig zu berücksichtigen, dass einige Bestimmungen bereits früher Pflicht werden:
Für Hochrisikosysteme hingegen sieht es anders aus: Diese Regelungen gelten erst in drei Jahren. Da es sich um eine Verordnung handelt, werden die darin enthaltenen Vorschriften in allen EU-Mitgliedstaaten unmittelbar anwendbar sein. Diese Verordnung somit zusätzlich in nationales Recht umzusetzen, ist somit nicht notwendig.
Auch für Unternehmen stehen mit dem EU-AI Act große Veränderungen bevor. Wichtig ist es daher, sich frühzeitig mit den Regelungen der KI-Verordnung zu befassen. Im Allgemeinen gilt, dass Unternehmen, die KI-Dienstleistungen anbieten, ihre KI-Produkte und -Dienstleistungen gemäß den Risiko-Kategorien einordnen müssen. Wichtig ist festzustellen, ob sie als "High-risk" eingestuft werden und somit zeitnah handeln müssen.
Für Anbieter:innen von Hochrisiko-KI-Systemen gilt:
Auch Unternehmen, die sich nicht in der Hochrisiko-Kategorie verordnen, müssen entsprechende Maßnahmen ergreifen.
Des Weiteren müssen Unternehmen eine Bestandsaufnahme der genutzten KI-Systeme vornehmen, unabhängig davon, ob sie KI nur intern nutzen oder vermarkten. Sie müssen ihre eigene Rolle und Verpflichtungen im Zusammenhang mit externen KI-Systemen bewerten. Je früher mit der Umsetzung begonnen wird, desto besser. So lassen sich Herausforderungen bei der Einhaltung der Anforderungen vorbeugen. Die Mitarbeitenden müssen aufgeklärt und mit dem EU-AI Act vertraut gemacht werden, sodass die EInhaltung der Sicherheits- und Datenschutzverordnung gewährleistet ist. Es bietet sich an Mechanismen zur menschlichen Kontrolle und regelmäßige Überprüfung der Ergebnisse von KI-Entscheidungen zu implementieren, um Diskriminierung oder Fehlentscheidungen zu vermeiden.
Wichtig ist, die Regulierung nicht per se negativ zu betrachten. Ähnlich wir zur EU-Datenschutz-Grundverordnung (DSGVO) wird ausreichend Zeit für die Umsetzung und das Testen von Anwendungen eingeräumt. Ziel ist es, langfristig das Arbeiten mit KI-Systemen zu erleichtern und das Vertrauen in solche Systeme zu stärken. Der EU-AI Act stellt eine erste Grundlage dar, Vertrauen aufzubauen und gilt somit auch als Chance, das Ansehen und die zukünftigen Potentiale der Technologie in KI-Systemen zu optimieren. Zudem möchte die EU durch Testlabore, die von nationalen Behörden eingerichtet werden, Innovationen fördern, um KI zu entwickeln und zu trainieren, bevor sie auf den Markt kommt.
Den ersten Teil zum EU-AI-Act findet ihr hier.
Der EU-AI-Act ist in Kraft getreten. Konkret bedeutet das viele Änderungen für Firmen, die im Bereich KI tätig sind oder mit KI arbeiten. Welche Anpassungen sind bis wann notwendig? Alle relevanten Informationen für Unternehmen rundum den EU-AI-Act.
mehr lesen...Digitale Rechnungsverarbeitung nutzt KI, um Rechnungen effizient zu erfassen, Daten automatisch zu extrahieren und in Systeme zu übertragen. Doch was sind die Vorteile und wieso sollte man digitale Rechnungsverarbeitung nutzen?
mehr lesen...Wissen ist eine der wichtigsten Ressourcen, um als Unternehmen langfristig erfolgreich zu sein. Wissensmanagement hilft, Ziele zu erreichen und die gewünschten Ergebnisse zu erlangen. Im Blog schauen wir uns an, wie Unternehmen von einer strukturierten Wissensbasis profitieren.
mehr lesen...
