Wann tritt er in Kraft?
Die Verordnung tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft und ist 24 Monate nach ihrem Inkrafttreten uneingeschränkt anzuwenden. Ausnahmen gelten für
- KI mit inakzeptabel hohem Risiko (6 Monate nach Inkrafttreten)
- Verhaltenskodizes (9 Monate)
- Regeln für KI mit allgemeinem Verwendungszweck (Englisch „General Purpose AI“, 12 Monate) und
- Verpflichtungen für KI mit hohem Risiko (36 Monate nach Inkrafttreten).
Wer ist vom EU AI Act betroffen?
Dies wird in Artikel 2 des Entwurfs festgelegt. Danach gelten die Regularien für:
- Anbieter, die KI-Systeme in der EU in den Verkehr bringen oder in Betrieb nehmen. Dies sind alle juristischen Personen, Unternehmen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System entwickeln oder entwickeln lassen.
- Nutzer von KI-Systemen, die sich in der Union befinden. Das umfasst ebenfalls Unternehmen, die KI nutzen, und auch natürliche Personen, also Privatpersonen. Beinahe jeder kommt heutzutage mit KI-Systemen in Berührung, sei es durch soziale Medien, Online-Einkäufe oder Navigationssysteme.
Diese Gruppen müssen sich an die Regeln des AI Act halten, egal wo sie ansässig sind, solange ihre KI-Systeme in der EU eingesetzt werden oder Auswirkungen in der EU haben. Ein Beispiel ist ein amerikanisches Tech-Unternehmen, dessen KI-Produkt in Europa genutzt wird.
Jedoch schützt der AI Act nur Personen innerhalb der EU. EU-basierte Unternehmen könnten theoretisch KI-Systeme, die im AI Act verboten sind, außerhalb der EU einsetzen.
Was fällt unter den Begriff „Künstliche Intelligenz“?
- Methoden des maschinellen und tiefen Lernens (Deep Learning)
- Logikbasierte und wissensgestützte Ansätze wie Wissensrepräsentation, induktive Logikprogrammierung, Inferenzsysteme, Deduktionsmaschinen sowie Schlussfolgerungs- und Expertensysteme
- Statistische Methoden, einschließlich Schätzverfahren sowie Such- und Optimierungstechniken verwendet.
Zusätzlich muss die Software
- menschlich definierte Ziele verfolgen
- Vorhersagen, Empfehlungen oder Entscheidungen über Ergebnisse oder Inhalte treffen
- die Umgebung, mit der sie interagiert, beeinflussen.
Welche Einsatzgebiete in Unternehmen sind vom EU AI Act betroffen?
Dazu gehören beispielsweise das Social Scoring, das u.a. im Recruiting/ Personalwesen, bei Kreditbewertungen und im Bildungswesen eingesetzt werden könnte. Aufgrund der o.g. KI-Definition dürften auch zahlreiche IT-Unternehmen in den Geltungsbereich der neuen Vorschriften fallen.
Der EU AI Act setzt Standards für KI-Produkte in Risikobereichen
Der AI Act klassifiziert und reguliert KI-Systeme nach ihrem Risiko. Systeme, die ein inakzeptables Risiko darstellen, sind verboten. Hochrisiko-Systeme müssen strenge Auflagen erfüllen, während für risikoarme Systeme keine oder nur minimale Vorschriften gelten.
Der EU AI Act nimmt eine Einteilung in vier Risikostufen vor:
- Inakzeptables Risiko: KI-Anwendungen, die menschliches Verhalten beurteilen, Menschen beeinflussen oder ihre Schwachstellen ausnutzen, was zu Nachteilen oder Gefährdungen führen kann. Solche Technologien sind verboten, außer in Fällen für die Strafverfolgung.
- Hohes Risiko: Technologien, die nicht direkt verboten sind, aber ernsthafte Risiken für Grundrechte sowie die Sicherheit und Gesundheit von Menschen darstellen. Deren Nutzung wird durch strenge Vorgaben im AI Act reguliert.
- Mittleres Risiko: KI-Systeme, die mit Menschen interagieren, müssen diese über ihre Nutzung aufklären (bekannt als „Transparenz- und Informationspflichten“).
- Geringes Risiko: Für Unternehmen, die KI-Systeme mit niedrigem Risiko verwenden und die nicht speziell durch den AI Act geregelt sind, werden freiwillige Verhaltenskodizes empfohlen.
Was sind die Folgen für Unternehmen?
Der AI Act hat bedeutende Konsequenzen für europäische Firmen und deren Nutzer:innen. Es ergeben sich zahlreiche administrative Pflichten, darunter:
- ein effizientes Risikomanagement
- die Gewährleistung von Qualität
- die Bereitstellung von (technischen) Unterlagen
- die proaktive Kommunikation
Die laufende Überwachung und das rechtzeitige Reagieren im Betrieb sind ebenso essentiell. Ferner strebt die EU an, durch von nationalen Behörden betriebene Testlabore Innovationen zu unterstützen. In diesen Laboren soll KI entwickelt und getestet werden, bevor sie eingeführt wird.
Die praktische technische Umsetzung, die der AI Act nicht direkt adressiert, wird ebenfalls eine Herausforderung darstellen und könnte mit erheblichen Kosten verbunden sein. Die vagen Vorgaben lassen einige Fragen offen und können aufgrund der möglichen Sanktionen Unsicherheiten schaffen. Gleichzeitig eröffnen die generellen Formulierungen den Unternehmen jedoch auch einen gewissen Spielraum für eigene Gestaltungsmöglichkeiten.
Nächste Schritte für Unternehmen
Ihr Unternehmen sollte nun folgende Überlegungen anstellen:
- Setzen Sie bereits KI ein oder planen Sie, dies zu tun?
- Falls ja: Gibt es eine Übersicht über die im Unternehmen genutzten KI-Systeme?
- Existiert eine Strategie für den Einsatz von KI?
- Besteht eine unternehmensinterne Richtlinie zur Steuerung von KI, die sich an den Leitlinien des EU AI Acts orientiert? Haben Sie ein spezielles Team für die Steuerung von KI („AI Governance“) ernannt?
- Welche Funktion ist KI-Systemen im Unternehmen zugedacht?
- Zudem sollten alle Unternehmen ihre Mitarbeiter in Bezug auf KI schulen („AI Literacy“).
Sie haben Fragen zum Einsatz von KI im Marketing? Unsere Experten freuen sich auf Sie.