Künstliche Intelligenz

Unternehmen jetzt gefordert: EU-Parlament verabschiedet KI-Gesetz

In dieser Woche hat das EU-Parlament grünes Licht für das Gesetz über künstliche Intelligenz gegeben. Die neuen Regeln zielen darauf ab, Grundrechte, Demokratie und Rechtsstaatlichkeit sowie ökologische Nachhaltigkeit vor Hochrisiko-KI-Systemen zu schützen. Gleichzeitig sollen sie Innovationen ankurbeln. Die Verordnung legt bestimmte Verpflichtungen für KI-Systeme fest, abhängig von den jeweiligen möglichen Risiken und Auswirkungen. Das KI-Gesetz hat direkte Auswirkungen auf Unternehmen und deren Compliance.

Verbotene Anwendungen

Die neuen Vorschriften verbieten bestimmte KI-Anwendungen, die die Rechte der Bürgerinnen und Bürger bedrohen. Dazu zählen unter anderem die biometrische Kategorisierung auf der Grundlage sensibler Merkmale und das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungskameras für Gesichtserkennungsdatenbanken. Ebenfalls verboten sind künftig Emotionserkennungssysteme am Arbeitsplatz und in Schulen sowie das Bewerten von sozialem Verhalten mit KI. Auch vorausschauende Polizeiarbeit, die einzig auf der Profilerstellung oder der Bewertung von Merkmalen einer Person beruht, und der Einsatz von künstlicher Intelligenz, um das Verhalten von Menschen zu beeinflussen oder ihre Schwächen auszunutzen, ist nach den neuen Regeln nicht erlaubt.

Ausnahmen für Strafverfolgungsbehörden

Grundsätzlich ist die Nutzung von biometrischen Fernidentifizierungssystemen durch Strafverfolgungsbehörden verboten. Es gibt jedoch bestimmte ausführlich beschriebene und eng abgegrenzte Ausnahmefälle. Fernidentifizierung in Echtzeit ist nur dann erlaubt, wenn strenge Sicherheitsbestimmungen eingehalten werden – unter anderem gibt es zeitliche und räumliche Beschränkungen, und es muss vorab eine spezielle behördliche oder gerichtliche Genehmigung eingeholt werden. Entsprechende Systeme dürfen beispielsweise genutzt werden, um gezielt nach einer vermissten Person zu suchen oder einen Terroranschlag zu verhindern. Der Einsatz von KI-Systemen zur nachträglichen Fernidentifizierung gilt als hochriskant. Hierfür ist eine gerichtliche Genehmigung nötig, die mit einer Straftat in Verbindung stehen muss.

Verpflichtungen für Hochrisikosysteme

Auch für andere Hochrisiko-KI-Systeme sind bestimmte Verpflichtungen vorgesehen, denn sie können eine erhebliche Gefahr für Gesundheit, Sicherheit, Grundrechte, die Umwelt, Demokratie und den Rechtsstaat darstellen. Als hochriskant werden unter anderem KI-Systeme eingestuft, die in den Bereichen kritische Infrastruktur, allgemeine und berufliche Bildung oder Beschäftigung eingesetzt werden. Auch KI-Systeme, die für grundlegende private und öffentliche Dienstleistungen – etwa im Gesundheits- oder Bankwesen –, in bestimmten Bereichen der Strafverfolgung sowie im Zusammenhang mit Migration und Grenzmanagement, Justiz und demokratischen Prozessen (zum Beispiel zur Beeinflussung von Wahlen) genutzt werden, gelten als hochriskant. Solche Systeme müssen Risiken bewerten und verringern, Nutzungsprotokolle führen, transparent und genau sein und von Menschen beaufsichtigt werden. Die Bevölkerung hat künftig das Recht, Beschwerden über KI-Systeme einzureichen und Entscheidungen erklärt zu bekommen, die auf der Grundlage hochriskanter KI-Systeme getroffen wurden und ihre Rechte beeinträchtigen.

Transparenzanforderungen

KI-Systeme mit allgemeinem Verwendungszweck und die Modelle, auf denen sie beruhen, müssen bestimmte Transparenzanforderungen erfüllen, darunter die Einhaltung des EU-Urheberrechts und die Veröffentlichung detaillierter Zusammenfassungen der für das Training verwendeten Inhalte. Für die leistungsfähigeren Modelle, die systemische Risiken bergen könnten, gelten künftig zusätzliche Anforderungen – etwa müssen Modellbewertungen durchgeführt, systemische Risiken bewertet und gemindert und Vorfälle gemeldet werden.

Darüber hinaus müssen künstlich erzeugte oder bearbeitete Bilder bzw. Audio- und Videoinhalte (sogenannte Deepfakes) in Zukunft eindeutig als solche gekennzeichnet werden.

Maßnahmen zur Förderung von Innovationen und KMU

In den Mitgliedstaaten müssen Reallabore eingerichtet und Tests unter realen Bedingungen durchgeführt werden. Diese müssen für kleine und mittlere Unternehmen sowie für Start-ups zugänglich sein, damit sie innovative KI-Systeme entwickeln und trainieren können, bevor sie auf den Markt kommen.

Eingerichtet wird nun das Europäische Amt für künstliche Intelligenz, um Unternehmen bei der Einhaltung der Vorschriften zu unterstützen, bevor diese in Kraft treten

Nächste Schritte

Die Verordnung wird nun von Rechts- und Sprachsachverständigen abschließend überprüft. Sie dürfte noch vor Ende der Wahlperiode im Rahmen des sogenannten Berichtigungsverfahrens angenommen werden. Auch muss der Rat die neuen Vorschriften noch förmlich annehmen.

Die Verordnung tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft und ist – bis auf einige Ausnahmen – 24 Monate nach ihrem Inkrafttreten uneingeschränkt anwendbar. Die Ausnahmen sind Verbote sogenannter verbotener Praktiken, die bereits sechs Monate nach Inkrafttreten gelten, Verhaltenskodizes (sie gelten neun Monate nach Inkrafttreten), Regeln für künstliche Intelligenz mit allgemeinem Verwendungszweck, einschließlich Governance, (zwölf Monate nach Inkrafttreten) und Verpflichtungen für Hochrisikosysteme (36 Monate nach Inkrafttreten). (Quelle)

KI-Gesetz und Compliance

Unternehmen müssen sich spätestens jetzt damit auseinandersetzen, wie sie KI-Systeme rechtskonform und in ihr Compliance Management System integriert anwenden. Das KI-Gesetz im Unternehmen umzusetzen, bedeutet auch festzulegen, wer für die rechtskonforme Nutzung von KI im Unternehmen zuständig ist. Außerdem müssen die Risiken der angewendeten KI identifiziert und dokumentiert werden. Die Verantwortlichen müssen dafür sorgen, dass maximale Transparenz über sämtliche KI-Prozesse gesichert ist und dabei alle relevanten Gesetze und Regelungen eingehalten werden. Am Ende des Prozesses steht ein Risikobewertungs- und -managementsystem, das in das bestehende Compliance Management System integriert werden muss.

Wir unterstützen Sie bei der Umsetzung, sprechen Sie uns gerne an.