was bedeutetet der EU AI Act für Unternehmen?

Wie wirken sich die neuen EU-Regeln auf den Einsatz Künstlicher Intelligenz aus?

Bedeutung des EU AI Act für Unternehmen: Verantwortungsvoll & rechtskonform beim Einsatz von KI handeln – Hierzu schuf die EU den AI Act als einheitlichen Rahmen zur Klassifizierung und Sicherheit von KI-Systemen.

Immer mehr Unternehmen integrieren Künstliche Intelligenz (KI) in ihre Anwendungen.  Data Analytics oder Machine Learning sollen u.a. helfen Geschäftsprozesse zu automatisieren.  ChatGPT  ist aktuell in aller Munde, aber wer die KI nutzt, hat auch erfahren, dass sie durchaus zu falschen Ergebnissen kommt. Neben großen Chancen muss man daher auch mögliche Risiken der KI-Systeme wie falsche Informationen und daraus resultierende (Fehl-)Entscheidungen, Verletzungen von Urheber- und Menschenrechten im Auge behalten.

Allgemeine Informationen zum EU AI Act

Der AI Act (Artificial Intelligence Act) regelt, wie künstliche Intelligenz (KI) entwickelt und in Europa genutzt werden darf. Unternehmen in Deutschland müssen bei der Nutzung von Künstlicher Intelligenz (KI) im Rahmen des AI Acts der Europäischen Union verschiedene spezifische Anforderungen und Zeitrahmen beachten.

Der Rat der 27 EU-Mitgliedstaaten hat am 21. Mai 2024 den AI Act und damit einen einheitlichen Rahmen für den Einsatz von Künstlicher Intelligenz in der Europäischen Union verabschiedet.

Am 1. August 2024 tritt die KI-Verordnung (KI-VO) in Kraft, abgestuft nach verschiedenen Geltungsbereichen. Unternehmen müssen bereits sechs Monate später erste Regeln befolgen. Sämtliche Bestandteile des Gesetzes sollen dann ab Frühjahr 2026 gelten.

Bedeutung des EU AI Act für Unternehmen: Der AI Act ist in allen seinen Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Der AI Act wird allerdings kein allumfassender Rechtsrahmen für KI sein, vielmehr geht es um die Klassifizierung und Sicherheit von KI-Systemen.

Wen betrifft der AI Act?

Der AI Act wird in erster Linie für Anbieter von KI-Systemen relevant sein.

Jedoch ergeben sich auch Pflichten für Nutzer von KI-Systemen, die KI im beruflichen Umfeld verwenden. Das betrifft z.B. ChatGPT für Marketing, Chatbots im Online-Shop, KI für Qualitätskontrolle, zur Preisoptimierung oder in Human Resources.

Was regelt der AI Act?

Der wesentliche Bestandteil des AI Acts ist die Klassifizierung von KI-Systemen nach damit verbundenen Risiken. Je nachdem, in welche Risikokategorie ein KI-System fällt, sind unterschiedliche Compliance- und Informationspflichten umzusetzen. Dabei werden KI-Systeme nach ihrem Risiko eingeteilt (unannehmbares, hohes, geringes und minimales Risiko).  

Es gilt: Je riskanter ein KI-System ist, desto strenger sind die Anforderungen.

Geringes und minimales Risiko

Die Mehrheit der KI-Systeme fallen unter die Kategorien „geringes Risiko” (z. B. Chatbots) und “minimales Risiko“ (z. B. Spam-Filter). Bei KI-Systemen mit minimalem Risiko werden künftig Transparenzpflichten zu berücksichtigen sein, sodass z. B. Nutzern beim Chatten mit einem Chatbot klar gemacht werden muss, dass sie mit einer KI und keinem Menschen kommunizieren.

Hochrisiko-KI-Systeme

Ein besonderes Augenmerk legt der AI Act auf die Regulierung von Hochrisiko-KI-Systemen. Hochrisiko-KI-Systeme sind solche, die ein hohes Risiko für die Gesundheit, Sicherheit oder Grundrechte von Menschen aufweisen. Daher werden auf Anbieter strenge Pflichten zukommen, wie die Dokumentation und die Einrichtung eines Risiko- und Qualitätsmanagementsystems.

Praxisbeispiel

Ein KI-System mit hohem Risiko wäre beispielsweise der Einsatz von KI im Recruiting für die Auswahl geeigneter Bewerber für eine Stelle. Ein hohes Risiko kann hier im sogenannten “Bias” der KI liegen. Wenn die KI beispielsweise mit Daten trainiert wurde, nach denen überwiegend Männer für die konkrete Stelle ausgewählt wurden, kann es passieren, dass Frauen von der KI in der Bewerberauswahl aufgrund Ihres Geschlechts diskriminiert nicht berücksichtigt werden. Eine solche automatische Entscheidungsfindung wäre allerdings ohnehin nach DSGVO-Gesichtspunkten ohne eine Einwilligung nicht zulässig (Art. 22 DSGVO).

Hochrisiko-KI-Systeme können für Webseitenbetreiber, Online-Shops und kleine Unternehmen durchaus praxisrelevant sein. Wenn KI im Personalmanagement eingesetzt wird, ist die Wahrscheinlichkeit groß, dass diese KI künftig als Hochrisiko-KI-System eingeordnet wird.

KI-Systeme mit unannehmbarem Risiko – Verbot von KI-Systemen

Zur Bedeutung EU AI Act für Unternehmen gehören auch bestimmte KI-Praktiken, die riskant für Grundrechte und Werte der Europäischen Union sind, sollen durch den AI Act verboten werden.

Darunter fallen z. B. eine KI zur automatisierten Erkennung von Emotionen am Arbeitsplatz, Täuschungen oder das Social Scoring, wobei das menschliche Verhalten analysiert und bewertet wird.

Was müssen Unternehmen beim Einsatz von KI tun?

Kategorisierung und Risikobewertung

Unternehmen müssen ihre KI-Systeme gemäß den Kategorien des AI Acts bewerten (unannehmbares, hohes, geringes und minimales Risiko).

  • Verbotene Anwendungen (Unannehmbare Risiken): Diese müssen 6 Monate nach Inkrafttreten der Verordnung eingestellt werden.
  • Hochrisiko-Anwendungen: Diese unterliegen spezifischen Anforderungen und müssen in Übereinstimmung mit den neuen Vorschriften gebracht werden.

Risikomanagement und Data Governance

Unternehmen müssen ein Risikomanagementsystem einführen und geeignete Maßnahmen umsetzen, die eine hohe Qualität und Sicherheit der Daten durch die Anwendung von Richtlinien und Standards sicherstellen.

Transparenzanforderungen

Für viele KI-Systeme wird eine Transparenzpflicht gelten und KI-generierte Ergebnisse und KI- Chatbots müssen als solche gekennzeichnet werden. Es ist wahrscheinlich, dass KI-Systeme künftig eine Kennzeichnungsfunktion (z. B. digitales Wasserzeichen) haben werden.

Datenschutz und Sicherheit

Datenschutz muss in die Entwicklung und Implementierung von KI-Systemen integriert werden (Privacy by Design). Die Verarbeitung personenbezogener Daten darf immer nur auf der Basis einer entsprechenden Rechtsgrundlage erfolgen. Die Grundsätze für die Verarbeitung personenbezogener Daten müssen eingehalten werden. Unternehmen müssen technische und organisatorische Maßnahmen treffen, um die Sicherheit der KI-Systeme zu gewährleisten und Cyberangriffe zu verhindern….

Verantwortung und Haftung

Unternehmen müssen sicherstellen, dass ihre Mitarbeiter die notwendigen Fähigkeiten und Kenntnisse haben, um die KI-Systeme verantwortungsvoll zu nutzen und zu überwachen (Arbeitsanweisungen, Richtlinien, Schulungen.)

Sanktionen

Die Bedeutung des EU AI Act für Unternehmen liegt auch darin, dass Unternehmen, die gegen die Bestimmungen des AI Acts verstoßen, müssen zukünftig mit Geldbußen rechnen. ,

  • bis zu 35 Mio. € bzw. 7% des weltweiten Jahresumsatzes für Verstöße in Zusammenhang mit verbotenen KI-Systemen
  • bis zu 15 Mio. € bzw. 3% des weltweiten Jahresumsatzes für Verstöße gegen die Pflichten, die sich aus der KI-Verordnung ergeben
  • bis zu 7,5 Mio. € bzw. 1,5 % des weltweiten Jahresumsatzes für die Bereitstellung von fehlerhaften Informationen

Weitere Angaben zum vorgegebenen Zeitrahmen für die einzelnen Anforderungen des AI Acts  

Anmerkungen zum Einsatz von KI-AI-Tools: Was ist bei der Benutzung von KI-Tools zu beachten?

Bei der Nutzung von KI-Tools besteht die Gefahr des Abflusses von personenbezogenen Daten und vertraulichen Informationen.

Beispiel DeepL: Auszug aus der Datenschutzerklärung DeepL: ·

3. Texte und Übersetzungen –DeepLÜbersetzer (kostenfrei)

Wenn Sie unseren Übersetzungsservice nutzen, geben Sie nur Texte ein, die Sie auf unsere Server übertragen wollen. Die Übermittlung dieser Texte ist notwendig, damit wir die Übersetzung durchführen und Ihnen unseren Service anbieten können. Wir verarbeiten Ihre Texte, die von Ihnen hochgeladenen Dokumente sowie deren Übersetzungen für einen begrenzten Zeitraum, um unsere neuronalen Netze und Übersetzungsalgorithmen damit zu trainieren und zu verbessern. Dies gilt auch für Korrekturen, die Sie an unseren Übersetzungsvorschlägen vornehmen. Die Korrekturen werden an unsere Server weitergeleitet, um diese auf Richtigkeit zu überprüfen und gegebenenfalls den übersetzten Text entsprechend Ihrer Änderungen zu aktualisieren. Wenn Sie die Glossar-Funktion nutzen und dort bestimmte Begriffspaare hinterlegen, werden diese Daten hingegen nur lokal gespeichert und nicht an unsere Server weitergeleitet. Daher können Sie Ihre Glossareinträge nicht in einem anderen Browser oder auf einem anderen Gerät verwenden.

Bitte beachten Sie, dass Sie den DeepL Übersetzer gemäß dessen Nutzungsbedingungen nicht für die Übersetzung von Texten mit personenbezogenen Daten jeglicher Art nutzen dürfen. Die Übersetzung personenbezogener Daten ist nur im Rahmen eines DeepLPro Abos möglich (vgl. auch Ziffer 5).

5. Texte und Übersetzungen –DeepLPro (kostenpflichtig) Wenn Sie im Rahmen unseres kostenpflichtigen DeepLPro-Abonnements Texte übersetzen, werden die von Ihnen eingereichten Texte oder Dokumente nicht dauerhaft gespeichert und nur vorübergehend vorgehalten, soweit dies für die Erstellung und Übertragung der Übersetzung notwendig ist. Nach vollständiger Erbringung der vertraglichen geschuldeten Leistung werden sowohl die eingereichten Texte oder Dokumente als auch deren Übersetzungen gelöscht. Bei der Verwendung von DeepLPro verwenden wir Ihre Texte nicht, um die Qualität unserer Dienstleistungen zu verbessern. Weitere Informationen zur Verarbeitung Ihrer Daten im Rahmen des DeepLPro-Abonnements finden Sie in Ziffer 6 dieser Datenschutzerklärung sowie in unseren DeepLPro Allgemeinen Geschäftsbedingungen.

Bitte beachten Sie, dass Sie grundsätzlich nur dann Texte, die personenbezogene Daten jeglicher Art enthalten, mit DeepLPro übersetzen dürfen, wenn eine datenschutzrechtliche Rechtfertigung dafür vorliegt. Daher sehen unseren AGB den Abschluss eines Auftragsverarbeitungsvertrags vor (siehe dazu Ziffer 8.1.3 der DeepLPro Allgemeinen Geschäftsbedingungen). Für den Abschluss eines solchen Vertrags wenden Sie sich bitte an sales(at)deepl.com.

Vor Benutzung solcher Tools sind die Eintragungen in den Allgemeinen Geschäftsbedingungen, der Datenschutzerklärung bzw. den AGBs auf Speicherverhalten und Verwendung der Daten zu Trainingszwecken zu prüfen.

KI-Schulungen/Seminare

KI-Schulungen und produktunabhängige KI-Beratung helfen Ihnen, die Risiken und Anforderungen zu bewältigen, vor die Sie der AI Act stellt, und das volle Potenzial der KI für Ihr Unternehmen zu erschließen.

Unsere 10-seitige Checkliste KI/LLM-Umsetzung  zu : (1) Planung & Vorbereitung, (2) Umsetzung & Einführung und (3) Nutzung & Betrieb und in Maßnahmen, Notwendigkeit und Priorität bietet Ihnen viel Input für die allgemeine Umsetzung von KI in Ihrem Unternehmen.

Bilder: KI-generated

Digitale Modelle

BIM verwendet 3D-Modelle, die detaillierte Informationen über die Bauteile eines Gebäudes enthalten. Diese Modelle können auch zusätzliche Daten wie Kosten, Zeitpläne, Materialien, Energieverbrauch und vieles mehr beinhalten.

Kollaborative Arbeitsweise

BIM fördert die Zusammenarbeit zwischen den verschiedenen Projektbeteiligten wie Architekten, Ingenieuren, Bauunternehmern und anderen Fachleuten. Alle Beteiligten können am gleichen digitalen Modell arbeiten und Änderungen in Echtzeit verfolgen.

Phasenübergreifend

BIM begleitet ein Bauprojekt über seinen gesamten Lebenszyklus, von der Planung und Konstruktion bis zum Betrieb und zur Wartung. Es erleichtert die Informationsverwaltung über alle Phasen hinweg.

Fehlervermeidung und Früherkennung

Durch die Verwendung von BIM können Kollisionen oder Probleme zwischen Bauelementen frühzeitig im Modell erkannt und behoben werden, bevor sie in der Realität auftreten.

Simulation und Analyse

BIM ermöglicht die Durchführung von Simulationen und Analysen, um Aspekte wie Energieeffizienz, Klimaverhalten und andere Leistungsindikatoren zu bewerten.

Datenintegration und -management

BIM ermöglicht die Integration von verschiedenen Arten von Daten in das Modell, einschließlich Kostenberechnungen, Zeitpläne, Materialmengen, und mehr. Dies ermöglicht eine umfassende Projektdokumentation und -steuerung.

Verbesserte Kommunikation

BIM erleichtert die Kommunikation zwischen den Projektbeteiligten, da alle auf ein zentrales Modell zugreifen können. Das reduziert Missverständnisse und verbessert die Informationsweitergabe.

Nachhaltigkeit und Effizienz

BIM ermöglicht die Optimierung von Bauprojekten in Bezug auf Ressourcenverbrauch, Energieeffizienz und Umweltverträglichkeit.

Was ist ein CDE (Common Data Environment)?

  • Ein CDE ist eine digitale Plattform, die als zentraler Speicherort für alle BIM-bezogenen Informationen dient. Es ermöglicht die sichere und strukturierte Speicherung, Verwaltung und gemeinsame Nutzung von BIM-Daten und Dokumenten.
  • Das CDE ist speziell auf BIM-Daten ausgerichtet und bezieht sich oft auf die 3D-Modelle, Metadaten und andere BIM-spezifische Informationen.
  • Es unterstützt die Zusammenarbeit zwischen verschiedenen Projektbeteiligten, indem es einen zentralen Ort bietet, an dem alle am Projekt beteiligten Parteien auf die neuesten BIM-Daten zugreifen können.
  • Ein CDE ist darauf ausgelegt, die Integrität und Verlässlichkeit der BIM-Daten sicherzustellen, um Inkonsistenzen und Konflikte zu minimieren.

ECM & EIM

Schwerpunkt EIM stellt die Ergänzungen zu ECM und die neuen Trends dar. Hier geht es um die wesentlichen Erweiterungen der Funktionalität, Plattform und Ökosystem EIM sowie die Auswirkungen aktueller IT-Trends. Zwei “Maturity Matrix” erlauben den Teilnehmern die Überprüfung der eigenen Situation und Vollständigkeit der eingesetzten oder geplanten Lösungen. Die Teilnehmer erhalten aus erster Hand von erfahrenen Beratern das notwendige Basiswissen um Technologien, Einsatzgebiete und Lösungen einzuschätzen.

Qualitätsverbesserung beim Prozess durch Wegfall händischer Übertragungstätigkeiten und Erhöhung der Transparenz.
Werden Rechnungen also elektronisch empfangen oder eingescannt,  dann automatisch analysiert und per Regelwerk an die Prüfer und Freigeber verteilt, treten im Detail beispielsweise folgende Vorteile ein:

  • Sicherstellung der Vollständigkeit und zeitnahen Erfassung der Verbindlichkeiten aus eingehenden Rechnungen
  • Transparenz der Prozessschritte (z. B. Rechnungsumlauf) und Sicherstellung der Auskunftsfähigkeit (z. B. bei Mahnungen) durch ein elektronisches Rechnungseingangsbuch und Prozessmonitoring
  • Priorisierung von Rechnungseingängen
  • digitaler und direkter Zugriff auf alle Dokumente
  • Vermeidung unkontrollierbarer Abläufe von Papierdokumenten innerhalb des Unternehmens durch elektronische Verfügbarkeit
  • Ausnutzung von Skontogewährung oder
  • Vermeidung von Mahnungskosten
  • Automatische Überprüfung von Unterschriftsberechtigungen
  • Sicherstellung der vollständigen digitalen Bearbeitung eingehender digitaler Rechnungen.

Change- und Akzeptanzmanagement

für Ihre digitale Strategie, Prozess- und Projektmanagement, Change Management sowie rechtliche Vorgaben

Update Information Management

Das Update findet jährlich statt und behandelt aktuelle Standards, Trends und Rechtsfragen, Es wird jeweils in kurzen Fachvorträgen dargestellt, was im letzten Jahr an wichtigen Neuerungen hinzugekommen ist, was aus dem Vorjahr immer noch wichtig ist – aber nicht behandelt wird -, und was im kommenden Jahr zu erwarten ist. In lockerer Atmosphäre gibt es Zeit für Fragen und Informationsaustausch zu Anwendungen, Trends und Kuriosa.

Rechnungseingangsbearbeitung & ECM

Elektronische Rechnungsbearbeitung (Invoicing) & ECM: Wie wirken diese Lösungen wirklich effizient? Die Auswahl einer Eingangsrechnungslösung ist nicht immer ganz einfach. Ist sie dann schließlich eingeführt, wird die Lösung gelegentlich nicht ganz ausgereizt, bleibt hinter den Erwartungen zurück oder ist vielleicht nicht rechtskonform. Das Seminar vermittelt die Erarbeitung einer gelungenen Lösungskonzeption, Anbieter- und Systemauswahl unter Einbezug der Rechtsgrundlagen (Information Governance). Unsere Berater geben Ihnen einen guten Überblick, welche Optimierungsfelder sie auch bei bisherigen Lösungen wahrnehmen können.

Akzeptanz-/ Change Management

Erfolgreich digitale Projekte und Veränderungsprozesse gestalten. Es geht nicht mehr darum, ob sondern wie neue digitale Prozesse und Informationen kontinuierlich eingebunden und genutzt werden. Wie können Mitarbeiter mitgenommen werden, welche Lösungswege gehen?

Verfahrensdokumentation nach GoBD

Das Seminar bietet einen Überblick zu Grundlagen der Verfahrensdokumentation, den rechtlichen Anforderungen (HGB, AO und GoBD) sowie zu Anwendungsgebieten, Struktur und Lösungsansätzen.

Compliance Information Governance

Es geht um die Beherrschung der Information und damit verbunden die nachvollziehbare Erfüllung von rechtlichen und regulativen Anforderungen zum sicheren und gesetzeskonformen Umgang mit Ihren Daten wie u.a. die Umsetzung der EU-Datenschutz-Grundverordnung (EU DSGVO).

Information Management (ECM)

Neben der Klassifikation der unterschiedlichen Ansätze, Architekturen und Basisideen beschäftigt sich das Seminar ausführlich mit den ECM-Hauptkomponenten Capture, Manage, Deliver, Store und Preservation. “Manage” beinhaltet Dokumente, Records, Business Processes, Web, Collaboration, sowie Verwaltung von E-Mails, Digital Assets, strukturierte Daten und Informationen wie z.B. aus SAP und dem Social Media Umfeld. Auch die Information Governance kommt nicht zu kurz.

Archivierung & DMS

Sie erfahren, wie Sie Informationen erfassen, erschließen, bearbeiten und revisionssicher aufbewahren & finden. Das Seminar bietet somit einen Überblick zur revisionssicheren Archivierung und zum Management von Dokumenten. Sie erhalten auch Informationen zu Standards, Migration, neuen Methoden und Herstellung der Rechtskonformität einer Lösung (Information Governance).

Unsere Berater engagieren sich für Jugendprojekte wie Lesepatenschaften, Integration neuer Mitbürger und Kulturprojekte wie ein Kulturhaus oder digitaler Erschließung kleiner Themenarchiven.

Informationsbeherrschungsthemen