The blu Experience

Das AI/KI Gesetz – ein Erfahrungsbericht

03.05.2024 | Autor Thorsten Enk

Am 13. März 2024 stimmte das EU-Parlament dem AI Act zu, der das weltweit erste Gesetz zur Regulierung künstlicher Intelligenz (KI) schafft. Der AI Act klassifiziert KI-Anwendungen nach Risikogruppen, wobei Anwendungen mit höherem Risiko strengere Anforderungen und Pflichten auferlegt werden sollen. Das Gesetz zielt darauf ab, den Einsatz von Künstlicher Intelligenz (KI) in der Europäischen Union zu regulieren, um ethische Standards zu gewährleisten und die Rechte der Bürger zu schützen.

Nachfolgend möchten wir Ihnen die wichtigsten Informationen zusammenstellen, darstellen, welche Unternehmen betroffen sind, die Inhalte zusammenfassen und aus unserer Beratungserfahrung die Punkte aufführen, die durch die betroffenen Unternehmen zu durchdenken und zu regeln sind.

Damit möchten wir eine Hilfestellung für all die Unternehmen geben, die sich aktuell mit dem Thema beschäftigen bzw. betroffen sind.

Für wen ist das AI/KI-Gesetz relevant?

Die Auseinandersetzung mit dem KI-Gesetz der EU ist für Unternehmen in Deutschland aus mehreren Gründen wichtig. Zunächst einmal ist Deutschland als Mitgliedstaat der Europäischen Union rechtlich verpflichtet, die Vorschriften und Bestimmungen des EU-Gesetzes umzusetzen und einzuhalten.
Für Unternehmen in Deutschland, insbesondere für solche, die KI-Technologien entwickeln, einsetzen oder anbieten, ist das KI-Gesetz von Bedeutung, da es verschiedene Aspekte der Entwicklung, Bereitstellung und Nutzung von KI-Systemen regelt. Dazu gehören beispielsweise Anforderungen an die Transparenz, Sicherheit, Verantwortlichkeit und Ethik von KI-Systemen.
Unternehmen, die KI-Technologien entwickeln oder einsetzen, müssen sicherstellen, dass ihre Produkte und Dienstleistungen den Anforderungen des EU-Gesetzes entsprechen. Dies erfordert möglicherweise Anpassungen an bestehenden Produkten und Prozessen sowie die Implementierung neuer Richtlinien und Verfahren. Folgende Risikoklassen wurden definiert:

Zu den Unternehmen gehören:

  • KI-Entwicklungsunternehmen: Unternehmen, die KI-Technologien entwickeln und bereitstellen, müssen sicherstellen, dass ihre Produkte den Anforderungen des Gesetzes entsprechen, insbesondere in Bezug auf Transparenz, Sicherheit und Ethik.
  • Unternehmen, die KI-Systeme einsetzen: Unternehmen, die KI-Systeme in ihren Betrieben einsetzen, müssen sicherstellen, dass sie die Vorschriften des Gesetzes einhalten, um sicherzustellen, dass die eingesetzten KI-Technologien den rechtlichen Anforderungen entsprechen.
  • Forschungseinrichtungen: Forschungseinrichtungen, die im Bereich der KI tätig sind, müssen sicherstellen, dass ihre Forschungsaktivitäten den ethischen Grundsätzen und rechtlichen Anforderungen entsprechen, die im EU-KI-Gesetz festgelegt sind.

Insgesamt ist die Auseinandersetzung mit dem KI-Gesetz der EU für Unternehmen in Deutschland von entscheidender Bedeutung, um sicherzustellen, dass sie den rechtlichen Anforderungen entsprechen, Innovationen fördern und das Vertrauen der Verbraucher in KI-Technologien stärken.

Nachfolgend ein Überblick über die Historie zur Gesetzgebung.

  • Dezember 2018: Die Europäische Kommission startet die Arbeiten an einer umfassenden Strategie für KI in Europa.
  • Februar 2020: Die Europäische Kommission veröffentlicht einen Entwurf für ein Weißbuch über KI, das verschiedene Ansätze zur Regulierung von KI in Europa skizziert.
  • April 2021: Die Europäische Kommission veröffentlicht einen Vorschlag für das AI-KI-Gesetz, das den rechtlichen Rahmen für die Regulierung von KI in der EU vorsieht.
  • April 2024: Nach intensiven Diskussionen und Überarbeitungen wird das AI/KI-Gesetz offiziell verabschiedet und tritt damit in Kraft.

 

Ab wann gilt das Gesetz?

Der AI Act wird voraussichtlich innerhalb der ersten Hälfte dieses Jahres wirksam. Die Anwendung seiner Vorschriften erfolgt schrittweise:

  • Bestimmungen zur Untersagung von KI werden nach sechs Monaten wirksam,
  • bestimmte Regelungen für Hochrisiko-KI und GPAI nach einem Jahr und
  • die übrigen Regelungen nach zwei Jahren.

Für KI-Systeme, die einer in Annex II des AI Acts aufgeführten Regulierung unterliegen, ist derzeit sogar eine Umsetzungsfrist von 36 Monaten vorgesehen.

Verstöße können mit Geldbußen von bis zu 35 Millionen Euro oder bis zu sieben Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden.

 

Inhalte des AI/KI-Gesetzes im Überblick

Nachfolgend geben wir einen Überblick über die Inhalte des AI/KI-Gesetzes:

  • Anwendungsbereich: Das Gesetz gilt für die Entwicklung, Bereitstellung und Nutzung von KI-Systemen innerhalb der Europäischen Union.
  • Definition von KI-Systemen: Es definiert klar, was als KI-System betrachtet wird und umfasst verschiedene Technologien, die auf maschinellem Lernen, neuronalen Netzen, und anderen Methoden basieren.
  • Verbotene Praktiken: Das Gesetz verbietet bestimmte KI-Praktiken, die als hochriskant oder ethisch bedenklich erachtet werden, wie z.B. die Manipulation von Verhalten, das Social-Scoring ohne Transparenz oder die Überwachung von Menschen durch biometrische Identifizierung in öffentlichen Räumen.
  • Transparenz und Erklärbarkeit: Es legt Anforderungen an die Transparenz und Erklärbarkeit von KI-Systemen fest, um sicherzustellen, dass Benutzer verstehen können, wie KI-Entscheidungen getroffen werden.
  • Datenqualität und Datenschutz: Das Gesetz legt Wert auf die Qualität der verwendeten Daten und schützt die Privatsphäre der Benutzer durch Einhaltung der Datenschutzbestimmungen der EU.
  • Verantwortlichkeit und Haftung: Es definiert klare Verantwortlichkeiten für die Entwicklung und Bereitstellung von KI-Systemen und legt Haftungsregelungen fest, um sicherzustellen, dass Schäden, die durch KI-Systeme verursacht werden, angemessen entschädigt werden.
  • Konformitätsbewertung und Zertifizierung: Das Gesetz fordert eine Konformitätsbewertung und Zertifizierung von KI-Systemen, um sicherzustellen, dass sie den festgelegten Anforderungen entsprechen.
  • Behördliche Überwachung und Durchsetzung: Es schafft Mechanismen für die behördliche Überwachung und Durchsetzung der Bestimmungen des Gesetzes, um sicherzustellen, dass Unternehmen die Vorschriften einhalten.

 

 

Inhalte einer Richtlinie

Um ein effizientes Risikomanagement zu gewährleisten, ist es ratsam, dass Unternehmen Richtlinien, Verfahren und Überwachungslösungen einführen. Diverse Institutionen und Organisationen wie das BSI, das IDW oder die DIN sind bereits dabei, entsprechende Standards zu entwickeln.

Folgende Punkte sollten in der AI/KI Richtlinie geregelt werden:

  • Zweck und Zielsetzung
  • Geltungs- und Anwendungsbereich
  • Interne und externe Anforderungen
  • Konsequenzen bei Verstoß gegen die Regelungen der Richtlinie
    • Konsequenzen bei Verstoß gegen gesetzliche Regelungen
    • Verantwortung des Einzelnen
    • Haftung des Unternehmens
    • arbeitsrechtliche Konsequenzen bei Verstoß gegen die Regelung
  • Voraussetzungen zur Nutzung von AI/KI-Tools
    • Vorgehen zur Risikobewertung bei Verwendung von AI/KI-Systemen
    • Genehmigung der Nutzung von AI/KI Tools und Anwendungen (White List)
    • Einbindung des Datenschutzes
    • Sicherstellen der Transparenz der Verarbeitung
  • Verwendungseinschränkungen (DONT´S)
    • Ausschließlich betriebliche Nutzung
    • Keine Eingabe von schützenswerten Daten
    • Unzulässige Zwecke der Nutzung
    • Einschränkung der Nutzungsrechte
    • Geistiges Eigentum der Lern- und Ausgabedaten
  • Regeln zur Nutzung von AI/KI Tools (DO‘S)
    • Eingabe von fremden Daten in AI/KI Tools
    • Nutzung von AI/KI für die Recherche von Informationen
    • Zugriffskontrolle für die Generierung von Inhalten für Kunden und Geschäftspartner
    • Programmierung und Coding mit AI/KI-Systemen
    • Verwendung und Qualitätssicherung der Ergebnisse
      (ggf. Unterscheidung zwischen intern und extern genutzten Ergebnissen)
      • Dokumentation der Abfrage
      • Ergebniskontrolle
      • Kennzeichnung der Nutzung von AI/KI generierten Ergebnissen
      • Geistiges Eigentum und Urheberrecht
    • Maßnahmen zur Einhaltung der Regelungen
      • Technische und organisatorische Maßnahmen zur Einhaltung der Richtlinie, ggf. Verweis auf korrespondierende Richtlinien im Bereich Informationssicherheit (z.B. ISO27001-Kontrollen) und Datenschutz (TOM)
      • Verfahren zur Meldung von Vorfällen und Verstößen
      • Laufende Risikobewertung
      • Sensibilisierung zum sicheren Umgang mit AI/KI
      • Kontinuierlicher Verbesserungsprozess
      • Interne Revision und externe Audits
      • Lessons Learned
    • Merkblatt mit den wichtigsten 10 Punkten

 

Sofern Ihr Unternehmen Unterstützung bei der Definition der Spielregeln, Erstellung einer Richtlinie und Umsetzung dieser benötigt, sprechen Sie uns gern an.

WordPress Cookie Hinweis von Real Cookie Banner
× Bewirb dich jetzt!