Wie wirken sich die neuen EU-Regeln auf den Einsatz Künstlicher Intelligenz aus?
Bedeutung des EU AI Act für Unternehmen: Verantwortungsvoll & rechtskonform beim Einsatz von KI handeln – Hierzu schuf die EU den AI Act als einheitlichen Rahmen zur Klassifizierung und Sicherheit von KI-Systemen.
Immer mehr Unternehmen integrieren Künstliche Intelligenz (KI) in ihre Anwendungen. Data Analytics oder Machine Learning sollen u.a. helfen Geschäftsprozesse zu automatisieren. ChatGPT ist aktuell in aller Munde, aber wer die KI nutzt, hat auch erfahren, dass sie durchaus zu falschen Ergebnissen kommt. Neben großen Chancen muss man daher auch mögliche Risiken der KI-Systeme wie falsche Informationen und daraus resultierende (Fehl-)Entscheidungen, Verletzungen von Urheber- und Menschenrechten im Auge behalten.
Inhaltsverzeichnis
ToggleAllgemeine Informationen zum EU AI Act
Der AI Act (Artificial Intelligence Act) regelt, wie künstliche Intelligenz (KI) entwickelt und in Europa genutzt werden darf. Unternehmen in Deutschland müssen bei der Nutzung von Künstlicher Intelligenz (KI) im Rahmen des AI Acts der Europäischen Union verschiedene spezifische Anforderungen und Zeitrahmen beachten.
Der Rat der 27 EU-Mitgliedstaaten hat am 21. Mai 2024 den AI Act und damit einen einheitlichen Rahmen für den Einsatz von Künstlicher Intelligenz in der Europäischen Union verabschiedet.
Am 1. August 2024 tritt die KI-Verordnung (KI-VO) in Kraft, abgestuft nach verschiedenen Geltungsbereichen. Unternehmen müssen bereits sechs Monate später erste Regeln befolgen. Sämtliche Bestandteile des Gesetzes sollen dann ab Frühjahr 2026 gelten.
Bedeutung des EU AI Act für Unternehmen: Der AI Act ist in allen seinen Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Der AI Act wird allerdings kein allumfassender Rechtsrahmen für KI sein, vielmehr geht es um die Klassifizierung und Sicherheit von KI-Systemen.
Wen betrifft der AI Act?
Der AI Act wird in erster Linie für Anbieter von KI-Systemen relevant sein.
Jedoch ergeben sich auch Pflichten für Nutzer von KI-Systemen, die KI im beruflichen Umfeld verwenden. Das betrifft z.B. ChatGPT für Marketing, Chatbots im Online-Shop, KI für Qualitätskontrolle, zur Preisoptimierung oder in Human Resources.
Was regelt der AI Act?
Der wesentliche Bestandteil des AI Acts ist die Klassifizierung von KI-Systemen nach damit verbundenen Risiken. Je nachdem, in welche Risikokategorie ein KI-System fällt, sind unterschiedliche Compliance- und Informationspflichten umzusetzen. Dabei werden KI-Systeme nach ihrem Risiko eingeteilt (unannehmbares, hohes, geringes und minimales Risiko).
Es gilt: Je riskanter ein KI-System ist, desto strenger sind die Anforderungen.
Geringes und minimales Risiko
Die Mehrheit der KI-Systeme fallen unter die Kategorien „geringes Risiko” (z. B. Chatbots) und “minimales Risiko“ (z. B. Spam-Filter). Bei KI-Systemen mit minimalem Risiko werden künftig Transparenzpflichten zu berücksichtigen sein, sodass z. B. Nutzern beim Chatten mit einem Chatbot klar gemacht werden muss, dass sie mit einer KI und keinem Menschen kommunizieren.
Hochrisiko-KI-Systeme
Ein besonderes Augenmerk legt der AI Act auf die Regulierung von Hochrisiko-KI-Systemen. Hochrisiko-KI-Systeme sind solche, die ein hohes Risiko für die Gesundheit, Sicherheit oder Grundrechte von Menschen aufweisen. Daher werden auf Anbieter strenge Pflichten zukommen, wie die Dokumentation und die Einrichtung eines Risiko- und Qualitätsmanagementsystems.
Praxisbeispiel
Ein KI-System mit hohem Risiko wäre beispielsweise der Einsatz von KI im Recruiting für die Auswahl geeigneter Bewerber für eine Stelle. Ein hohes Risiko kann hier im sogenannten “Bias” der KI liegen. Wenn die KI beispielsweise mit Daten trainiert wurde, nach denen überwiegend Männer für die konkrete Stelle ausgewählt wurden, kann es passieren, dass Frauen von der KI in der Bewerberauswahl aufgrund Ihres Geschlechts diskriminiert nicht berücksichtigt werden. Eine solche automatische Entscheidungsfindung wäre allerdings ohnehin nach DSGVO-Gesichtspunkten ohne eine Einwilligung nicht zulässig (Art. 22 DSGVO).
Hochrisiko-KI-Systeme können für Webseitenbetreiber, Online-Shops und kleine Unternehmen durchaus praxisrelevant sein. Wenn KI im Personalmanagement eingesetzt wird, ist die Wahrscheinlichkeit groß, dass diese KI künftig als Hochrisiko-KI-System eingeordnet wird.
KI-Systeme mit unannehmbarem Risiko – Verbot von KI-Systemen
Zur Bedeutung EU AI Act für Unternehmen gehören auch bestimmte KI-Praktiken, die riskant für Grundrechte und Werte der Europäischen Union sind, sollen durch den AI Act verboten werden.
Darunter fallen z. B. eine KI zur automatisierten Erkennung von Emotionen am Arbeitsplatz, Täuschungen oder das Social Scoring, wobei das menschliche Verhalten analysiert und bewertet wird.
Was müssen Unternehmen beim Einsatz von KI tun?
Kategorisierung und Risikobewertung
Unternehmen müssen ihre KI-Systeme gemäß den Kategorien des AI Acts bewerten (unannehmbares, hohes, geringes und minimales Risiko).
- Verbotene Anwendungen (Unannehmbare Risiken): Diese müssen 6 Monate nach Inkrafttreten der Verordnung eingestellt werden.
- Hochrisiko-Anwendungen: Diese unterliegen spezifischen Anforderungen und müssen in Übereinstimmung mit den neuen Vorschriften gebracht werden.
Risikomanagement und Data Governance
Unternehmen müssen ein Risikomanagementsystem einführen und geeignete Maßnahmen umsetzen, die eine hohe Qualität und Sicherheit der Daten durch die Anwendung von Richtlinien und Standards sicherstellen.
Transparenzanforderungen
Für viele KI-Systeme wird eine Transparenzpflicht gelten und KI-generierte Ergebnisse und KI- Chatbots müssen als solche gekennzeichnet werden. Es ist wahrscheinlich, dass KI-Systeme künftig eine Kennzeichnungsfunktion (z. B. digitales Wasserzeichen) haben werden.
Datenschutz und Sicherheit
Datenschutz muss in die Entwicklung und Implementierung von KI-Systemen integriert werden (Privacy by Design). Die Verarbeitung personenbezogener Daten darf immer nur auf der Basis einer entsprechenden Rechtsgrundlage erfolgen. Die Grundsätze für die Verarbeitung personenbezogener Daten müssen eingehalten werden. Unternehmen müssen technische und organisatorische Maßnahmen treffen, um die Sicherheit der KI-Systeme zu gewährleisten und Cyberangriffe zu verhindern….
Verantwortung und Haftung
Unternehmen müssen sicherstellen, dass ihre Mitarbeiter die notwendigen Fähigkeiten und Kenntnisse haben, um die KI-Systeme verantwortungsvoll zu nutzen und zu überwachen (Arbeitsanweisungen, Richtlinien, Schulungen.)
Sanktionen
Die Bedeutung des EU AI Act für Unternehmen liegt auch darin, dass Unternehmen, die gegen die Bestimmungen des AI Acts verstoßen, müssen zukünftig mit Geldbußen rechnen. ,
- bis zu 35 Mio. € bzw. 7% des weltweiten Jahresumsatzes für Verstöße in Zusammenhang mit verbotenen KI-Systemen
- bis zu 15 Mio. € bzw. 3% des weltweiten Jahresumsatzes für Verstöße gegen die Pflichten, die sich aus der KI-Verordnung ergeben
- bis zu 7,5 Mio. € bzw. 1,5 % des weltweiten Jahresumsatzes für die Bereitstellung von fehlerhaften Informationen
Weitere Angaben zum vorgegebenen Zeitrahmen für die einzelnen Anforderungen des AI Acts
Anmerkungen zum Einsatz von KI-AI-Tools: Was ist bei der Benutzung von KI-Tools zu beachten?
Bei der Nutzung von KI-Tools besteht die Gefahr des Abflusses von personenbezogenen Daten und vertraulichen Informationen.
Beispiel DeepL: Auszug aus der Datenschutzerklärung DeepL: ·
3. Texte und Übersetzungen –DeepLÜbersetzer (kostenfrei)
Wenn Sie unseren Übersetzungsservice nutzen, geben Sie nur Texte ein, die Sie auf unsere Server übertragen wollen. Die Übermittlung dieser Texte ist notwendig, damit wir die Übersetzung durchführen und Ihnen unseren Service anbieten können. Wir verarbeiten Ihre Texte, die von Ihnen hochgeladenen Dokumente sowie deren Übersetzungen für einen begrenzten Zeitraum, um unsere neuronalen Netze und Übersetzungsalgorithmen damit zu trainieren und zu verbessern. Dies gilt auch für Korrekturen, die Sie an unseren Übersetzungsvorschlägen vornehmen. Die Korrekturen werden an unsere Server weitergeleitet, um diese auf Richtigkeit zu überprüfen und gegebenenfalls den übersetzten Text entsprechend Ihrer Änderungen zu aktualisieren. Wenn Sie die Glossar-Funktion nutzen und dort bestimmte Begriffspaare hinterlegen, werden diese Daten hingegen nur lokal gespeichert und nicht an unsere Server weitergeleitet. Daher können Sie Ihre Glossareinträge nicht in einem anderen Browser oder auf einem anderen Gerät verwenden.
Bitte beachten Sie, dass Sie den DeepL Übersetzer gemäß dessen Nutzungsbedingungen nicht für die Übersetzung von Texten mit personenbezogenen Daten jeglicher Art nutzen dürfen. Die Übersetzung personenbezogener Daten ist nur im Rahmen eines DeepLPro Abos möglich (vgl. auch Ziffer 5).
5. Texte und Übersetzungen –DeepLPro (kostenpflichtig) Wenn Sie im Rahmen unseres kostenpflichtigen DeepLPro-Abonnements Texte übersetzen, werden die von Ihnen eingereichten Texte oder Dokumente nicht dauerhaft gespeichert und nur vorübergehend vorgehalten, soweit dies für die Erstellung und Übertragung der Übersetzung notwendig ist. Nach vollständiger Erbringung der vertraglichen geschuldeten Leistung werden sowohl die eingereichten Texte oder Dokumente als auch deren Übersetzungen gelöscht. Bei der Verwendung von DeepLPro verwenden wir Ihre Texte nicht, um die Qualität unserer Dienstleistungen zu verbessern. Weitere Informationen zur Verarbeitung Ihrer Daten im Rahmen des DeepLPro-Abonnements finden Sie in Ziffer 6 dieser Datenschutzerklärung sowie in unseren DeepLPro Allgemeinen Geschäftsbedingungen.
Bitte beachten Sie, dass Sie grundsätzlich nur dann Texte, die personenbezogene Daten jeglicher Art enthalten, mit DeepLPro übersetzen dürfen, wenn eine datenschutzrechtliche Rechtfertigung dafür vorliegt. Daher sehen unseren AGB den Abschluss eines Auftragsverarbeitungsvertrags vor (siehe dazu Ziffer 8.1.3 der DeepLPro Allgemeinen Geschäftsbedingungen). Für den Abschluss eines solchen Vertrags wenden Sie sich bitte an sales(at)deepl.com.
Vor Benutzung solcher Tools sind die Eintragungen in den Allgemeinen Geschäftsbedingungen, der Datenschutzerklärung bzw. den AGBs auf Speicherverhalten und Verwendung der Daten zu Trainingszwecken zu prüfen.
KI-Schulungen/Seminare
KI-Schulungen und produktunabhängige KI-Beratung helfen Ihnen, die Risiken und Anforderungen zu bewältigen, vor die Sie der AI Act stellt, und das volle Potenzial der KI für Ihr Unternehmen zu erschließen.
Unsere 10-seitige Checkliste KI/LLM-Umsetzung zu : (1) Planung & Vorbereitung, (2) Umsetzung & Einführung und (3) Nutzung & Betrieb und in Maßnahmen, Notwendigkeit und Priorität bietet Ihnen viel Input für die allgemeine Umsetzung von KI in Ihrem Unternehmen.
Bilder: KI-generated