26.03.2024
Experten-Artikel: Der EU AI Act und seine Bedeutung für Unternehmen
Der EU AI Act wurde März 2024 verabschiedet und wird im nächsten Schritt im offiziellen Journal der EU veröffentlicht — damit müssen sich Unternehmen bereits 2024 mit den neuen bindenden Bestimmungen auseinandersetzen. Das weltweit erste KI-Gesetz klassifiziert KI-Systeme nach ihren Risiken und hat erhebliche Auswirkungen auf Organisationen, die KI-Systeme innerhalb der EU entwickeln oder nutzen. Dieser Artikel fasst den EU AI Act kurz zusammen und zeigt, wie Sie sich schon heute darauf vorbereiten können.
Was ist der EU AI Act?
Als Teil ihrer KI-Strategie hat die Europäische Kommission den EU AI Act im April 2021 vorgeschlagen, um zu gewährleisten, dass KI auf sichere, zuverlässige und transparente Weise entwickelt und eingesetzt wird. Somit ist der EU AI Act ein Rechtsrahmen, um die Nutzung von KI-Systemen mit den Grundrechten und Werten der Europäischen Union in Einklang zu bringen.
Da verschiedene KI-Anwendungen unterschiedliche Risiken mit sich bringen, verfolgt der AI Act einen risikobasierten Ansatz, der zu einer horizontalen (d.h. sektorübergreifenden) Regulierung führt.
Je nach Risikoeinstufung müssen bestimmte regulatorische Anforderungen erfüllt werden oder sind gewisse KI-Systeme verboten. Der AI Act gilt für jedes KI-System, das sich auf eine natürliche Person in der EU auswirkt — sowohl unternehmensintern als auch extern eingesetzte Systeme.
Die Definition von KI im AI Act
Die Definition eines KI-Systems im AI Act war lange umstritten und wurde mehrmals während den Verhandlungen überarbeitet. Außerdem ist die aktuelle Definition bewusst weit gehalten und ähnelt der der OECD:
“Ein KI-System ist ein maschinelles System, das so konzipiert ist, dass es mit unterschiedlichem Autonomiegrad betrieben werden kann und nach der Inbetriebnahme Lernfähigkeit zeigt, und das für explizite oder implizite Ziele aus den Inputs, die es erhält, ableitet, wie es Outputs wie Inhalte, Prognosen, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen können.”
Wann tritt der EU AI Act in Kraft?
Nach langen Verhandlungen und einigen Einwänden von Mitgliedsstaaten, wie Frankreich, Deutschland und Italien, wurde der EU AI Act Februar 2024 beschlossen und März 2024 verabschiedet. Der AI Act wird voraussichtlich April 2024 im offiziellen Journal der EU veröffentlicht und Mai 2024 in Kraft treten. 6 Monate nach Verabschiedung (voraussichtlich Ende 2024) müssen Unternehmen, die KI-Systeme auf den EU-Markt einführen, die Bestimmungen zu verbotenen KI-Systemen einhalten. Nach 12 Monaten (ca. Mitte 2025) müssen “General Purpose AI” (GPAI) Systemanbieter die neuen regulatorischen Anforderungen erfüllen. Nach zwei Jahren werden alle anderen Bestimmungen in Kraft treten (ca. Mitte 2026). Davon ausgenommen sind Hochrisiko KI-Systeme, welche bereits reguliert sind (z.B. solche, die in medizinischen Geräten, Maschinen oder Fahrzeugen verbaut sind) — diese müssen erst 36 Monate später den Verpflichtungen nachkommen.
Die Risikoklassen im AI Act
Das KI-Gesetz der EU definiert vier Risikostufen für KI-Systeme: inakzeptables, hohes, begrenztes und minimales (bzw. kein) Risiko. Für jede Klasse wird es unterschiedliche Vorschriften und Anforderungen geben.
Das inakzeptable Risiko ist die höchste Risikostufe. Diese Stufe kann in acht KI-Anwendungen unterteilt werden, die mit den Werten und Grundrechten der EU inkompatibel und damit in der EU verboten sind. Dazu gehören bspw. unterschwellige Manipulation, die Beurteilung des emotionalen Zustands einer Person am Arbeitsplatz oder in der Ausbildung oder “Social Scoring”.
KI-Systeme mit hohem Risiko werden am schärfsten reguliert, sind dennoch auf dem EU-Markt zugelassen. Diese Stufe umfasst im Wesentlichen Sicherheitskomponenten von bereits regulierten Produkten und gewisse KI-Systeme, die die Gesundheit und Sicherheit von Menschen, ihre Grundrechte oder die Umwelt gefährden könnten. Diese KI-Systeme können potenziell erheblichen Schaden verursachen, wenn sie versagen oder missbraucht werden, bspw. Systeme im Bewerbungsprozess oder für die Bewertung der Kreditwürdigkeit (mehr Informationen hier). Anbieter solcher Hochrisiko-Systeme müssen einer Reihe an Verpflichtungen nachkommen, z.B. umfangreiche (technische) Dokumentation, Implementierung eines Risiko-Management-Systems oder menschliche Aufsicht (mithilfe von Tools).
KI-Systeme mit einem Risiko der Manipulation oder Täuschung werden unter begrenztem Risiko klassifiziert. KI-Systeme, die unter diese Kategorie fallen, müssen Transparenz-Bestimmungen einhalten, d.h. Menschen müssen über eine Interaktion mit einer KI informiert werden (sofern dies nicht offensichtlich ist), und alle “Deepfakes” bzw. KI-generierte Inhalte müssen gekennzeichnet werden. Chatbots zum Beispiel werden als begrenztes Risiko eingestuft.
Die niedrigste im EU AI Act beschriebene Risikostufe ist das minimale Risiko. Zu dieser Stufe gehören alle anderen KI-Systeme, die nicht unter die oben genannten Kategorien fallen, wie z.B. ein Spam-Filter. Für KI-Systeme mit minimalem Risiko gibt es keine Einschränkungen oder verbindlichen Verpflichtungen. Es wird jedoch empfohlen, allgemeine Grundsätze wie menschliche Beaufsichtigung, Nichtdiskriminierung und Fairness zu befolgen.
Generative AI und Foundation Models im AI Act
General Purpose AI (GPAI) Systeme, wie GenAI, werden in zwei Risikogruppen unterteilt: solche mit “systemischen” und “nicht-systemischen” Risiko. Allerdings werden alle Anbieter solcher GPAI Systeme eine Reihe von Verpflichtungen nachkommen müssen, wobei solche mit systemischen Risiken (d.h. es wurde eine kumulierte Rechenleistung von 10^25 FLOPS für das Training des Modells aufgewendet) weit strenger reguliert sind. Es ist potentiell möglich, die regulatorischen Verpflichtungen hier stark zu reduzieren, sofern gewisse Bedingungen unter einer kostenfreien Open-Source-Lizenz des Modells erfüllt sind.
Falls ein Unternehmen ein GPAI System eines Drittanbieters in die eigenen Produkte oder Systeme integriert, fallen zunächst keine Verpflichtungen für das integrierende Unternehmen an. Es ist jedoch noch unklar, inwiefern die Verpflichtungen für GPAI Systeme überschrieben werden können, wenn das integrierende Unternehmen das GPAI System signifikant verändert. Es ist allerdings sicher, dass Unternehmen, die ein GPAI System in Anwendungen mit hohem oder begrenztem Risiko einsetzen, den jeweiligen Verpflichtungen dieser Risikostufen nachkommen müssen. Der initiale Anbieter muss den nachfolgenden Anbieter bei potentiellen Compliance-Anforderungen unterstützen.
Beispiel A: Ein deutsches Unternehmen verwendet ein Generative AI System eines amerikanischen Anbieters, um einen Chatbot im Kundenservice zu betreiben. Dieser generiert aus den Informationen des Unternehmens in Echtzeit Antworten auf die Fragen der Kunden. In diesem Fall müssen die Transparenz-Verpflichtungen eingehalten, z.B. dass die Person mit einem KI-System in dem Chat interagiert.
Beispiel B: Dasselbe Unternehmen verwendet ein Foundation Model eines amerikanischen Anbieters, um die Arbeitsleistung von Mitarbeitern auszuwerten und um daraus Handlungsempfehlungen für Beförderungsentscheidungen zu generieren. In diesem Fall wird das System für eine Hochrisiko-Anwendung verwendet, weshalb das Unternehmen nun die regulatorischen Anforderungen für Hochrisiko-Systeme erfüllen muss, z.B. detaillierte technische Dokumentation und Implementation eines Risiko Management Systems.
Strafen und Compliance-Kosten
Bei einem Verstoß gegen das Regelwerk für “GPAI” Systeme und Systeme mit hohem oder begrenztem Risiko drohen Strafen von bis zu 15 Mio. EUR oder 3% des weltweiten Jahresumsatzes des Unternehmens. Wer den Behörden keine korrekten und vollständigen Informationen übermittelt oder irreführende Angaben macht, muss mit Geldbußen von bis zu 7,5 Mio. EUR oder 1,5% des weltweiten Jahresumsatzes rechnen. Setzt man verbotene KI Systeme ein oder hält man sich nicht an die Datenanforderungen, drohen sogar Strafen von bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes. KMUs und Start-ups können mit geringeren Strafen belegt werden.
Einer Studie im Auftrag der Europäischen Kommission zufolge belaufen sich die Kosten für Compliance mit dem EU AI Act auf schätzungsweise 17% der KI Investitionskosten eines Unternehmens. Weitere 13,5% der KI Investitionskosten fallen pro Audit eines Hochrisiko-Systems an.
Frühe Vorbereitung ist entscheidend
Zusammenfassend ist es unabdingbar, sich frühzeitig mit dem EU AI Act und dessen Auswirkungen auf die eigene Organisation auseinanderzusetzen, da das Regelwerk einerseits komplex ist und andererseits die ersten Anforderungen bereits Ende 2024 zu erfüllen sind. Insbesondere Anbieter von hochriskanten KI-Systemen sollten den Aufwand für AI Act Compliance nicht unterschätzen.
Zunächst sollten alle KI-Systeme im Unternehmen und deren Risiken in einem “AI Registry” identifiziert werden. Das ermöglicht die Einordnung dieser Systeme nach AI Act Risikoklasse und hilft somit die individuell zu erfüllenden regulatorischen Anforderungen zu verstehen. Ein erster Schritt in Richtung effektiver KI Governance.
Proaktiv KI-Governance-Prozesse im Unternehmen zu implementieren, hilft nicht nur bei Compliance mit externen Regularien, sondern auch die Transparenz und Qualität während der KI Entwicklung zu fördern. Das ist die Grundlage für Vertrauenswürdigkeit, unterstützt bei der Minimierung von KI-Risiken und steigert die Erfolgswahrscheinlichkeit von KI-Projekten.
Autoren: Anna Spitznagel & Nick Malter von trail
Über trail: trail ist ein Münchner Start-up, und Partner des Digital Hubs für angewandte Künstliche Intelligenz in Karlsruhe, das einen AI Governance Copilot anbietet. Der Copilot ermöglicht es Unternehmen vertrauenswürdige und hoch-qualitative KI-Systeme zu entwickeln, während Governance Prozesse automatisiert werden. trail bietet dadurch sowohl technischen als auch nicht-technischen Teams eine simple Möglichkeit sich für kommende KI Regulierung, wie dem EU AI Act, vorzubereiten.
Kontakt: hello@trail-ml.com