ONE4 IT - News

Aktuelle Meldungen und Informationen

KI-Gesetz: EU verabschiedet KI-Verordnung – Was das neue KI-Gesetz für Unternehmen bedeutet

Zwei Jahre hat es vom Entwurf bis zum Gesetz gedauert, jetzt sind die Verhandlungen vorbei: Mit dem KI-Gesetz legt die EU Regeln für den Einsatz künstlicher Intelligenz fest und leistet damit Pionierarbeit.

Wir erklären genau, was das KI-Gesetz ist und was das neue KI-Regulierungsgesetz für Unternehmen bedeutet.

Über den Einsatz und Missbrauch von KI

Man könnte sagen, dass das Jahr 2023 von Chancen geprägt war, die künstliche Intelligenz für die Gesellschaft im Allgemeinen und die Wirtschaft im Besonderen zu bieten hat. Da ChatGPT eine breite Akzeptanz gefunden hat und in der Folge unzählige KI-Tools auf den Markt gekommen sind, haben sich viele Unternehmen vorgenommen, die praktischen Einsatzmöglichkeiten dieser neuen Technologien zu testen. Es stellte sich heraus, dass KI-Tools tatsächlich ein enormes Potenzial haben, um die Effizienz zu steigern, Kosten zu senken und die Kundenzufriedenheit zu erhöhen.

Doch wie so oft bei dieser großen technischen Innovation sind Einsatz und Missbrauch sehr eng miteinander verknüpft. Denn: KI kann nicht nur mit guten, sondern auch mit negativen Absichten eingesetzt werden. KI-Angriffe sind hier nur eines von vielen Beispielen. Die Warnungen vor den potenziellen Risiken von KI-Systemen können daher nicht einfach beiseite geschoben werden.

Aus diesem Grund hat die Europäische Kommission einen Vorschlag für eine Verordnung zur Regulierung künstlicher Intelligenz ausgearbeitet: den AI Act. Nach zähen Verhandlungen wurde am 8. Dezember 2023 eine Einigung erzielt.

Zu sehen sind zwei Personen in einer Verhandlung. Es geht um den AI Act. Bild: Pexels/Mikhail Nilov

Die Verhandlungen waren hart, aber jetzt ist das KI-Gesetz abgeschlossen. Bild: Pexels/Mikhail Nilov

Was ist das KI-Gesetz?

Das KI-Gesetz (auch: Artificial Intelligence Act, AIA) ist ein Vorschlag der Europäischen Kommission zur Regulierung der künstlichen Intelligenz (KI) als Teil der digitalen Strategie der EU. Es wurde im April 2021 vorgestellt, nach mehr als zwei Jahren wurde am 8. Dezember 2023 eine Einigung zwischen dem Europäischen Parlament und den Verhandlungsführern der EU-Mitgliedstaaten erzielt. Die sogenannten Trilogverhandlungen zwischen Rat, Parlament und Kommission der EU gelten somit als beendet.

Das Hauptziel des EU-Gesetzes über künstliche Intelligenz besteht darin, den Einsatz künstlicher Intelligenz in Europa zu regulieren und sicherzustellen, dass sie sicher, menschenrechtskonform und demokratisch ist. Auf der Grundlage eines risikobasierten Ansatzes sollte ein sicherer und vertrauensbildender Rechtsrahmen geschaffen werden. Laut dem für den Binnenmarkt zuständigen EU-Kommissar Thierry Breton schafft das weltweit erste KI-Gesetz ein Gleichgewicht zwischen Sicherheit, Innovation und der Achtung der Grundrechte und Werte in der Europäischen Union.

Einteilung von KI-Anwendungen in Risikogruppen

Gemäß dem KI-Gesetz sollten KI-Anwendungen in vier Risikoklassen eingeteilt werden. Je nach potenziellem Risiko müssen die Anbieter der jeweiligen Anwendung verschiedene Anforderungen erfüllen. Die Aufteilung ist wie folgt:

  • Systeme mit geringem Risiko/geringem Risiko:
    Die Mehrheit der KI-Anwendungen fällt in diese Kategorie. Hier gibt es keine oder nur minimale Transparenzanforderungen. Beispielsweise sollten Benutzer benachrichtigt werden, wenn sie mit einer KI interagieren.
  • Eingeschränktes Risiko/Begrenzung riskanter Systeme:
    Dazu gehören grundlegende KI-Modelle wie das grundlegende Sprachmodell GPT-4, auf dem ChatGPT basiert. Anbieter von Anwendungen in dieser Kategorie müssen bestimmte Transparenz- und Kennzeichnungsanforderungen erfüllen. Technische Unterlagen und die Einhaltung der EU-Urheberrechtsvorschriften sind ebenfalls erforderlich. Insbesondere müssen Anbieter generativer KI offenlegen, dass die Inhalte durch KI generiert wurden, sie müssen ihr Modell so gestalten, dass es keine illegalen Inhalte generiert, und sie müssen Informationen darüber bereitstellen, welche (urheberrechtlich geschützten) Daten für das Training ihrer Modelle verwendet wurden.
  • Systeme mit hohem Risiko/hohem Risiko:
    KI-Systeme, die sich negativ auf die Sicherheit oder die Grundrechte auswirken könnten, sind betroffen. Anbieter müssen deutlich strengere Sicherheitsanforderungen erfüllen, unter anderem in Bezug auf Rückverfolgbarkeit, Risikomanagement oder Cybersicherheit. Dazu gehören KI-Systeme, die in Produkten verwendet werden, die unter die EU-Produktsicherheitsvorschriften fallen (wie Spielzeug, Luftfahrt, Kraftfahrzeuge, medizinische Geräte und Aufzüge). KI-Systeme, die in den folgenden Bereichen eingesetzt werden, gelten ebenfalls als hochriskant:

    • Klassifizierung und Identifizierung von Personen anhand biometrischer Merkmale
    • Verwaltung und Betrieb kritischer Infrastrukturen
    • Allgemeine und berufliche Aus- und Weiterbildung
    • Beschäftigung, Mitarbeitermanagement und Zugang zur selbständigen Erwerbstätigkeit
    • Zugang zu grundlegenden privaten und öffentlichen Dienstleistungen und Leistungen sowie deren Inanspruchnahme
    • Rechtspflege
    • Verwaltung von Migration, Asyl und Grenzkontrolle
    • Unterstützung bei der Auslegung und Anwendung des Gesetzes
  • Inakzeptables Risik/Systeme mit inakzeptablem Risiko:
    Anwendungen in dieser Kategorie gelten als Bedrohung und sind daher gemäß dem KI-Gesetz vollständig verboten. Beispiele hierfür sind sogenannte soziale Bewertungssysteme, bei denen Personen anhand ihres Verhaltens, ihres sozioökonomischen Status oder ihrer persönlichen Merkmale eingestuft werden, oder Echtzeit- und Fernidentifikationssysteme, die auf biometrischen Daten wie Gesichtserkennung basieren. Es gibt jedoch Ausnahmen: So dürfen beispielsweise biometrische Identifikationssysteme, die erst nach erheblicher Verzögerung identifizieren, zur Verfolgung schwerer Verbrechen zugelassen werden, allerdings nur nach gerichtlicher Genehmigung.

Durch strenge Vorschriften für KI-Systeme mit hohen und übermäßigen Risiken soll das KI-Gesetz die Sicherheit und die Grundrechte der Menschen schützen. Die Tatsache, dass auch grundlegende KI-Modelle unter diese Verordnung fallen, war ein besonderer Streitpunkt in den Verhandlungen.

Zu sehen sind die Waage der Justizia und ein Richterhammer; es geht um den AI Act. Bild: Pexels/Sora Shimazaki

Das KI-Gesetz wird voraussichtlich ab 2026 geltendes Recht sein. Bild: Pexels/Sora Shimazaki

Ein kurzer Überblick über die Reaktion auf das AI-Gesetz

Die Verhandlungen waren durch ein ganz bestimmtes Problem gekennzeichnet — nämlich die Herausforderung, genau das richtige Gleichgewicht zwischen Überregulierung und Unterregulierung zu finden. Kurz gesagt, es gibt zwei Positionen, die einander entgegenstehen: Die eine Seite drängt auf eine sichere und vertrauenswürdige KI, die den Werten der EU entspricht und transparent ist, die andere Seite befürchtet, dass zu viel KI-Regulierung den technischen Fortschritt und die Innovationsfähigkeit behindern wird.

Dementsprechend ist die Reaktion auf das KI-Gesetz in Deutschland sehr unterschiedlich. Der TÜV-Verband beispielsweise lobt die Pionierarbeit der EU und begrüßt, dass das KI-Gesetz mit seinem risikobasierten Ansatz die Sicherheit erhöht und Innovationen schützt. Die Tatsache, dass auch grundlegende KI-Modelle von der Verordnung betroffen sind, schafft Vertrauen bei den Nutzern und erhöht die Rechtssicherheit für professionelle Anwender, die ihre eigenen KI-Anwendungen auf der Grundlage einer „Allzweck-KI“ entwickeln.

Dazu steht beispielsweise der Branchenverband Bitkom: In einer Mitteilung heißt es, dass der nach den Trilogverhandlungen zur Regulierung generativer KI erzielte Kompromiss das Ziel sprengt und tief in die Technologie eindringt. Der Verband ist skeptisch, wie die Umsetzung letztlich in der Praxis aussehen wird.

Wen betrifft das KI-Gesetz?

Wer konkret vom KI-Gesetz betroffen ist, wird in Artikel 2 des neuen KI-Gesetzes erläutert. Dies zeigt, dass das europäische KI-Gesetz für die folgenden Personen und Organisationen gelten wird:

  • Anbieter: Alle juristischen Personen, Behörden, Institutionen oder andere Stellen, die ein KI-System entwickeln oder entwickeln lassen und ein KI-System in der EU anbieten, vermarkten oder betreiben.
  • Nutzer: Alle natürlichen Personen, die ein KI-System in der EU nutzen.

Die KI-Verordnung gilt übrigens auch, wenn sich Anbieter oder Nutzer in einem Drittland befinden, die KI aber innerhalb der EU eingesetzt wird. Hier kommt das sogenannte Marktortationsprinzip zum Einsatz, das bereits aus der europäischen Datenschutzgrundverordnung (DSGVO) bekannt ist.

Zu sehen sind Buchstaben aus Scrabbel, gelegt ist das Wort „LAW“. Es geht um den AI Act. Bild: Pexels/CQF-Avocat

Das KI-Gesetz gilt für Nutzer und Anbieter von KI-Systemen. Bild: Pexels/CQF – Avocat

Wann tritt das KI-Gesetz in Kraft?

Bisher (Stand 13. Dezember 2023) gibt es noch kein konkretes Datum für das Inkrafttreten des KI-Gesetzes. Nachdem die Trilogverhandlungen am 8. Dezember 2023 zu Ende gegangen sind, müssen einige bereits vereinbarte Änderungen in den Gesetzesentwurf aufgenommen werden. Danach müssen die EU-Staaten und das Europäische Parlament die endgültige Version des KI-Gesetzes offiziell genehmigen.

Diese endgültige Version könnte Ende 2023 oder zumindest vor den Europawahlen 2024 verabschiedet werden. Das KI-Gesetz würde dann zwei Jahre nach der Verabschiedung der endgültigen Version in Kraft treten — höchstwahrscheinlich im Jahr 2026. Einigen Quellen zufolge könnten die ersten Teile des Gesetzes schrittweise früher umgesetzt werden.

KI-Gesetz: Erste Umsetzungstipps für Unternehmen

Was das KI-Gesetz für Unternehmen in Bezug auf die Umsetzung tatsächlich bedeutet, lässt sich noch nicht im Detail sagen. Wir haben jedoch bereits fünf Tipps erstellt, mit denen Unternehmen als Nutzer und/oder Anbieter von KI-Systemen die Anforderungen des KI-Gesetzes bereits erfüllen können:

  • Durchführung von Risikobeurteilungen:
    Unternehmen sollten eine Risikobewertung durchführen, um festzustellen, ob ihre KI-Systeme und -Anwendungen ein hohes Risiko darstellen. Bei der Risikobewertung sollten auch die Art der Daten, die das System verwendet, und die Art der Entscheidungen, die es trifft, berücksichtigt werden.
  • Einhaltung der Transparenz-, Dokumentations- und Informationsanforderungen:
    Unternehmen sollten sicherstellen, dass sie die Transparenz-, Dokumentations- und Informationsanforderungen des KI-Gesetzes erfüllen. Dazu gehört die Erstellung einer Dokumentation, die beschreibt, wie das KI-System funktioniert, und die Bereitstellung von Informationen über die Art der Daten, die das System verwendet, und die Arten von Entscheidungen, die es trifft.
  • Einrichtung interner Kontrollsysteme:
    Unternehmen sollten interne Kontrollsysteme einrichten, um sicherzustellen, dass ihre KI-Systeme und -Anwendungen den Anforderungen des KI-Gesetzes entsprechen. Dazu gehört auch die Einrichtung von Verfahren zur Überwachung von KI-Systemen und -Anwendungen, um sicherzustellen, dass sie ordnungsgemäß funktionieren.
  • Einrichtung von Regierungssystemen:
    Unternehmen sollten Steuerungssysteme einrichten, um sicherzustellen, dass sie eine angemessene Kontrolle über ihre KI-Systeme ausüben. Dazu gehört auch die Einrichtung von Verfahren zur Überwachung von KI-Systemen und -Anwendungen, um sicherzustellen, dass sie ordnungsgemäß funktionieren.
  • Schulung des Personals:
    Unternehmen sollten ihre Mitarbeiter schulen, um sicherzustellen, dass sie die Anforderungen des KI-Gesetzes verstehen und in der Lage sind, sie umzusetzen. Dazu gehört auch die Schulung von Mitarbeitern, die für die Entwicklung und Implementierung von KI-Systemen und -Anwendungen verantwortlich sind.

Im Prinzip sollten Unternehmen trotz der neuen Gesetzgebung nicht die Motivation verlieren, sich mit den Innovationen zu befassen, die KI ihnen bieten kann. Es wird gezeigt, wie ein echtes Gleichgewicht zwischen Risikomanagement und Innovationsförderung in der Praxis erreicht werden kann.

IT-Experten behalten die Entwicklungen im Auge

Bürokratische Fessel oder globales Vorbild? Nach Inkrafttreten des KI-Gesetzes wird klar sein, in welche der beiden Kategorien die neue Gesetzgebung tatsächlich fallen wird. Bis dahin werden aber sicherlich noch viele Fragen zur konkreten Umsetzung zu klären sein. Das können wir Ihnen versichern: Wir behalten die Entwicklungen rund um künstliche Intelligenz im Allgemeinen und das KI-Gesetz im Besonderen im Auge und teilen unser Wissen natürlich auch mit Ihnen.

Benötigt Ihr Unternehmen Hilfe bei den ersten Schritten in die Welt der künstlichen Intelligenz? Sie möchten mit dem Einsatz von KI-Tools beginnen, fragen sich aber, wie es um den Datenschutz steht? Gern unterstützen wir Sie.


Weitere Informationen:
EU Parlament, EU Parlament, EU-Parlament, EU-Parlament, EU-Parlament, EU-Parlament, BigData-Insider, WirtschaftsWoche, bitkom, TÜV-Verband, heise, IT-BUSINESS, tagesschau, Handelsblatt, WirtschaftsWoche, LinkedIn, LinkedIn
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Es sind jedoch immer alle Geschlechter und Geschlechtsidentitäten gemeint.

Lesen Sie den Originalartikel auf IT-SERVICE.network