#ArtificialIntelligence #AIAct #ITGovernance #GenAI

Am 21. Mai 2024 hat der Rat der Europäischen Union die KI-Verordnung (AI Act) verabschiedet. Dieses wegweisende Gesetz, das weltweit erste seiner Art, setzt klare und einheitliche Richtlinien für die Entwicklung und Nutzung von künstlicher Intelligenz in der Europäischen Union fest. Es ist der weltweit erste kodifizierte Standard zur Entwicklung und dem Einsatz von Künstlicher Intelligenz (KI) und hat den Anspruch, Regeln für die verantwortungsvolle und rechtskonforme Entwicklung und Anwendung von KI zu schaffen – mit strikten Regeln für Hochrisikosysteme bis hin zu einem Verbot von gewissen Anwendungsfällen. Selbst wenn Sie KI bisher nur in geringem Maße nutzen, ist Handlungsbedarf gegeben: Die gestaffelten Übergangsfristen bis spätestens Mitte 2026 sind kurz!

Die EU verfolgt dabei im Rahmen des AI Acts einen risikobasierten Ansatz: Je höher die Wahrscheinlichkeit negativer Effekte auf Gesundheit, Sicherheit oder auf Grundrechte durch ein KI-System, desto stärker wird die das System reguliert. KI-Systeme, deren Nutzung im Widerspruch zu Grundrechten oder EU-Werten stehen, werden ganz verboten.

Unannehmbares Risiko:

KI-Systeme, die Grundrechte verletzen und im Widerspruch zu EU-Werten stehen werden verboten

Zu den verbotenen KI-Praktiken gehören insbesondere KI-Systeme, welche menschliches Verhalten unterschwellig beeinträchtigen, Verletzlichkeit besonders verwundbarer Personen ausnutzen oder zur Beurteilung der Vertrauenswürdigkeit natürlicher Personen anwenden, bspw. durch Social Scoring oder Emotionserkennung am Arbeitsplatz. Dieser Verbotsansatz unterstreicht die Intention der EU, ihre Bürger von potenziell schädlichen Effekten einer KI zu schützen.

Hohes Risiko:

KI-Systeme, die bei Versagen oder bei Missbrauch einen hohen Schaden an Menschen, deren Grundrechten, der Wirtschaft oder der Umwelt verursachen können

Für die Entwicklung, Bereitstellung und Nutzung von hochrisikobehafteten KI-Systemen gelten strenge Anforderungen, z.B. an Datenschutz, Datenqualität, Sicherheit und Dokumentation. Konformität mit dem AI Act muss nachgewiesen werden: Insbesondere ein implementiertes Qualitäts-Management-Verfahren und ein Verfahren zur Validierung des KI-Systems (präventives Risikomanagement). Von hoher Bedeutung ist die Haftbarkeit des anwendenden Unternehmens im Falle fehlerhafter Ergebnisse der KI-Systeme. Als Kontrollanforderung gilt in derart gelagerten Fällen, dass ein Hochrisiko-KI-System von einem Menschen überwacht werden muss. Die technischen Schlagworte „Explainability“ und „Interpretability“ werden somit in der Modellentwicklung immer wichtiger!

Niedriges Risiko:

Ein KI-System oder dessen Ergebnisse müssen als KI-generiert gekennzeichnet sein

KI-Systeme, die nicht in die zuvor erwähnten Kategorien fallen, profitieren von weniger strengen Regulierungsanforderungen. Anbieter und Betreiber von KI-Systemen mit direkter Interaktion mit natürlichen Personen müssen transparent über künstlich generierte Inhalte oder KI-basierte Entscheidungen informieren und diese durch eine Transparenzpflicht als KI-generiert kennzeichnen, z.B. Chatbots und Deepfakes. Dieses aktive Erfordernis entfällt, wenn es aus dem Kontext ersichtlich ist. Darüber hinaus greifen in diesen Fällen weiterhin andere gesetzliche Regelungen, z.B. zum Datenschutz.

KI-Systeme mit allgemeinem Verwendungszweck („General Purpose AI“ – GPAI) unterliegen ebenfalls einer Regulierung. Darunter fallen KI-Systeme, welche vom Anbieter entwickelt wurden, um allgemein anwendbare Funktionen (bspw. Bild- und Spracherkennung oder Textgenerierung) auszuführen und zunächst unabhängig vom konkreten Anwendungsfall sind. Grundsätzlich werden technische Dokumentation, Transparenz bezüglich verwendeter Trainingsdaten und weitere Anforderungen zum Risikomanagement sowie zur Cyber-Security vorausgesetzt. Je nach benötigter Rechenkapazität zum Trainieren des Modells können derartige KI-Systeme aber als Hochrisiko-KI-Systeme klassifiziert werden.

Durch den AI-Act schafft die EU vor allem Rechtssicherheit, mit der die Entwicklung und die Einführung von KI-Systemen in Unternehmen befördert werden kann. Damit KI-Systeme aber erfolgreich (weiter)entwickelt und in Unternehmen eingesetzt werden, sind klare Regeln für Ihr Unternehmen und dessen Mitarbeiter notwendig. Hilfreiche Orientierung für Sie bietet unser Dekalog für die Einführung einer KI-Governance.

In 10 Schritten zur KI-Governance für Unternehmen:

1. Definieren Sie klare Rollen und Verantwortlichkeiten, indem Sie Digital-, IT- Legal- Information Security – und Data Protection Officers Ihres Unternehmens in einer ganzheitlichen Aufbau- und Ablauforganisation vernetzen.
2. Beziehen Sie Mitbestimmungsgremien frühzeitig ein, um Unterstützung sicherzustellen und die Akzeptanz der Regelungen zu vereinfachen.
3. Erklären Sie KI mit praktischen Beispielen, um ein unternehmensweites Verständnis der Technologie zu fördern. Eine unterschätzte Konsequenz des AI-Acts ist es, dass Wissen über KI von mehr Funktionen innerhalb des Unternehmens nötig wird. „Data-/AI-Literacy“ ist nicht mehr nur ein Erfolgsfaktor, sondern wurde zur regulatorischen Notwendigkeit!
4. Beziehen Sie in der Erarbeitung der KI-Governance geografische, verfahrenstechnische und rechtliche Auswirkungen mit ein – unterschätzen Sie nicht mögliche Auswirkungen auf Lieferanten und Dienstleister!
5. Erarbeiten Sie Leitlinien für den ethisch verantwortungsvollen Einsatz von KI im Einklang mit Ihren Unternehmenswerten. Definieren Sie klare „rote Linien“ für Anwendungsfälle.
6. Beziehen Sie Fachexperten, KI-Experten und Mitarbeiter in die Risikoklassifikation der KI-Systeme mit ein. Verzahnen Sie diesen Prozess mit Ihrem RKS/IKS-Prozess.
7. Erleichtern Sie die Einführung von neuen KI-Systemen, indem sie definierte Vorlagen für die Risikobewertung neuer KI-Systeme bereithalten.
8. Geben Sie praxisnahe Regeln für den Einsatz von KI in der täglichen Anwendung.
9. Definieren Sie die Konsequenzen von Verstößen gegen die Governance und entwickeln Sie Notfallpläne für kritische Situationen.
10. Stellen Sie durch Schulungen und wirksamer Kommunikation sicher, dass Regeln der KI-Governance bekannt sind und eingehalten werden.

Im Optimalfall ergeben sich Synergien, wenn Aktivitäten im Kontext AI-Act mit weiteren Umsetzungsvorhaben zu anderen regulatorischen Themen synchronisiert werden (bspw. NIS-2, DORA, DSGVO, …). Ein entsprechendes Setup verhindert, dass Arbeiten ggf. mehrfach ausgeführt werden und fördert zudem den ganzheitlichen Blick auf die IT-Landschaft des Unternehmens.

Unser Leistungsangebot unterstützt Sie und Ihr Unternehmen dabei, sich optimal auf die Regelungen im AI-Act vorzubereiten und diese erfolgreich umzusetzen. Wir bieten umfassende Beratung und maßgeschneiderte Lösungen, die von der Reifefeststellung über Risikobewertung bis hin zur Implementierung von Best Practices reichen. Unser Expertenteam hilft Ihnen, die Vorteile der KI-Technologie voll auszuschöpfen, während Sie gleichzeitig die gesetzlichen Vorgaben einhalten. Lassen Sie uns gemeinsam sicherstellen, dass Sie und Ihr Unternehmen nicht nur konform, sondern auch innovativ und zukunftssicher bleiben!