an artificial intelligence illustration on the wall
Photo by Tara Winstead on Pexels.com
Posted inIT Audit / Compliance / Security

Die Zukunft der KI unter EU-Regulierung: Was Unternehmen erwartet

Die Europäische Union hat am 1. August 2024 einen historischen Meilenstein erreicht, indem die weltweit erste umfassende Regulierung von künstlicher Intelligenz (KI) in Kraft trat. Dies hat weitreichende Konsequenzen für Unternehmen, die KI-Systeme entwickeln oder nutzen. Bereits ab dem 2. Februar 2025 werden bestimmte KI-Praktiken verboten, und bis August desselben Jahres treten weitere Vorschriften für General-Purpose-AI-(GPAI-)Modelle sowie neue Governance-Regeln in Kraft. Unternehmen stehen nun unter Zugzwang, sich innerhalb dieses engen Zeitrahmens vorzubereiten, um drohende Sanktionen zu vermeiden.

Warum die KI-Regulierung notwendig ist

Die rasante Entwicklung von KI-Systemen in den letzten zehn Jahren, insbesondere mit dem Aufkommen großer Sprachmodelle wie ChatGPT im Herbst 2022, hat die Wahrnehmung und das Vertrauen in diese Technologie stark beeinflusst. Die EU-KI-Verordnung zielt darauf ab, den Einsatz von KI sicher und ethisch zu gestalten, indem sie klare Regeln und Standards für die Entwicklung und Anwendung von KI-Technologien innerhalb der EU festlegt. Das übergeordnete Ziel ist es, den technologischen Fortschritt zu nutzen, ohne dabei die Sicherheit und die Rechte der EU-Bürger zu gefährden.

Der risikobasierte Ansatz: Vier Kategorien der KI-Systeme

Die KI-Verordnung verfolgt einen risikobasierten Ansatz: Je größer das prognostizierte Risiko eines KI-Systems, desto strenger sind die Anforderungen an dessen Einsatz. Einige KI-Praktiken oder -Systeme sind sogar vollständig verboten. Die Verordnung unterteilt KI-Systeme in vier Risikokategorien:

  • Inakzeptables Risiko (Verboten):
    • Hierzu gehören KI-Praktiken, die als derart riskant eingestuft werden, dass sie in der EU vollständig untersagt sind.
    • Beispiele sind Systeme, die manipulatives Verhalten verzerren, Schwachstellen ausnutzen oder die Entscheidungsfreiheit einer Person beeinträchtigen, sowie solche, die bewusst auf Menschen in verletzlichen Situationen abzielen.
    • Social Scoring (Bewertung von Menschen anhand ihres sozialen Verhaltens mit unfairen Konsequenzen) ist ebenfalls verboten.
    • Das wahllose Sammeln von Bildern aus dem Internet oder von Überwachungskameras zur Erstellung von Gesichtserkennungsdatenbanken ist untersagt.
    • Der Einsatz von Emotionserkennungssystemen in sensiblen Bereichen wie Arbeitsplätzen oder Schulen ist verboten, es sei denn, es dient medizinischen oder sicherheitsrelevanten Zwecken.
    • Echtzeit-Fernbiometriesysteme in öffentlichen Räumen sind streng reglementiert und nur in Ausnahmefällen (z.B. Suche nach vermissten Personen, Abwehr schwerer Bedrohungen) erlaubt.
  • Hohes Risiko (Umfassende Auflagen):
    • Diese KI-Systeme sind grundsätzlich erlaubt, können aber erhebliche Auswirkungen auf Sicherheit, Gesundheit, Grundrechte oder die Umwelt haben.
    • Beispiele sind:
      • Biometrische Systeme (sofern erlaubt, nicht für reine Identitätsüberprüfung) und Emotionserkennungssysteme (außer medizinisch/sicherheitsrelevant).
      • KI in kritischen Infrastrukturen (z.B. als Sicherheitskomponenten in der Energie- oder Wasserversorgung, Verkehrssystemen).
      • KI-Systeme im Bildungs- und Berufsbildungswesen, die Zugang oder Bewertungen bestimmen.
      • KI-Systeme bei der Rekrutierung oder im Arbeitsplatzmanagement.
      • KI-Systeme für den Zugang zu wesentlichen Dienstleistungen (z.B. Gesundheitsversorgung, Kreditwürdigkeit).
      • KI-Systeme in der Strafverfolgung (z.B. Risikobewertung, Beweisanalyse).
    • Die KI-Verordnung legt umfangreiche Anforderungen und Pflichten fest, die sowohl die technische Funktionsweise als auch die Verantwortung der beteiligten Akteure (Anbieter, Betreiber, Importeure, Händler) betreffen. Dazu zählen:
      • Datenqualität und Daten-Governance zur Minimierung von Verzerrungen.
      • Transparenz gegenüber Nutzern und menschliche Aufsicht.
      • Führung von technischer Dokumentation und Protokollen.
      • Cybersicherheitsmaßnahmen sowie Mechanismen zur Genauigkeit und Robustheit.
    • Ein umfassendes Risikomanagementsystem ist eine zentrale Forderung, das Risiken identifizieren, bewerten, verwalten und überwachen muss. Das NIST AI Risk Management Framework kann hier als Orientierung dienen.
    • Bei Nichteinhaltung drohen hohe Geldbußen: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei schwerwiegenden Verstößen, oder bis zu 15 Millionen Euro bzw. 3 % bei weniger gravierenden Verstößen, wobei KMU niedrigere Strafen erhalten können.
  • Begrenztes Risiko (Transparenz-Verpflichtungen):
    • Diese KI-Systeme, die direkt mit Menschen interagieren, müssen klar darauf hinweisen, dass es sich um eine KI handelt, es sei denn, dies ist offensichtlich.
    • Von KI-Systemen generierte oder manipulierte Inhalte (synthetische Texte, Videos, Bilder) müssen deutlich als solche gekennzeichnet sein, maschinenlesbar und erkennbar.
    • KI-Systeme, die biometrische Kategorisierung oder Emotionserkennung verwenden, müssen die Betroffenen informieren und die Daten gemäß Datenschutzvorschriften verarbeiten.
  • Minimales oder kein Risiko (Keine Auflagen):
    • Systeme, von denen nur ein minimales oder kein Risiko für die Gesellschaft oder Dritte ausgeht, fallen in diese Kategorie und unterliegen keinen besonderen Bestimmungen.
    • Trotz fehlender strenger gesetzlicher Vorgaben fördert die EU die Entwicklung von Verhaltenskodizes, die Unternehmen freiwillig anwenden können, um betriebliche Risiken zu minimieren und Vertrauen zu stärken. Diese Kodizes sollen bis zum 2. Mai 2025 fertiggestellt sein.

Risikokategorien navigieren

Unternehmen haben die Möglichkeit, das Design ihrer KI-Systeme so anzupassen, dass sie in eine niedrigere Risikokategorie fallen und somit weniger Auflagen erfüllen müssen. Eine Herabstufung ist möglich, wenn das KI-System eine eng begrenzte prozedurale Aufgabe erfüllt, menschliche Entscheidungen verbessert, Muster oder Abweichungen erkennt, ohne menschliche Bewertungen zu ersetzen, oder vorbereitende Aufgaben übernimmt. Allerdings wird ein in Anhang III genanntes KI-System immer als Hochrisikosystem eingestuft, wenn es ein Profiling natürlicher Personen durchführt.

Für produktbezogene Hochrisikosysteme gibt es diese Herabstufungsmöglichkeit nicht. Die Einstufung erfordert oft eine Einzelfallbewertung, und Unternehmen werden voraussichtlich auf spezialisierte Rechtshilfe zurückgreifen müssen.

Governance der KI-Verordnung

Die Koordinierung der Umsetzung der KI-Verordnung erfolgt durch das neu eingerichtete KI-Büro und den Europäischen Rat für künstliche Intelligenz.

  • Das KI-Büro unterstützt die Mitgliedstaaten und die Europäische Kommission bei der Entwicklung von Fachwissen und der Umsetzung der Verordnung.
  • Der Europäische Rat für künstliche Intelligenz, bestehend aus Vertretern der Mitgliedstaaten und Beobachtern wie dem Europäischen Datenschutzbeauftragten, sorgt für Harmonisierung und Koordination zwischen nationalen Behörden.
  • Zusätzlich wird ein Beratungsgremium aus Vertretern der Industrie, Zivilgesellschaft und Wissenschaft eingerichtet, das das KI-Büro und den Rat fachlich berät. Ein wissenschaftliches Gremium unabhängiger Experten begleitet die Verordnung mit technischen Bewertungen.
  • Nationale Behörden müssen über ausreichende Ressourcen und Fachkenntnisse verfügen, um die Verordnung durchzusetzen, und ein einheitlicher Ansprechpartner in jedem Mitgliedstaat soll die Kommunikation sicherstellen.

Fazit und Ausblick

Unternehmen stehen vor der Herausforderung, bestehende und zukünftige KI-Services und -Produkte gemäß der neuen Verordnung zu evaluieren. Dies erfordert geeignete Strukturen, Prozesse und Know-how innerhalb der Organisationen. Die Situation wird durch die lange Vorlaufzeit strategischer Entscheidungen und das Fehlen klarer offizieller Verhaltenskodizes erschwert.

Trotz dieser Herausforderungen bieten bestehende Frameworks wie das NIST AI Risk Management Framework eine solide Grundlage zur Erfüllung vieler EU-Vorgaben. Die KI-Verordnung bietet Unternehmen auch die Chance, sich langfristig besser am Markt zu positionieren: Durch die (teilweise) Übernahme der verpflichtenden Maßnahmen für Hochrisiko-KI-Systeme kann die Qualität der eigenen KI-Systeme nachhaltig gesteigert werden, was betriebliche Risiken senkt und für verlässlichere KI-Produkte und -Services sorgen wird. Es bleibt abzuwarten, welche Unternehmen diese Chance nutzen und daraus einen Wettbewerbsvorteil ziehen werden.