Die KI-Verordnung regelt, wie künstliche Intelligenz (KI) entwickelt und in Europa und genutzt werden darf.
Unternehmen in Deutschland müssen bei der Nutzung von Künstlicher Intelligenz im Rahmen der KI-Verordnung der Europäischen Union verschiedene spezifische Anforderungen und Zeitrahmen beachten.
Der Rat der 27 EU-Mitgliedstaaten hat am 21. Mai 2024 die KI Verordnung und damit einen einheitlichen Rahmen für den Einsatz von Künstlicher Intelligenz in der Europäischen Union verabschiedet.
Am 1. August 2024 tritt die KI-Verordnung in Kraft, abgestuft nach verschiedenen Geltungsbereichen. Unternehmen müssen bereits sechs Monate später erste Regeln befolgen. Sämtliche Bestandteile des Gesetzes sollen dann ab Frühjahr 2026 gelten.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Die KI-Verordnung wird allerdings kein allumfassender Rechtsrahmen für KI sein, vielmehr geht es um die Klassifizierung und Sicherheit von KI-Systemen.
Die KI-Verordnung wird in erster Linie für Anbieter von KI-Systemen relevant sein. Jedoch ergeben sich auch Pflichten für Nutzer von KI-Systemen, die KI im beruflichen Umfeld verwenden.
Das betrifft z.B. ChatGPT, Chatbots im Support, KI für Qualitätskontrolle, zur Preisoptimierung oder im Personalbereich.
Der wesentliche Bestandteil der Verordnung ist die Klassifizierung von KI-Systemen nach damit verbundenen Risiken. Je nachdem, in welche Risikokategorie ein KI-System fällt, sind unterschiedliche Compliance-und Informationspflichten umzusetzen.
Dabei werden KI-Systeme nach ihrem Risiko eingeteilt (unannehmbares, hohes, geringes und minimales Risiko).
Je riskanter ein KI-System ist, desto strenger sind die Anforderungen.
Geringes und minimales Risiko
Die Mehrheit der KI-Systeme fallen unter die Kategorien „geringes Risiko” (z. B. Chatbots) und “minimales Risiko“ (z. B. Spam-Filter). Bei KI-Systemen mit minimalem Risiko werden künftig
Transparenzpflichten zu berücksichtigen sein, sodass z. B. Nutzern beim Chatten mit einem Chatbot klar gemacht werden muss, dass sie mit einer KI und keinem Menschen kommunizieren.
Hochrisiko-KI-Systeme
Ein besonderes Augenmerk legt die Verordnung auf die Regulierung von Hochrisiko-KI-Systemen. Hochrisiko-KI-Systeme sind solche, die ein hohes Risiko für die Gesundheit, Sicherheit oder Grundrechte von Menschen aufweisen. Daher werden auf Anbieter strenge Pflichten zukommen, wie die Dokumentation und die Einrichtung eines Risiko-und Qualitätsmanagementsystems.
PRAXISBEISPIEL:
Ein KI-System mit hohem Risiko wäre beispielsweise der Einsatz von KI im Recruiting für die Auswahl geeigneter Bewerber.
Ein hohes Risiko kann hier im sogenannten “Bias” der KI liegen. Wenn die KI beispielsweise mit Daten trainiert wurde, nach denen überwiegend Männer für die konkrete Stelle ausgewählt wurden, kann es passieren, dass Frauen von der KI in der Bewerberauswahl aufgrund ihres Geschlechts diskriminiert und nicht berücksichtigt werden. Eine solche automatische Entscheidungsfindung wäre allerdings ohnehin nach DSGVO-Gesichtspunkten ohne eine Einwilligung nicht zulässig (Art. 22 DSGVO).
KI-Systeme mit unannehmbarem Risiko
Bestimmte KI-Praktiken, die riskant für Grundrechte und Werte der Europäischen Union sind, sollen durch die KI-Verordnung verboten werden.
Darunter fallen z. B. eine KI zur automatisierten Erkennung von Emotionen am Arbeitsplatz, Täuschungen oder das SocialScoring, wobei das menschliche Verhalten analysiert und bewertet wird.
1. Kategorisierung und Risikobewertung
Unternehmen müssen ihre KI-Systeme gemäß den Kategorien der KI Verordnung bewerten (unannehmbares, hohes, geringes und minimales Risiko).
2. Risikomanagement und Data Governance
Unternehmen müssen ein Risikomanagementsystem einführen und geeignete Maßnahmen umsetzen, die eine hohe Qualität und
Sicherheit der Daten durch die Anwendung von Richtlinien und Standards sicherstellen.
3. Transparenzanforderungen
Für viele KI-Systeme wird eine Transparenzpflicht gelten und KI-generierte Ergebnisse und KI-Chatbots müssen als solche gekennzeichnet werden.
Es ist wahrscheinlich, dass KI-Systeme künftig eine Kennzeichnungsfunktion haben (z. B. digitales Wasserzeichen) werden.
4. Datenschutz und Sicherheit
Datenschutz muss in die Entwicklung und Implementierung von KI-Systemen integriert werden (Privacy by Design).
Die Verarbeitung personenbezogener Daten darf immer nur auf der Basis einer entsprechenden Rechtsgrundlage erfolgen.
Die Grundsätze für die Verarbeitung personenbezogener Daten müssen eingehalten werden.
Unternehmen müssen technische und organisatorische Maßnahmen treffen, um die Sicherheit der KI-Systeme zu gewährleisten und Cyberangriffe zu verhindern.
...
5. Verantwortung und Haftung
Unternehmen müssen sicherstellen, dass ihre Mitarbeiter die notwendigen Fähigkeiten und Kenntnisse haben, um die KI-Systeme verantwortungsvoll zu nutzen und zu überwachen. (Arbeitsanweisungen, Richtlinien, Schulungen).
Sanktionen:
Unternehmen, die gegen die Bestimmungen der KI-Verordnung verstoßen, müssen zukünftig mit Geldbußen rechnen.
Sie benötigen Unterstützung beim sicheren Einsatz von KI in Ihrem Unternehmen?
Ich freue mich, von Ihnen zu hören!