Der zeitliche Ablauf des EU-KI-Gesetzes (und ein Blick in die Zukunft)
Das EU-KI-Gesetz ist ein neuer Meilenstein in der Landschaft der KI-Governance - und die Unternehmen nehmen es zur Kenntnis.
Im März dieses Jahres hat die EU mit dem EU AI Act neue Vorschriften für KI erlassen, die seit Jahren vorbereitet wurden. Werfen wir zunächst einen kurzen Blick auf den Zeitplan:
- Im Jahr 2018 veröffentlichte die EU die Europäische Strategie für KI
- 2019 hat die EU Leitlinien für vertrauenswürdige KI entwickelt
- Am 21. April 2021 wurde von der Europäischen Kommission ein gemeinsamer regulatorischer und rechtlicher Rahmen für KI vorgeschlagen
- Am 13. März wurde das EU-KI-Gesetz verabschiedet, das den weltweit ersten umfassenden Rahmen für die Regulierung von KI schafft
Während einige Teile bereits durchgesetzt sind, dauert es bei anderen Aspekten länger, bis die Unternehmen die Vorschriften einhalten müssen. Lassen Sie uns eintauchen.
Wie funktioniert das EU-KI-Gesetz?
Das EU-KI-Gesetz verfolgt einen risikobasierten Ansatz für den Einsatz künstlicher Intelligenz. Das bedeutet, dass sich die Vorschriften für KI eher darauf konzentrieren, wie ein Unternehmen seine Technologie einsetzt und zu welchem Zweck, als dass sie die Technologie selbst einschränken. Einige Risiken werden jedoch als "inakzeptabel" eingestuft, und diese Arten von Technologien werden verboten. Das Gesetz verbietet KI-Systeme, die Menschen nach sensiblen Merkmalen wie politischen Ansichten und sexueller Orientierung überwachen- obwohl den Strafverfolgungsbehörden die Nutzung sensibler biometrischer Daten nicht gänzlich untersagt ist.
KI-Technologien mit "hohem Risiko" werden einer genaueren Prüfung unterzogen, und zwar in Form von "Risikominderungssystemen, hochwertigen Datensätzen, Protokollierung von Aktivitäten, detaillierter Dokumentation, klaren Nutzerinformationen, menschlicher Aufsicht" und mehr. Diese Risiken gelten für KI-Technologien, die eine Bedrohung für die Gesundheit, die Sicherheit oder die Grundrechte von Personen darstellen - wie z. B. Tools zum Scannen von Lebensläufen, Tools zur Kreditbewertung und biometrische Fernidentifikationssysteme. KI-Systeme mit begrenztem Risiko müssen bestimmte Transparenzverpflichtungen erfüllen - diese werden als "spezifisches Transparenzrisiko" bezeichnet. Spezifische Transparenzrisiken werden durch entsprechende Kennzeichnung gesteuert. Mit anderen Worten: Wenn Sie mit einem KI-Bot sprechen, sind die Unternehmen dafür verantwortlich, den Bot als solchen zu kennzeichnen. Die EU hat erklärt, dass die meisten KI-Technologien kein oder nur ein minimales Risiko darstellen und dass für diese KI-Technologien keine zusätzlichen Verpflichtungen gelten werden.
Wie wird das EU-KI-Gesetz durchgesetzt?
Die EU-AI-Akte wird sowohl auf der Ebene der Mitgliedstaaten als auch durch das Europäische AI-Büro durchgesetzt werden. Das Gesetz ist nicht sofort in vollem Umfang durchsetzbar, sondern wird schrittweise angewandt. Zum Beispiel werden die Verpflichtungen für hohe Risiken 36 Monate nach Inkrafttreten des Gesetzes vollständig anwendbar sein.
Wie die Nichteinhaltung der Datenschutz-Grundverordnung sind auch Verstöße gegen das EU-KI-Gesetz mit hohen Strafen und Geldbußen verbunden. Diese Geldbußen reichen von 7,5 Millionen Euro oder 1,5 % des weltweiten Umsatzes bis zu 35 Millionen Euro oder 7 % des Umsatzes. Neben den Bußgeldern können Unternehmen, die das EU-Gesetz nicht einhalten, auch zivilrechtlich belangt und in ihrem Ruf geschädigt werden. Die Bürgerinnen und Bürger haben das Recht, Beschwerden über KI-Systeme einzureichen und "Erklärungen zu Entscheidungen zu erhalten, die auf risikoreichen KI-Systemen basieren und ihre Rechte beeinträchtigen". Diese Beschwerden werden von der KI-Kompetenz und dem Scharfsinn der Bürger abhängen, die durch diese Technologien geschädigt werden.
Wie bereiten sich die Unternehmen auf das EU-KI-Gesetz vor?
Bevor Sie mit der Einführung von Governance beginnen, müssen Sie zunächst verstehen, was Sie regeln wollen. Strategische Unternehmen, die das EU-KI-Gesetz einhalten wollen, legen Wert auf die Erstellung eines umfassenden Risikoinventars - eine zentrale Stelle, an der alle KI-gestützten Technologien überwacht und routinemäßig auf Risiken geprüft werden können.
Stellen Sie sich die folgenden Fragen:
- Risikoidentifizierung - Haben Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt werden oder sich in der Entwicklung befinden, katalogisiert und deren Zweck und potenzielle Risiken dokumentiert?
- Risikobewertung - Wissen Sie, ob Ihre KI-Technologien unter die EU-Anforderungen für unannehmbare, hohe, begrenzte oder minimale Risiken fallen?
- KI-Validierung - Verfügen Sie über ein System zur Formalisierung der
Validierung einer KI-Anwendung für den Einsatz in Ihrem Unternehmen? - KI-Prüfung - Kennen alle Beteiligten die Anwendungsfälle, die bestehenden Leitplanken und die Hauptrisiken, die mit der Einführung dieser KI-Anwendungen verbunden sind?
- KI-Risikominderung - Haben Sie ein formalisiertes System für die Einrichtung der richtigen Kontrollen eingeführt, das in einigen Fällen die Dokumentation und in anderen Fällen die menschliche Aufsicht verbessert?
- Laufende Überwachung - Können Sie sich weiterhin der Überwachung von Änderungen der KI-Vorschriften sowie der internen KI-Systeme widmen, um sicherzustellen, dass Ihr Unternehmen mit dem EU-KI-Gesetz konform bleibt?
Erfahren Sie mehr über die Anforderungen des Gesetzes und darüber, wie Sie durch die Umsetzung solider Compliance-Maßnahmen nicht nur Strafen vermeiden, sondern auch das Vertrauen und die Zuverlässigkeit Ihrer KI-Systeme stärken können.
Unser Fokus? Auf Ihren Erfolg.
Vereinbaren Sie einen Termin für eine Demo, oder erfahren Sie mehr über die Produkte, Dienstleistungen und das Engagement von Mitratech.
