KI-Gesetz: Der regulative und rechtliche Rahmen für künstliche Intelligenz

Künstliche Intelligenz ist in zahlreichen Systemen verbaut und unterstützt uns Menschen in Arbeits- und Lebenssituationen. Für einen sicheren Rechtsrahmen schafft die Europäische Union mit dem AI Act das weltweit erste KI-Gesetz. Das Ziel dahinter: die Nutzung von künstlicher Intelligenz (KI) mittels risikobasierter Ansätze zu regulieren.

Wir zeigen Ihnen in diesem Beitrag, was Unternehmen heute zum eintretenden KI-Gesetz wissen müssen und welche Chancen sich daraus ergeben.

Mit dem AI Act schafft die Europäische Union ein Regelwerk, das EU-weite harmonisierte Vorschriften für die künstliche Intelligenz beinhaltet. Ziel der EU-Verordnung ist es, den Binnenmarkt zu stärken. So vereinheitlicht der AI Act regulatorisch und rechtlich, wie wir mit KI umgehen – explizit wie wir KI-Systeme entwickeln, auf den Markt bringen, sie in Betrieb nehmen und verwenden.

Künstliche Intelligenz definiert der AI Act in § 4 als „eine Reihe von Technologien, die sich rasant entwickeln und zu vielfältigem Nutzen für Wirtschaft, Umwelt und Gesellschaft über das gesamte Spektrum industrieller und gesellschaftlicher Tätigkeiten hinweg beitragen“.

Hintergrund zum KI-Gesetz

Langfristig steigert der AI Act das Vertrauen in KI-Technologien. Denn das Rahmenwerk basiert auf den in der Charta der EU verankerten Werten. Im KI-Gesetz geht es nicht darum, künstliche Intelligenz zu verbieten oder zu begrenzen. Es geht darum, vertrauenswürdige KI-Systeme einzuführen – und das in jedem Bereich.

Zum Beispiel nutzen Branchen wie die Lebensmittelsicherheit, das Infrastrukturmanagement, öffentliche Dienstleistungen oder Verkehr und Logistik künstliche Intelligenz, um bessere Ergebnisse für die Gesellschaft zu schaffen. So schützt das KI-Gesetz die Rechte von natürlichen Personen, Unternehmen, der Demokratie, Rechtsstaatlichkeit und der Umwelt.

Die Vorteile von künstlicher Intelligenz auf einen Blick:

• KI fördert Innovation.
• KI führt zu besseren Vorhersagen.
• KI entlastet Mitarbeiter.
• KI optimiert Abläufe.
• KI personalisiert digitale Lösungen.
• KI weist Ressourcen effizient zu.
• KI verbessert die Wettbewerbsfähigkeit.
• KI stärkt die allgemeine und berufliche Bildung.

Trotz AI Act profitieren Sie also weiterhin davon, künstliche Intelligenz in Betriebsprozesse einzubinden. Das Gesetz über künstliche Intelligenz minimiert lediglich mit KI eingehende gesundheitliche und sicherheitsbezogene Risiken und schützt die Menschenrechte.

Inkrafttreten und Übergangsregelungen

Das KI-Gesetz betrifft Sie schon heute:

• Am 21. Mai 2024 hat der Rat der 27 EU-Mitgliedsstaaten den AI Act offiziell verabschiedet.
• Am 27. Juli 2024 hat die EU den AI Act im Amtsblatt veröffentlicht.
• Am 01. August 2024 ist der AI Act in Kraft getreten.

Übergangsregelungen gelten für die nächsten zwei Jahre. In dieser Zeit haben die EU-Mitgliedstaaten die Möglichkeit, den AI Act in nationales Recht umzuwandeln. Eine Ausnahme gilt für Hochrisiko-KI-Systeme. Für sie erweitern sich die Übergangsfristen auf 36 Monate.

Für Sie als Unternehmen bedeutet das: Nach Ablauf der Übergangsfristen dürfen Sie KI-Systeme, die dem KI-Gesetz nicht entsprechen, weder vertreiben noch verwenden. Aber: Die Übergangsfristen geben Ihnen auch ausreichend Zeit, sich auf das Gesetz vorzubereiten.

Sie sind vom KI-Gesetz betroffen, sofern Ihr Unternehmen künstliche Intelligenz entwickelt, nutzt oder vertreibt. Ihr Unternehmen ist pro KI-System verpflichtet, den AI Act einzuhalten. Worauf Sie achten müssen, zeigt der Risikograd der KI-Technologie. Denn die Europäische Union verfolgt mit dem AI Act einen risikobasierten Ansatz. Sie unterteilt KI-Systeme in vier Risikokategorien:

1. KI-Systeme mit minimalem Risiko

Verwenden Sie KI-Systeme mit minimalem Risiko, müssen Sie nichts beachten. Es gibt also keine Verpflichtungen. Dazu zählen KI-basierte Rechtschreibkorrekturprogramme, Suchalgorithmen, KI in Videospielen oder Spam-Filter.

2. KI-Systeme mit begrenztem Risiko

Begrenzt risikoreich stuft der AI Act KI-Systeme wie digitale Sprachassistenten (zum Beispiel Doxi), Chatbots oder Deepfakes ein. Wenn Sie solche Systeme verwenden, entstehen Ihnen Informationspflichten gegenüber den Nutzern. Sie müssen also darüber informieren, dass Sie ein KI-System einsetzen, mit dem die Nutzer interagieren. Beachten Sie zudem Kennzeichnungspflichten für KI-generierte Medien wie Audioaufnahmen.

3. KI-Systeme mit hohem Risiko

Ein hohes Risiko geht von KI-Systemen aus, die in Persönlichkeitsrechte eingreifen. Zu den Hochrisiko-KI-Systemen zählt die biometrische Gesichtserkennung, aber auch künstliche Intelligenz, die in Personalmanagement- oder Kreditprüfungstools verbaut sind. Ein hohes Risiko sieht der AI Act also zum Beispiel, wenn die KI entscheidet, ob eine Person ein passender Kandidat für eine offene Stelle ist beziehungsweise den Kredit erhält oder nicht. Ebenfalls in die Kategorie „hohes Risiko“ fallen KI-Systeme aus den Bereichen des Gesundheitswesens, des Bildungsbereiches oder kritischer Infrastrukturen.
Dann ist der Einsatz von künstlicher Intelligenz ein Compliance-Fall. Diese Anforderungen stellt das Gesetz:

• Bewerten Sie, inwiefern das KI-System Grundrechte verletzen könnte.
• Schulen Sie Personal im Umgang mit KI-Modellen.
• Verwahren Sie vom KI-System automatisiert erstellte Protokolle rechtssicher.

4. KI-Systeme mit unannehmbaren Risiko

• KI-Anwendungen und -Praktiken, von denen unannehmbare Risiken ausgehen, sind verboten. Eine Übersicht gibt Ihnen der Artikel 5 des KI-Gesetzes. Verbotene KI-Praktiken sind zum Beispiel:
• KI-Systeme, die das Verhalten von Personen mit manipulativen und täuschenden Techniken so verändern, dass es ihre Entscheidungsfindung beeinflusst.
• KI-Systeme, die nur auf Basis des Profilings voraussagen, ob eine Person eine Straftat begehen könnte.
• KI-Systeme, die Datenbanken zur Gesichtserkennung erweitern, indem sie Gesichtsbilder aus dem Internet oder aus Überwachungsaufnahmen auslesen.

Der AI Act betrifft jedes Unternehmen. Selbst wenn Sie heute noch keine KI verwenden, sind KI-Modelle zukünftig fester Teil der Arbeitswelt. Für Unternehmen, die bereits KI nutzen, lohnt es sich doppelt, sich frühzeitig mit dem AI Act zu befassen.

Das können Sie heute schon im Rahmen des Qualitätsmanagements tun:

Bereits genutzte KI bewerten

Schauen Sie sich im ersten Schritt an, welche KI-Modelle Sie bereits heute verwenden. Wenn Sie Hochrisiko-KI-Systeme nach Anhang III verwenden, sind Sie verpflichtet, das Konformitätsbewertungsverfahren durchzuführen. Der AI Act sieht für die Bewertung von Qualitätsmanagementsystemen und technischen Unterlagen zwei Wege vor:

1. interne Kontrollen
2. externe Kontrollen durch notifizierte Stellen

KI-Systeme jetzt risikobasiert zu bewerten, lohnt sich unabhängig davon, ob Sie zur Konformitätsbewertung verpflichtet sind oder nicht. Es hilft ihnen, Risiken in KI-Systemen vollständig oder teilweise zu reduzieren.

AI Policies erstellen

Im zweiten Schritt legen Sie auf Basis des KI-Gesetzes unternehmensinterne Richtlinien zur KI-Nutzung fest. Sogenannte AI Policies regeln, wie Sie mit KI-Tools umgehen möchten. Welche Tools sind erlaubt? Welche Use Cases darf das Tool abdecken? Wie gehen Sie mit dem Thema Datenschutz um? Solche Fragen beantwortet die AI Policy eindeutig und transparent. Auch wir besitzen eine solche AI Policy.
Der Vorteil: Auf dieser Basis entscheiden Sie heute und in Zukunft, welche KI-Systeme Sie wie und wo nutzen. Unternehmensweit schützt das auch vor Missbrauch. So setzen Sie KI nur so ein, dass es Ihre Geschäftsprozesse positiv beeinflusst.

Dass künstliche Intelligenz für Unternehmen hohe Chancen bietet, zeigt der AI Act bereits darin, dass es KI-Systeme mit minimalem Risiko gibt. Das ist beispielsweise der Fall, wenn künstliche Intelligenz keine Aufgabenschritte kontrolliert, sondern den Mitarbeitern nur welche abnimmt und sie so entlastet. Unsere KI Doxi unterstützt Sie zum Beispiel im Tagesgeschäft, indem es Ihnen redundante Routineaufgaben abnimmt.

Hey Doxi, in welchen Bereichen unterstützt du unter anderem das Tagesgeschäft?

Mit dem AI Act vereinheitlicht die EU für alle Mitgliedstaaten, wie sie KI entwickeln, auf den Markt bringen, in Betrieb nehmen und verwenden. Dabei geht die EU vor allem risikobasiert vor. Mit steigendem Risikograd müssen Unternehmen also auch strengere Auflagen erfüllen, sofern Sie die KI-Systeme einsetzen. Manche sind nun gänzlich verboten. Unternehmen sind gut beraten, wenn Sie sich heute anschauen, welche KI-Systeme sie verwenden, diese bewerten und eigene AI Policies aufstellen. Dann nutzen sie KI-Systeme reguliert, sicher und transparent – die Grundlage, um KI nur für positive Zwecke einzusetzen.

Häufige Fragen zum KI-Gesetz