„Künstliche Intelligenz beschreibt die Fähigkeit von Maschinen, basierend auf Algorithmen Aufgaben autonom auszuführen und dabei die Problemlösungs- und Entscheidungsfähigkeiten des menschlichen Verstandes nachzuahmen.“ (Quelle: EU verabschiedet erstes KI-Gesetz weltweit | Bundesregierung)
In diesem Blog-Beitrag liefern wir Ihnen nähere Informationen zur entsprechenden Gesetzesgrundlage, welche Auswirkungen und Konsequenzen diese für KMUs haben wird, und wie wir Sie dabei unterstützen können, erfolgreich in die Zukunft zu blicken. Bei dem Artikel handelt es sich um ein ausführliches Follow-Up zu unserem Beitrag aus dem April dieses Jahres.
Was ist der EU AI Act?
Der EU AI Act reguliert die Entwicklung, Bereitstellung und Nutzung von Künstlicher Intelligenz (KI) in der EU. Es soll sicherstellen, dass KI-Systeme verantwortungsvoll eingesetzt werden und keine Gefahr für Grundrechte und Sicherheit darstellen. Gleichzeitig soll Innovation gefördert und das Vertrauen in KI gestärkt werden.
Das Gesetz verfolgt einen risikobasierten Ansatz, d.h. es gelten unterschiedliche Regeln, je nach Höhe des mit einer KI-Anwendung verbundenen Risikos. Dazu werden KI-Systeme in vier Risikokategorien unterteilt (siehe Abbildung 1).
• Unannehmbares Risiko
• Hohes Risiko
• Begrenztes Risiko
• Minimales Risiko
KI-Anwendungen mit einem zu hohen (unannehmbaren) Risiko sind schlichtweg verboten. Für Applikationen mit hohem oder begrenztem Risiko, sind unterschiedliche Anforderungen zu erfüllen, die im Folgenden genauer erläutert werden. Bei minimalem Risiko sind keine neuen Regularien zu beachten.
Hohes Risiko bezieht sich auf Anwendungen in sensiblen Bereichen wie kritische Infrastruktur, Gesundheitswesen oder Strafverfolgung. Für diese Systeme gelten strenge Anforderungen und Regularien, um sicherzustellen, dass diese Systeme verantwortungsvoll und sicher eingesetzt werden. Einige wichtige (aber nicht alle) Anforderungen für diese Kategorie sind nachfolgend aufgeführt:
• Anbietende von KI-Systemen mit hohem Risiko müssen ein umfassendes Risikomanagementsystem implementieren, um potenzielle Risiken zu identifizieren, zu analysieren und zu minimieren. Dieses System muss über den gesamten Lebenszyklus der KI-Anwendung hinweg aktiv sein.
• Die Daten, die zur Entwicklung und zum Training des KI-Systems verwendet werden, müssen von hoher Qualität, repräsentativ und fehlerfrei sein. Besonders wichtig ist, dass die Daten frei von Verzerrungen (Bias) sind, um Diskriminierung zu vermeiden.
• Das System muss von Menschen überwacht werden. Das bedeutet, dass Menschen die Möglichkeit haben, die Entscheidungen der KI zu überwachen und zu korrigieren und das KI-System bei Fehlverhalten zu deaktivieren oder einzuschränken.
• Das KI-System muss diverse Sicherheitsanforderungen erfüllen, um vor Cyberangriffen geschützt zu sein und Manipulationen und Fehlfunktionen zu verhindern.
Für begrenzt risikoreiche KI-Systeme im Rahmen des EU AI Act gelten weniger strenge Anforderungen als für hochrisikoreiche Systeme, dennoch gibt es gewisse Regularien, die eingehalten werden müssen, um sicherzustellen, dass die Nutzer:innen über die Verwendung der KI informiert sind und mögliche negative Auswirkungen minimiert werden.
Die wichtigsten Anforderungen für diese Kategorie sind:
• Nutzer:innen von KI-Systemen mit begrenztem Risiko nutzen diese freiwillig. Sie sollten immer die Möglichkeit haben, das System zu umgehen oder eine menschliche Alternative zu wählen, insbesondere wenn Entscheidungen oder Empfehlungen von der KI getroffen werden.
• KI-Systeme mit begrenztem Risiko dürfen keine täuschenden Techniken anwenden, die dazu führen, dass Individuen den Eindruck haben, sie würden mit einem anderen Menschen anstelle einer KI interagieren.
• Die grundlegenden Datenschutzanforderungen müssen eingehalten werden. So dürfen beispielsweise persönliche Daten der Nutzer nur in Übereinstimmung mit den geltenden Datenschutzvorschriften (wie der DSGVO) verarbeitet werden.
Ein weiterer zentraler Aspekt des EU AI Acts, der sich durch alle Risikostufen zieht, sind die Transparenzpflichten. Unternehmen müssen klar kennzeichnen, wenn sie KI-Technologien einsetzen, und dokumentieren, wie das System funktioniert, welche Daten es verwendet und wie es trainiert wurde. Im Sinne der Erklärbarkeit müssen die Entscheidungen des Systems nachvollziehbar sein.
Was bedeutet der EU AI Act für Unternehmen in Deutschland?
Der EU AI Act richtet sich an alle KI-Systeme, die innerhalb der EU verwendet oder auf den EU-Markt gebracht werden, unabhängig davon, wo sie entwickelt oder hergestellt wurden. Dazu gehören alle Arten von KI-Anwendungen, von Sprachassistenten und Gesichtserkennungssystemen bis hin zu Systemen, die in der Strafverfolgung, der Gesundheitsversorgung, dem Verkehr oder im Bildungswesen eingesetzt werden.
Der EU AI Act gilt für eine Vielzahl von Akteuren, unter anderem den Anbietenden, Entwickler:innen und kommerziellen oder öffentlichen Nutzer:innen von KI-Systemen. Das bedeutet, dass sowohl öffentliche Institutionen als auch private Unternehmen vom EU AI Act betroffen sind, sofern sie KI-Systeme nutzen oder entwickeln bzw. solche vertreiben. Für kleine und mittlere Unternehmen (KMUs) gibt es spezifische Unterstützungsprogramme und Leitlinien, um die Einhaltung der Regularien zu erleichtern.
Mit der Verabschiedung des EU AI Acts wurden verschiedene terminliche Daten festgelegt, an denen einzelne Teile des Gesetzes in Kraft treten. Somit gewährt man Unternehmen noch ein wenig Zeit, um die eigenen Prozesse den neuen Regularien entsprechend anzupassen. Die wichtigsten Termine haben wir in einer Übersicht zusammengestellt:
Um die aufgeführten Fristen einhalten zu können, sollten Unternehmen sich frühzeitig mit ihren KI-Anwendungen und der Umsetzung des EU AI Acts auseinandersetzen. Die folgenden Schritte können dabei helfen:
1. Bestandsaufnahme: Erstellen Sie ein Inventar aller im Unternehmen genutzten, hergestellten und/oder vertriebenen KI-Lösungen.
2. Risikoklassifikation: Klassifizieren Sie Ihre Anwendungen in die oben erklärten Risikokategorien.
3. Fit-Gap-Analyse: Überprüfen Sie, ob Ihre Anwendungen die Regularien ihrer Risikoklasse erfüllen, und identifizieren Sie offene Punkte.
4. Strategieentwicklung: Definieren Sie ein Vorgehen für Regularien, die alle Ihre KI-Anwendungen betreffen, wie beispielsweise die Transparenzpflichten.
5. Umsetzung: Implementieren Sie die in Schritt 4 definierten Strategien und schließen Sie die in Schritt 3 auf der Anwendungsebene identifizierten Gaps.
Wie können wir helfen?
Gerne unterstützen wir Sie dabei, den Anforderungen des EU AI Acts gerecht zu werden. Neben der Beratung zur Risikoklassifizierung und Entwicklung einer Compliance-Strategie für KI-Systeme, bieten wir insbesondere technische Unterstützung bei der Umsetzung der Regularien an.
• Technische Implementierung der Regularien wie z.B. Einführung von Systemen zur automatisierten Protokollierung und Überwachung von KI-Entscheidungen
• Verbesserung der Transparenz Ihrer KI-Systeme durch erklärbare KI-Modelle und die Implementierung verständlicher explanatorischen Mechanismen
• Sicherstellung der Datensicherheits- und Datenschutzanforderungen durch Beratung zur Datenqualität und DSGVO-konforme Datenverarbeitung
Wir finden für jedes Problem eine individuelle Lösung. Sprechen Sie uns an.
Sie haben noch keine KI-Anwendungen in Verwendung aber hätten gerne welche? Gerne identifizieren wir Potenziale für den Einsatz von KI in Ihrem Unternehmen und erstellen Proof of Concepts sowie maßgeschneiderte und EU AI Act-konforme KI-Lösungen für Sie. Kontaktieren Sie uns gerne oder schauen Sie sich unsere Angebote an.
Sie wollen wissen, wie weit Ihr Unternehmen bereits fortgeschritten ist, um KI wirklich gewinnbringend implementieren zu können? Mit unserem KI Reifegradtest können Sie ganz bequem und selbstständig eine erste Evaluation vornehmen.
Weiterführende Links/Quellen:
EU verabschiedet erstes KI-Gesetz weltweit | Bundesregierung
EU AI Act: first regulation on artificial intelligence | Topics | European Parliament (europa.eu)
