ComplianceWie Unternehmen das KI-Gesetz umsetzen

Das KI-Gesetz (KI-Verordnung) der Europäischen Union ist ein Regelwerk, das darauf abzielt, den Einsatz von Künstlicher Intelligenz (KI) innerhalb der EU zu regulieren. Mit ihm sollen Risiken minimiert und die Sicherheit sowie die Grundrechte der Bürgerinnen und Bürger geschützt werden.

Das EU-Gesetz zur künstlichen Intelligenz klassifiziert KI-Systeme nach ihrem Risikograd und legt entsprechende Anforderungen und Standards für Transparenz, Sicherheit und Datenschutz fest. Der EU AI Act klassifiziert KI-Systeme basierend auf ihrem Risiko in vier Kategorien:

• unannehmbares Risiko
• hohes Risiko
• begrenztes Risiko
• minimales Risiko

Diese Einstufung ist entscheidend dafür, wie Unternehmen ihre KI-Systeme einsetzen dürfen.

Die Einführung des EU AI Act gilt als wichtiger Schritt in Richtung einer regulierten KI-Zukunft, in der Sicherheit, Transparenz und die Wahrung der Grundrechte im Vordergrund stehen.

Unternehmen aller Größen und Branchen müssen sich nun mit den Anforderungen des Gesetzes auseinandersetzen und entsprechende Maßnahmen zur Compliance ergreifen, wenn sie KI weiterhin nutzen möchten, ohne gegen gesetzliche Vorgaben zu verstoßen.

Durch eine frühzeitige Vorbereitung und die Implementierung eines soliden KI-Governance-Rahmens vermeiden Sie nicht nur Sanktionen, sondern stärken auch das Vertrauen der Kundinnen und Kunden sowie der Öffentlichkeit in Ihre KI-Anwendungen.

Stellen KI-Anwendungen ein unannehmbares Risiko dar, sind sie laut KI-Gesetz verboten. Dazu gehören beispielsweise:

• Systeme des Social Scoring, die Bürgerinnen und Bürger nach ihrem Verhalten oder sozialen Status bewerten
• Echtzeit-biometrische Identifizierungssysteme in öffentlich zugänglichen Räumen zu Überwachungszwecken
• Systeme, die das Verhalten von Personen in einer Weise manipulieren, die ihnen Schaden zufügen könnte

Hochrisiko-KI-Systeme dürfen unter Einhaltung bestimmter Anforderungen genutzt werden. Betroffen sind davon unter anderem:

• KI in kritischen Infrastrukturen
• KI, die in der Personalbeschaffung oder bei Kreditwürdigkeitsprüfungen eingesetzt wird

Unternehmen müssen für diese Systeme ein angemessenes Risikomanagementsystem etablieren und die KI-Modelle vor der Markteinführung einer Konformitätsprüfung unterziehen. Zusätzlich unterliegen sie strengen Vorschriften bezüglich Daten, Daten-Governance, Dokumentation, Transparenz und menschlicher Aufsicht.

Für KI-Systeme mit begrenztem Risiko gilt eine Transparenzpflicht. Nutzerinnen und Nutzer müssen ausdrücklich darüber informiert werden, dass sie mit einem KI-System interagieren.

Beispiel: Chatbot

Ein Unternehmen setzt auf seiner Kundenservice-Seite einen Chatbot ein, damit häufig gestellte Fragen schnell beantwortet werden können. Um seiner Transparenzpflicht nachzukommen, fügt das Unternehmen folgende deutlich sichtbare Notiz am Beginn des Chatfensters ein:

„Hallo! Ich bin Ava, Ihr virtueller Assistent. Ich bin ein KI-gestütztes System, das hier ist, um Ihre Fragen zu beantworten. Bitte beachten Sie, dass ich ein automatisiertes Programm bin und meine Antworten auf vorprogrammierten Informationen basieren.“

Durch diese Maßnahme werden Nutzerinnen und Nutzer direkt zu Beginn der Interaktion darüber informiert, dass sie mit einem KI-System kommunizieren.

KI-Systeme, die als minimal riskant eingestuft werden, können frei eingesetzt werden. Dennoch empfiehlt es sich, die Entwicklung und Nutzung solcher Systeme an ethischen Richtlinien auszurichten.

Beispiel

Eine Online-Bibliothek implementiert einen Empfehlungsalgorithmus, der Nutzerinnen und Nutzern Buchempfehlungen basierend auf ihren bisherigen Lesevorlieben bietet. Dieses System analysiert die Lesehistorie und Bewertungen und unterbreitet personalisierte Buchvorschläge.

Um die Nutzung dieses KI-Systems ethisch verantwortungsvoll zu gestalten, ergreift das Unternehmen folgende Maßnahmen:

• Transparenz:
  Das Unternehmen informiert die Nutzerinnen und Nutzer darüber, dass ihre Lesevorlieben von einem Algorithmus analysiert werden, um personalisierte Empfehlungen zu generieren. Es wird erklärt, wie der Algorithmus funktioniert und welche Daten verwendet werden.
• Datenschutz:
  Das Unternehmen gewährleistet, dass alle Nutzerdaten sicher gespeichert und verarbeitet werden. Nutzer haben die Möglichkeit, ihre Zustimmung zur Datenanalyse jederzeit zu widerrufen.
• Vielfalt und Inklusion:
  Der Empfehlungsalgorithmus wird so gestaltet, dass er eine breite Palette von Büchern aus verschiedenen Genres, Kulturen und Perspektiven empfiehlt, um Vielfalt und Inklusion zu fördern.
• Nutzerkontrolle:
  Nutzerinnen und Nutzer können Präferenzen angeben oder bestimmte Genres ausschließen, um die Empfehlungen weiter zu personalisieren und ihre eigene Leseerfahrung zu kontrollieren.

Schritt 1: Risikobewertung und Klassifizierung

Führen Sie zunächst eine Bestandsaufnahme und Risikobewertung vorhandener KI-Systeme durch. Erstellen Sie ein Verzeichnis Ihrer KI-Anwendungen und klassifizieren Sie diese gemäß den Risikokategorien des EU AI Act.

Schritt 2: Einhaltung der Anforderungen sicherstellen

Für jedes als hochriskant eingestufte KI-System müssen Sie sicherstellen, dass es den spezifischen Anforderungen des Gesetzes entspricht. Dazu gehört die Durchführung einer Konformitätsbewertung.

Schritt 3: Dokumentieren und Bericht erstatten

Erstellen Sie eine detaillierte Dokumentation Ihrer KI-Systeme und deren Risikobewertungen. Dieser Schritt ist wichtig für die Durchführung von Audits und für die Einhaltung der Berichterstattungspflichten.

Schritt 4: Ethik und Transparenz sicherstellen

Fördern Sie eine Unternehmenskultur, die Ethik und Transparenz in der Entwicklung und Nutzung von KI in den Vordergrund rückt. Dies erreichen Sie zum Beispiel durch die Einführung eines Verhaltenskodex für KI und regelmäßige Schulungen.

Abhängig von Ihrer Branche können zusätzliche, besondere Anforderungen oder Ausnahmen gelten. KI-Systeme unterliegen etwa im Gesundheitswesen strengeren Datenschutzvorschriften. Halten Sie sich daher an branchenspezifische Leitlinien.

Besondere Regeln gelten unter anderem für Unternehmen aus den Bereichen:

• Transport und Mobilität
• Öffentliche Verwaltung und Rechtswesen
• Bildung und Berufsbildung
• Beschäftigung und Personalwesen

Wie Unternehmen in der Praxis mit dem neuen KI-Gesetz umgehen, hängt außerdem von der Unternehmensgröße ab: Während große Unternehmen über Ressourcen verfügen, um umfangreiche KI-Risikomanagement- und Compliance-Programme zu implementieren, sind kleinere Unternehmen dazu nicht in der Lage. Sie sollten sich auf die folgenden Aspekte konzentrieren:

• Fördern Sie bei Ihren Mitarbeitenden das Verständnis für die gesetzlichen Anforderungen: Welche Arten von KI-Systemen werden reguliert? Welche Verpflichtungen resultieren daraus und welche Ausnahmen gelten?
• Stellen Sie sicher, dass Ihre KI-Anwendungen Datenschutzbestimmungen wie die DSGVO einhalten und ethische Richtlinien befolgen.
• Prüfen Sie, ob Ihr Unternehmen von der Zusammenarbeit mit Branchenverbänden, anderen Unternehmen und Experten profitieren könnte. Gemeinsame Initiativen und der Austausch helfen, Ressourcen sparsam einzusetzen und Compliance-Herausforderungen zusammen zu bewältigen.

• Sichten Sie regelmäßig aktuelle Informationen und Leitfäden von vertrauenswürdigen Quellen wie Regierungsbehörden, Branchenverbänden und spezialisierten Rechtsberatern, um auf dem Laufenden zu bleiben.