Am 21. Mai 2024 hat der Rat der Europäischen Union den EU AI Act endgültig verabschiedet. Es handelt sich um das weltweit erste umfassende Gesetz zur Regulierung von künstlicher Intelligenz (KI) und wird mit großer Sicherheit auch Signalwirkung für andere Weltteile haben. Das ambitionierte Ziel des EU AI Act ist es, "die Einführung menschenzentrierter und vertrauenswürdiger künstlicher Intelligenz zu fördern" und zugleich "ein hohes Niveau des Schutzes der Gesundheit, der Sicherheit, der in der Charta verankerten Grundrechte, einschließlich der Demokratie, der Rechtsstaatlichkeit und des Umweltschutzes" vor negativen Auswirkungen von KI-Systemen zu gewährleisten (Artikel 1).

Die neue Verordnung nimmt neben den Herstellern und Anbietern auch die Betreiber von KI-Systemen und Anwendungen, die KI integrieren, in die Pflicht. Da KI inzwischen in ganz unterschiedlichen Bereichen zum Einsatz kommt, sieht sich eine große Zahl von Unternehmen dazu aufgefordert, Maßnahmen zu ergreifen. Und dies möglichst rasch: Denn obwohl die Verordnung Übergangsfristen von sechs bis 36 Monaten vorsieht, sind umfangreiche Vorkehrungen zu treffen. Andernfalls drohen empfindliche Strafen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Nachfolgend ein Überblick über die wichtigsten Maßnahmen.

KI-Systeme inventarisieren
In einem ersten Schritt sollten sich Unternehmen einen detaillierten Überblick über alle eingesetzten KI-Systeme verschaffen, um im Anschluss eine korrekte Risikoklassifizierung vornehmen zu können. Dabei empfiehlt sich ein systematisches Vorgehen: Im Falle von eingekauften und selbstentwickelten Plattformen, die bewusst und zielgerichtet KI einsetzen, sind die Bestandsaufnahme und Datenerhebung relativ leicht zu bewerkstelligen. Gleiches gilt für hybride KI, die auf Standardwerkzeugen aufbaut und unternehmensspezifisch weiterentwickelt wurde.

Schwieriger gestaltet sich die Bestandsaufnahme für sogenannte versteckte KI: So sind in vielen Standardtools oder SaaS-Produkten KI-Funktionen integriert beziehungsweise werden über Updates aufgespielt, ohne dass dies dem Nutzer bewusst ist. Um solche Systeme zu identifizieren und die notwendigen Daten beim jeweiligen Anbieter einzuholen, bedarf es eines versierten Experten im Unternehmen.

Schließlich sollte die Bestandsaufnahme auch öffentlich zugängliche generative KI-Systeme wie ChatGPT & Co. umfassen. Dies ist häufig keine leichte Aufgabe, da viele Unternehmen keinen Überblick darüber haben, was von ihren Mitarbeitenden genutzt wird. Hier empfiehlt es sich, mithilfe von Umfragen die genutzten Systeme sowie deren Anwendungsbereiche zu ermitteln. Doch auch unabhängig von den konkreten Vorgaben des AI Act sollten Unternehmen klare Richtlinien für den Umgang mit frei verfügbarer KI formulieren und regelmäßige Schulungen anbieten. Denn der Einsatz von Schatten-KI, also nicht autorisierten Anwendungen, stellt Unternehmen heute vor immer größere Sicherheits- und Compliance-Risiken.

Risikoklasse bestimmen
Erst auf Grundlage einer solch umfassenden Bestandsaufnahme lassen sich die Risikoklassen der eingesetzten KI-Systeme bestimmen. Wichtig zu wissen ist: Für die korrekte Klassifizierung sind die Unternehmen selbst verantwortlich. Der EU AI Act unterscheidet in Bezug auf die Anwendung von KI insgesamt vier Risikokategorien: inakzeptables, hohes, begrenztes und minimales Risiko. Ein inakzeptables Risiko stellen KI-Systeme dar, die tief in die Grundrechte des Einzelnen eingreifen. Dazu gehören etwa Techniken der unbewussten Beeinflussung von Personen oder bestimmte Formen des Social Scoring, wie sie etwa in China Anwendung finden. Da solche KI-Systeme, die bereits innerhalb von sechs Monaten stillzulegen sind, jedoch eher selten zum Einsatz kommen, wird das Verbot nur sehr wenige Unternehmen betreffen.

Weitaus verbreiteter sind dagegen KI-Systeme mit hohem Risiko. Darunter fallen unter anderem solche, die für den Betrieb kritischer Infrastruktur eingesetzt werden. Auch KI-Systeme, die im Personalwesen bei der Auswahl von Bewerbern oder in Schulen und Universitäten bei der Korrektur von Prüfungen unterstützen, werden als hochriskant eingestuft. Gleiches gilt für Anwendungen, die in die Vergabe von Krediten oder Versicherungspolicen involviert sind. Derartige KI unterliegt künftig strengen Anforderungen, deren Erfüllung die betroffenen Unternehmen vor nicht unerhebliche Herausforderungen stellen wird.

Sehr viele KI-Anwendungen fallen in den Bereich mit begrenztem oder minimalem Risiko. Sie müssen kaum oder überhaupt nicht reguliert werden. Für Systeme mit begrenztem Risiko gelten vor allem Transparenzpflichten: Wenn etwa ein Chatbot im Kundenservice Einsatz findet, müssen die Nutzenden zwingend darüber informiert werden, dass sie mit KI interagieren. Systeme mit minimalem Risiko, also etwa KI-basierte Übersetzungsprogramme, unterliegen den geringsten Regulierungsanforderungen. Sie müssen lediglich den allgemeinen Anforderungen an Sicherheit und Datenschutz genügen.

Es wird jedoch viele Fälle geben, in denen es nicht einfach ist, die genaue Risikoklasse festzulegen. Zum Beispiel könnte es schwierig sein, eine exakte Klassifizierung zu finden, wenn KI im Personalwesen eingesetzt wird, die KI jedoch keine Entscheidungen über den Einstellungsprozess trifft, sondern nur unterstützt.

Sonderfall General-Purpose-AI (GPAI)
Eine gute Nachricht für Unternehmen: Setzen sie General-Purpose-AI (GPAI) wie ChatGPT & Co. im Arbeitsalltag ein, müssen sie im Gegensatz zu den Anbietern solcher Systeme keine größeren rechtlichen Einschränkungen befürchten. Selbstverständlich müssen die Datenschutzgesetze der EU eingehalten werden. Gleichfalls zu beachten ist: Wer mithilfe von GPAI einen eigenen Chatbot baut, ist nicht mehr nur Nutzer, sondern kann als Hersteller eingestuft werden – und muss dann umfangreichere Vorgaben erfüllen.

KI mit hohem Risiko: Weitreichende Anforderungen
Unternehmen, die KI-Systeme in den Hochrisiko-Anwendungsbereichen einsetzen wollen, stehen zweifellos vor den größten Herausforderungen. Sie sollten rechtzeitig Prozesse etablieren, die Folgendes beachten: Die KI-Systeme müssen kontinuierlich von speziell geschultem Personal überwacht werden. Zudem bestehen umfangreiche Dokumentations- und Meldepflichten: Automatisch erstellte Protokolle sind für mindestens sechs Monate aufzubewahren, um die ordnungsgemäße Funktionsweise des Systems nachzuweisen und Kontrollen zu ermöglichen.

Bei schwerwiegenden Vorfällen müssen darüber hinaus die zuständigen Behörden unverzüglich informiert werden. Zwingend vorgeschrieben ist auch, dass bereits im Vorfeld alle Mitarbeitenden der jeweiligen Unternehmen zu informieren sind, die vom Einsatz von Hochrisiko-KI direkt oder indirekt betroffen sind. Darüber hinaus sind Unternehmen verpflichtet, eine Konformitätsbewertung und CE-Kennzeichnung des Produktes vorzunehmen sowie die Registrierung des Systems bei den zuständigen Behörden zu gewährleisten.

Verantwortlichkeiten klären
Um den Anforderungen des EU AI Act gerecht zu werden, sollten Unternehmen unbedingt im Vorfeld bestimmen, welche Personen für welche Aufgabenbereiche verantwortlich sind. In jedem Fall sollte ein KI-Beauftragter benannt werden, der alle Prozesse koordiniert und überwacht. Doch auch andere Verantwortlichkeiten sind vorab zu klären: Dies betrifft vor allem KI-Systeme mit hohem Risiko und dabei in erster Linie die Konformitätsbewertung aus rechtlicher und Compliance-Sicht, aber auch das Monitoring und Auditing der eingesetzten KI sowie die umfangreiche Dokumentation.

Im Zuge der Zuweisung von Verantwortlichkeiten können Unternehmen zudem relativ schnell erkennen, welche Aufgaben sich intern erledigen lassen und wofür externe Unterstützung benötigt wird. Dies ist besonders wichtig für kleine und mittlere Unternehmen, die nur über eine kleine IT-Abteilung und begrenzte Mittel verfügen. Werden Ressourcenprobleme frühzeitig erkannt, können externe Berater hinzugezogen werden, die im Risikomanagement unterstützen.

Fazit
Der EU AI Act ist in Kraft getreten und Unternehmen müssen sich jetzt damit auseinandersetzen. Bislang ist noch unklar, wie die konkrete Rechtsdurchsetzung aussehen wird. Das AI Office, dem eine Schlüsselrolle zukommt, konstituiert sich gerade erst. Fehlende Best Practices erzeugen Unsicherheit und auch offizielle Leitlinien der EU-Kommission stehen aus. Unternehmen sollten dennoch schnell die hier beschriebenen Vorkehrungen treffen, um die ersten Schritte zum Einsatz von rechtskonformer KI sicherzustellen und hohe Bußgelder zu vermeiden. Die bürokratischen Hürden sind hoch, aber der EU AI Act zielt darauf ab, eine sichere und verantwortungsvolle Zukunft mit KI zu gestalten.

ln/Philippe Schrettenbrunner, Deputy Head of Cybersecurity und Anja Miller, Senior Digital Designer bei MaibornWolff