Der EU AI Act – Eine neue Ära der KI-Regulierung in Europa

Der EU AI Act – Eine neue Ära der KI-Regulierung in Europa

Mit dem EU AI Act setzt die Europäische Union neue Maßstäbe für die Regulierung von Künstlicher Intelligenz. Die Verordnung soll sicherstellen, dass KI-Systeme sicher, transparent und ethisch vertretbar sind, wobei der Schutz der Grundrechte im Vordergrund steht. Der EU AI Act klassifiziert KI-Systeme nach ihrem Risiko und legt insbesondere für Hochrisiko-KI strenge Anforderungen fest. Wie die Datenschutz-Grundverordnung dürfte auch der EU AI Act als Vorbild für weltweite Regelungen dienen und die Grundlage für künftige Rechtsvorschriften bilden, die den technologischen Fortschritt begleiten und die Gesellschaft schützen.

Um die neuen Regelungen und deren Auswirkungen besser zu verstehen, sind hier wichtige Fragen und Antworten zum EU AI Act zusammengestellt.

Was ist der EU AI Act und welche Ziele verfolgt er?

• Schutz der Grundrechte und Gewährleistung von Sicherheit und Transparenz
• Klassifizierung von KI-Systemen nach Risikopotenzial
• Förderung von Innovation und Schaffung eines Vorbilds für weltweite Regulierungen
• Der EU AI Act unterscheidet nicht spezifisch zwischen generativer KI (GenAI) und traditioneller KI, aber spezifische Anforderungen für generative KI-Systeme, insbesondere in Bezug auf Transparenz und Datensicherheit, können strenger sein.

Der EU AI Act ist eine Verordnung der Europäischen Union, die darauf abzielt, den Einsatz von Künstlicher Intelligenz (KI) in der EU sicher und ethisch zu gestalten. Die Verordnung klassifiziert KI-Systeme nach ihrem Risikopotenzial und legt spezifische Anforderungen für jede Kategorie fest. Die Hauptziele sind der Schutz der Grundrechte, die Gewährleistung von Sicherheit und Transparenz sowie die Förderung von Innovation. Der EU AI Act soll sicherstellen, dass KI-Systeme in der EU sicher, transparent und ethisch einwandfrei sind, und dient als Vorbild für weltweite Regulierungen.

Welche Unternehmen und Akteure fallen unter die Regulierung des EU AI Acts?

• Der EU AI Act betrifft alle Unternehmen und Organisationen, die KI-Systeme in der EU entwickeln, vertreiben oder nutzen.
• Betroffen sind insbesondere Entwickler, Anbieter und Anwender von KI-Systemen.
• Auch internationale Unternehmen, die KI-Systeme in die EU importieren, unterliegen den Regelungen.

Der EU AI Act richtet sich an alle Unternehmen und Organisationen, die Künstliche Intelligenz (KI) innerhalb der Europäischen Union entwickeln, vertreiben oder nutzen. Dies bedeutet, dass sowohl Unternehmen, die ihren Sitz in der EU haben, als auch internationale Unternehmen, die KI-Technologie in die EU importieren oder in der EU einsetzen, den Anforderungen dieser Verordnung unterliegen. Der Anwendungsbereich des EU AI Act umfasst Entwickler von KI-Systemen, also Unternehmen und Organisationen, die KI-Technologien und -Anwendungen entwickeln und programmieren; Vertreiber von KI-Systemen, also Unternehmen, die KI-Produkte auf den Markt bringen, einschließlich Importe von außerhalb der EU; und Anwender von KI-Systemen, also Unternehmen, die KI-Technologien in ihren Geschäftsprozessen einsetzen, z.B. zur Datenanalyse, Automatisierung oder Entscheidungsfindung.

Durch die Regulierung sollen gleiche Wettbewerbsbedingungen für alle Marktteilnehmer geschaffen werden. Das bedeutet, dass auch nicht-europäische Unternehmen, die ihre KI-Systeme in der EU anbieten, die Vorschriften des EU AI Acts einhalten müssen.

Gilt der EU AI Act auf für Systeme die ausschließlich Unternehmensintern verwendet werden?

• Der EU AI Act gilt auch für KI-Systeme, die ausschließlich unternehmensintern verwendet werden.
• Interne KI-Systeme werden nach denselben Risikokriterien wie externe Systeme bewertet.
• Unternehmen müssen auch für interne Systeme die Compliance-Anforderungen des EU AI Acts erfüllen.

Der EU AI Act ist so konzipiert, dass er alle KI-Systeme reguliert, die potenziell ein Risiko darstellen, unabhängig davon, ob sie innerhalb eines Unternehmens oder in der Interaktion mit externen Nutzern verwendet werden. Daher müssen Unternehmen sicherstellen, dass ihre internen KI-Systeme den gesetzlichen Anforderungen entsprechen, Risikobewertungen durchführen und die notwendigen Compliance-Maßnahmen implementieren.

Welche Kategorien von KI-Systemen werden durch den EU AI Act reguliert?

• Der EU AI Act reguliert KI-Systeme auf der Grundlage ihres Risikopotenzials: inakzeptables, hohes, begrenztes und minimales Risiko.
• KI-Systeme mit unzumutbarem Risiko sind verboten.
• KI-Systeme mit hohem Risiko unterliegen strengen Anforderungen und Kontrollen.

Der EU AI Act klassifiziert KI-Systeme nach ihrem Risikopotenzial und legt für jede Kategorie spezifische Anforderungen fest. Diese Klassifizierung ist entscheidend, um sicherzustellen, dass KI-Systeme sicher, transparent und ethisch korrekt eingesetzt werden. Die Verordnung definiert vier Hauptkategorien von KI-Systemen:

Unzumutbares Risiko: In diese Kategorie fallen KI-Systeme, die als zu gefährlich oder ethisch inakzeptabel eingestuft werden. Beispiele sind Systeme, die unterschwellige Techniken einsetzen, um das Verhalten von Menschen zu manipulieren, oder Social-Scoring-Systeme, die auf umfassender Überwachung basieren. Solche Systeme sind nach dem EU AI Act gänzlich verboten.

Hohes Risiko: KI-Systeme mit hohem Risiko sind Anwendungen, die erhebliche Auswirkungen auf die Sicherheit, Gesundheit oder Grundrechte von Menschen haben können. Beispiele hierfür sind KI-Systeme im Gesundheitswesen, in der Strafverfolgung, in kritischen Infrastrukturen oder zur Bewertung der Kreditwürdigkeit. Für diese Systeme gelten strenge Anforderungen, und sie müssen spezifische Compliance-Maßnahmen erfüllen, darunter Risikobewertungen, Transparenzverpflichtungen und regelmäßige Audits.

Begrenztes Risiko: Diese Kategorie umfasst KI-Systeme, die bestimmte Transparenzanforderungen erfüllen müssen, z. B. eine klare Kennzeichnung als KI-System. Beispiele sind Chatbots oder KI-Systeme, die personalisierte Werbung schalten. Nutzerinnen und Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren, um Missverständnisse zu vermeiden.

Minimales Risiko: KI-Systeme, die in diese Kategorie fallen, unterliegen keinen zusätzlichen Anforderungen und können frei eingesetzt werden. Darunter fallen viele gängige Anwendungen wie Spam-Filter.

Welche speziellen Anforderungen und Vorschriften gelten für generative KI-Systeme unter dem EU AI Act?

Generative KI-Systeme unterliegen den Anforderungen je nach Risikoklassifizierung. Hochrisiko-Systeme müssen strenge Transparenz- und Sicherheitsanforderungen erfüllen. Transparenz, Datensicherheit und ethische Standards sind entscheidend.

Allgemeine Anforderungen an Hochrisiko-KI-Systeme: Generative KI-Systeme, die als Hochrisiko eingestuft werden, müssen strenge Transparenz- und Erklärbarkeitsanforderungen erfüllen. Unternehmen müssen die Funktionsweise ihrer generativen KI-Systeme klar und verständlich darlegen, einschließlich der Algorithmen und Modelle, die zur Erstellung von Inhalten verwendet werden. Alle von generativen KI-Systemen erstellten Inhalte müssen als solche gekennzeichnet werden, um Missverständnisse und Täuschungen zu vermeiden. Zudem müssen die Entscheidungsprozesse der KI-Systeme nachvollziehbar und erklärbar sein, was bedeutet, dass Unternehmen Methoden der erklärbaren Künstlichen Intelligenz (XAI) einsetzen sollten.

Datenschutz- und Datensicherheitsmaßnahmen: Generative KI-Systeme müssen die Datenschutzgrundverordnung (DSGVO) einhalten. Dies umfasst die Einhaltung der Grundsätze der Datenminimierung, Zweckbindung und Transparenz. Unternehmen müssen sicherstellen, dass personenbezogene Daten nur in dem Umfang verwendet werden, der für die Generierung von Inhalten erforderlich ist. Zudem müssen robuste Sicherheitsmaßnahmen implementiert werden, um die Integrität, Vertraulichkeit und Verfügbarkeit der Daten zu gewährleisten. Dies schließt den Schutz vor unbefugtem Zugriff und Datenlecks durch Verschlüsselung, Zugangskontrollen und regelmäßige Sicherheitsüberprüfungen ein.

Ethische Standards und Schutz der Grundrechte: Generative KI-Systeme dürfen keine Inhalte erstellen, die schädlich, diskriminierend oder illegal sind. Unternehmen müssen Mechanismen implementieren, um sicherzustellen, dass ihre Systeme keine Vorurteile oder Stereotypen verstärken und die Rechte und Würde der Menschen respektieren. Hochrisiko-generative KI-Systeme sollten unter menschlicher Aufsicht betrieben werden, um sicherzustellen, dass menschliche Operatoren bei Bedarf in die Generierungsprozesse eingreifen können. Es ist wichtig, dass diese Systeme verantwortungsvoll eingesetzt werden und nicht zur Erstellung von Deepfakes, zur Verbreitung von Fehlinformationen oder zur Manipulation von Menschen genutzt werden.

Welche Verpflichtungen und Verantwortlichkeiten haben Unternehmen unter dem EU AI Act?

• Unternehmen müssen Risikobewertungen und Compliance-Maßnahmen durchführen.
• Transparenz- und Dokumentationspflichten sind zwingend erforderlich.
• Unternehmen müssen Systeme zur menschlichen Aufsicht und Datensicherheit implementieren.

Unternehmen, die unter den EU AI Act fallen, haben eine Reihe von Verpflichtungen und Verantwortlichkeiten, die sicherstellen sollen, dass KI-Systeme sicher, transparent und ethisch einwandfrei betrieben werden. Diese Pflichten variieren je nach Risikokategorie des KI-Systems, umfassen aber im Wesentlichen folgende Aspekte:

• Risikobewertungen und Compliance-Maßnahmen: Unternehmen müssen eine umfassende Risikobewertung für ihre KI-Systeme durchführen, insbesondere für solche, die als Hochrisiko eingestuft werden. Diese Bewertungen sollen potenzielle Risiken für die Sicherheit, Gesundheit und Grundrechte der Nutzer identifizieren und entsprechende Maßnahmen zur Risikominderung festlegen.
• Transparenz- und Dokumentationspflichten: Unternehmen sind verpflichtet, detaillierte Dokumentationen über ihre KI-Systeme zu führen. Dazu gehören technische Unterlagen, die den Entwicklungsprozess, die verwendeten Daten und die Entscheidungsprozesse der KI-Systeme beschreiben. Transparenzpflichten bedeuten auch, dass Unternehmen den Nutzern klare und verständliche Informationen über die Funktionsweise der KI-Systeme zur Verfügung stellen müssen.
• Systeme zur menschlichen Aufsicht: Hochrisiko-KI-Systeme müssen so gestaltet sein, dass sie unter menschlicher Aufsicht betrieben werden können. Dies soll sicherstellen, dass menschliche Operatoren die Kontrolle behalten und in der Lage sind, bei Bedarf einzugreifen und Entscheidungen zu revidieren.
• Datensicherheit: Unternehmen müssen robuste Sicherheitsmaßnahmen implementieren, um die Integrität, Vertraulichkeit und Verfügbarkeit der Daten, die von den KI-Systemen verwendet werden, zu gewährleisten. Dies umfasst auch den Schutz vor unbefugtem Zugriff und Datenlecks.
• Nachweis der Konformität: Unternehmen müssen in der Lage sein, jederzeit nachzuweisen, dass ihre KI-Systeme den Anforderungen des EU AI Acts entsprechen. Dies kann durch interne oder externe Audits erfolgen, und es müssen regelmäßige Berichte erstellt werden, die die Einhaltung der Vorschriften dokumentieren.
• Meldung von Vorfällen: Es besteht die Verpflichtung, schwerwiegende Vorfälle und Fehlfunktionen von Hochrisiko-KI-Systemen an die zuständigen Behörden zu melden. Diese Meldungen sollen dazu beitragen, potenzielle Risiken frühzeitig zu erkennen und entsprechende Maßnahmen zu ergreifen.

Wie werden Hochrisiko-KI-Systeme identifiziert und klassifiziert?

• Hochrisiko-KI-Systeme werden anhand ihres Einsatzbereichs und potenzieller Auswirkungen auf Sicherheit, Gesundheit und Grundrechte identifiziert.
• Unternehmen müssen spezifische Risikobewertungen und Analysen durchführen.
• Hochrisiko-KI-Systeme unterliegen strengen regulatorischen Anforderungen.

Um Hochrisiko-KI-Systeme in Ihrem Unternehmen zu identifizieren und zu klassifizieren, müssen Sie eine systematische Bewertung der potenziellen Risiken und Einsatzbereiche Ihrer KI-Anwendungen durchführen. Der EU AI Act legt klare Kriterien fest, die Ihnen dabei helfen, diese Systeme zu erkennen. Hier sind die wesentlichen Schritte, die Sie beachten sollten:

• Analyse der Einsatzbereiche: Hochrisiko-KI-Systeme sind solche, die in kritischen Bereichen eingesetzt werden, wie z.B. im Gesundheitswesen, in der Strafverfolgung, in der kritischen Infrastruktur oder bei der Kreditwürdigkeitsprüfung. Überprüfen Sie, ob Ihre KI-Systeme in diesen sensiblen Bereichen verwendet werden.
• Bewertung der potenziellen Auswirkungen: Untersuchen Sie, welche potenziellen Auswirkungen Ihre KI-Systeme auf die Sicherheit, Gesundheit und Grundrechte der Menschen haben könnten. Systeme, die erhebliche Risiken in diesen Bereichen bergen, werden als hochriskant eingestuft. Beispiele hierfür sind KI-Anwendungen, die Diagnosen stellen, autonome Fahrzeuge steuern oder bei der Strafverfolgung eingesetzt werden.
• Durchführung von Risikobewertungen: Führen Sie detaillierte Risikobewertungen durch, um die spezifischen Gefahren und Risiken Ihrer KI-Systeme zu identifizieren. Diese Bewertungen sollten potenzielle Schwachstellen, Missbrauchsmöglichkeiten und die Schwere möglicher negativer Auswirkungen umfassen.
• Berücksichtigung regulatorischer Kriterien: Der EU AI Act listet spezifische Kriterien und Beispiele für Hochrisiko-KI-Systeme auf. Stellen Sie sicher, dass Sie diese Kriterien in Ihre Bewertung einbeziehen. Dazu gehören die Bereiche, in denen das System eingesetzt wird, und die Art der Entscheidungen, die das System trifft.
• Dokumentation und Klassifizierung: Dokumentieren Sie die Ergebnisse Ihrer Risikobewertungen und klassifizieren Sie Ihre KI-Systeme entsprechend. Stellen Sie sicher, dass Sie eine klare Übersicht über alle Hochrisiko-KI-Systeme in Ihrem Unternehmen haben und die erforderlichen Maßnahmen zur Einhaltung der regulatorischen Anforderungen implementieren.
• Regelmäßige Überprüfung: Überprüfen Sie regelmäßig Ihre KI-Systeme und deren Einsatzbereiche, um sicherzustellen, dass sie weiterhin den Hochrisiko-Kriterien entsprechen oder ob Änderungen in der Klassifizierung erforderlich sind.

Durch diese systematische Herangehensweise können Sie sicherstellen, dass alle Hochrisiko-KI-Systeme in Ihrem Unternehmen identifiziert und klassifiziert sind. Dies ermöglicht es Ihnen, die notwendigen Maßnahmen zu ergreifen, um die Anforderungen des EU AI Acts zu erfüllen und die Sicherheit und Transparenz Ihrer KI-Anwendungen zu gewährleisten.

Welche Maßnahmen zur Datensicherheit und zum Datenschutz sind erforderlich?

• Implementierung robuster Sicherheitsmaßnahmen zum Schutz der Datenintegrität, -vertraulichkeit und -verfügbarkeit.
• Einhaltung der Datenschutzgrundverordnung (DSGVO) zur Sicherstellung des Schutzes personenbezogener Daten.
• Regelmäßige Überprüfung und Aktualisierung von Sicherheitsprotokollen und -systemen.

Um die Datensicherheit und den Datenschutz gemäß dem EU AI Act sicherzustellen, müssen Unternehmen eine Vielzahl von Maßnahmen ergreifen. Diese Maßnahmen zielen darauf ab, die Integrität, Vertraulichkeit und Verfügbarkeit der Daten zu gewährleisten und gleichzeitig die gesetzlichen Anforderungen zum Schutz personenbezogener Daten zu erfüllen. Hier sind die wesentlichen Schritte:

• Implementierung robuster Sicherheitsmaßnahmen:
  • Datenverschlüsselung: Sensible Daten sollten sowohl während der Übertragung als auch im Ruhezustand verschlüsselt werden. Dies verhindert, dass unbefugte Personen auf die Daten zugreifen können.
  • Zugangskontrollen: Implementieren Sie strenge Zugriffskontrollen, um sicherzustellen, dass nur autorisierte Personen auf die Daten zugreifen können. Dies umfasst die Nutzung von Multi-Faktor-Authentifizierung und rollenbasierten Zugriffskontrollen.
  • Netzwerksicherheit: Nutzen Sie Firewalls, Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS), um Netzwerke vor unbefugten Zugriffen und Angriffen zu schützen.
• Einhaltung der Datenschutzgrundverordnung (DSGVO):
  • Datenminimierung: Sammeln und verarbeiten Sie nur die Daten, die für den jeweiligen Zweck unbedingt erforderlich sind. Vermeiden Sie die Erhebung unnötiger personenbezogener Daten.
  • Rechenschaftspflicht: Dokumentieren Sie alle Datenverarbeitungsaktivitäten und stellen Sie sicher, dass Sie die Einhaltung der DSGVO nachweisen können. Dies umfasst die Erstellung von Verarbeitungsverzeichnissen und Datenschutz-Folgenabschätzungen.
  • Einwilligung und Transparenz: Stellen Sie sicher, dass Sie die Einwilligung der betroffenen Personen einholen und sie transparent über die Verarbeitung ihrer Daten informieren. Dies umfasst klare und verständliche Datenschutzerklärungen.
• Regelmäßige Überprüfung und Aktualisierung von Sicherheitsprotokollen:
  • Sicherheitsaudits: Führen Sie regelmäßige Audits und Penetrationstests durch, um die Wirksamkeit Ihrer Sicherheitsmaßnahmen zu überprüfen und Schwachstellen zu identifizieren.
  • Mitarbeiterschulungen: Schulen Sie Ihre Mitarbeiter regelmäßig in den Bereichen Datensicherheit und Datenschutz, um sicherzustellen, dass sie die neuesten Best Practices und gesetzlichen Anforderungen kennen und einhalten.
  • Incident-Response-Plan: Entwickeln Sie einen Plan zur Reaktion auf Sicherheitsvorfälle, um im Falle eines Datenlecks oder eines Cyberangriffs schnell und effektiv handeln zu können. Dieser Plan sollte klare Rollen und Verantwortlichkeiten sowie Kommunikationswege umfassen.

Durch die Umsetzung dieser Maßnahmen können Unternehmen die Sicherheit und den Schutz der Daten, die von ihren KI-Systemen verwendet werden, gewährleisten. Dies trägt nicht nur zur Einhaltung des EU AI Acts bei, sondern stärkt auch das Vertrauen der Kunden und der Öffentlichkeit in die Nutzung von Künstlicher Intelligenz.

Wie wird Transparenz und Erklärbarkeit in KI-Systemen gewährleistet?

• Bereitstellung klarer und verständlicher Informationen über die Funktionsweise der KI-Systeme.
• Nutzung von Erklärungsmodellen, die die Entscheidungsprozesse der KI-Systeme nachvollziehbar machen.
• Implementierung von Mechanismen zur kontinuierlichen Überwachung und Überprüfung der KI-Systeme.

Um Transparenz und Erklärbarkeit in Ihren KI-Systemen zu gewährleisten, müssen Unternehmen sicherstellen, dass die Funktionsweise, Entscheidungsprozesse und Ergebnisse der KI-Anwendungen für die Nutzer und andere Stakeholder nachvollziehbar sind. Dies ist nicht nur eine Anforderung des EU AI Acts, sondern auch ein entscheidender Faktor für das Vertrauen der Nutzer in die Technologie. Hier sind die wesentlichen Maßnahmen:

• Bereitstellung klarer und verständlicher Informationen:
  • Offenlegung der Funktionsweise: Unternehmen sollten die grundlegenden Prinzipien und Methoden, die ihre KI-Systeme verwenden, offenlegen. Dies umfasst die Algorithmen, Modelle und Datenquellen, die zur Entscheidungsfindung genutzt werden.
  • Nutzerfreundliche Erklärungen: Informationen sollten in einer Weise bereitgestellt werden, die auch für Laien verständlich ist. Vermeiden Sie technische Fachbegriffe und nutzen Sie visuelle Hilfsmittel wie Diagramme und Flowcharts, um komplexe Prozesse zu erklären.
  • Transparenzberichte: Erstellen Sie regelmäßige Berichte, die detaillierte Informationen über die Leistung, Genauigkeit und möglichen Verzerrungen der KI-Systeme enthalten. Diese Berichte sollten öffentlich zugänglich sein, um das Vertrauen der Nutzer zu stärken.
• Nutzung von Erklärungsmodellen:
  • Erklärbare KI (XAI): Implementieren Sie Methoden der erklärbaren Künstlichen Intelligenz, die es ermöglichen, die Entscheidungsprozesse der KI-Systeme nachzuvollziehen. Dazu gehören Modelle, die ihre Entscheidungen in einer für Menschen verständlichen Weise erklären können.
  • Fallbezogene Erklärungen: Stellen Sie sicher, dass die Nutzer auf Anfrage spezifische Erklärungen zu einzelnen Entscheidungen oder Ergebnissen erhalten können. Dies ist besonders wichtig in Bereichen wie Medizin, Kreditvergabe oder Personalwesen, wo Entscheidungen weitreichende Auswirkungen haben können.
• Kontinuierliche Überwachung und Überprüfung:
  • Audit und Monitoring: Führen Sie regelmäßige Audits und kontinuierliches Monitoring der KI-Systeme durch, um sicherzustellen, dass sie wie vorgesehen funktionieren und keine unvorhergesehenen oder unerwünschten Ergebnisse liefern.
  • Feedback-Schleifen: Implementieren Sie Mechanismen, die es Nutzern ermöglichen, Feedback zu den Entscheidungen der KI-Systeme zu geben. Nutzen Sie dieses Feedback, um die Systeme kontinuierlich zu verbessern und anzupassen.
  • Bias-Überprüfung: Überprüfen Sie die KI-Systeme regelmäßig auf mögliche Verzerrungen und Diskriminierungen. Stellen Sie sicher, dass die verwendeten Daten und Algorithmen keine systematischen Vorurteile enthalten, die zu unfairen Ergebnissen führen könnten.

Durch diese Maßnahmen können Unternehmen sicherstellen, dass ihre KI-Systeme transparent und erklärbar sind. Dies fördert das Vertrauen der Nutzer und ermöglicht es den Unternehmen, die gesetzlichen Anforderungen des EU AI Acts zu erfüllen.

Welche Dokumentations- und Berichterstattungspflichten bestehen?

• Hohes Risiko: Detaillierte technische Dokumentation, regelmäßige Berichte an Aufsichtsbehörden.
• Begrenztes Risiko: Transparenzanforderungen, Bereitstellung klarer Nutzerinformationen.
• Minimales Risiko: Keine speziellen Dokumentations- und Berichterstattungspflichten.

Berichtspflichten für Hohes Risiko: Unternehmen, die Hochrisiko-KI-Systeme einsetzen, unterliegen strengen Dokumentations- und Berichterstattungspflichten. Sie müssen eine umfassende technische Dokumentation führen, die alle relevanten Informationen über das KI-System enthält. Dazu gehören technische Spezifikationen, die Funktionsweise des Systems, die verwendeten Algorithmen und Modelle sowie die Datenquellen. Außerdem müssen Unternehmen den gesamten Entwicklungsprozess des KI-Systems dokumentieren, einschließlich der Methoden zur Datenvorverarbeitung, der Auswahl und Schulung der Modelle sowie der durchgeführten Tests und Validierungen. Änderungen und Updates am KI-System müssen ebenfalls festgehalten werden, einschließlich der Versionierung von Software und Algorithmen sowie der Implementierung neuer Funktionen oder Anpassungen. Regelmäßige Berichte über die Nutzung und Leistungsfähigkeit der KI-Systeme müssen an die zuständigen Aufsichtsbehörden eingereicht werden. Diese Berichte sollten Informationen über die Einsatzbereiche, die Zielgruppen und die Nutzungshäufigkeit enthalten. Unternehmen müssen auch die Leistungsfähigkeit und Genauigkeit ihrer KI-Systeme dokumentieren, einschließlich der Analyse erzielter Ergebnisse und der Identifikation von Fehlern oder Unregelmäßigkeiten. Compliance-Berichte sind ebenfalls erforderlich, um sicherzustellen, dass alle Maßnahmen zur Einhaltung der gesetzlichen Vorschriften dokumentiert sind. Dazu gehören Risikobewertungen, Sicherheitsmaßnahmen, Transparenzanforderungen und die Überwachung der Systeme.

Berichtspflichten für Begrenztes Risiko: Für KI-Systeme mit begrenztem Risiko gelten weniger strenge Anforderungen. Unternehmen müssen sicherstellen, dass ihre Systeme bestimmte Transparenzanforderungen erfüllen. Dazu gehört die klare Kennzeichnung als KI-System, sodass Nutzer erkennen können, dass sie mit einer KI interagieren. Unternehmen sind verpflichtet, den Nutzern klare und verständliche Informationen über die Funktionsweise des KI-Systems zur Verfügung zu stellen. Dies umfasst Hinweise zur Datenverarbeitung und zu den Entscheidungsprozessen. Detaillierte technische Dokumentationen oder regelmäßige Berichte an Aufsichtsbehörden sind für begrenztes Risiko nicht erforderlich, solange die Transparenzanforderungen erfüllt sind.

Berichtspflichten für Minimales Risiko: KI-Systeme, die als minimal riskant eingestuft werden, unterliegen keinen speziellen Dokumentations- und Berichterstattungspflichten. Diese Systeme können ohne zusätzliche Maßnahmen eingesetzt werden, solange sie die allgemeinen Anforderungen an Sicherheit und Datenschutz einhalten. Unternehmen müssen keine detaillierten technischen Dokumentationen führen oder Berichte an die Aufsichtsbehörden einreichen. Es wird jedoch empfohlen, grundlegende interne Aufzeichnungen zu führen, um die Einhaltung allgemeiner Standards sicherzustellen und auf mögliche Fragen oder Überprüfungen vorbereitet zu sein.

Wie wird die Konformität von KI-Systemen sichergestellt und geprüft?

• Hohes Risiko: Interne Audits und externe Zertifizierungen erforderlich.
• Begrenztes Risiko: Interne Überprüfungen und Transparenzanforderungen.
• Minimales Risiko: Keine speziellen Prüfungen erforderlich.

Hohes Risiko: Für Hochrisiko-KI-Systeme sind sowohl interne als auch externe Überprüfungen notwendig. Unternehmen müssen regelmäßige interne Audits und umfassende Risikobewertungen durchführen, um sicherzustellen, dass die Systeme den gesetzlichen Anforderungen entsprechen. Diese Bewertungen sollten technische Spezifikationen, Datenverarbeitung, Entscheidungsprozesse und Sicherheitsmaßnahmen abdecken. Zusätzlich zu den internen Prüfungen müssen Hochrisiko-KI-Systeme von unabhängigen, externen Stellen zertifiziert werden. Diese externen Audits bieten eine objektive Bewertung der Konformität und stellen sicher, dass die Systeme den strengen Anforderungen des EU AI Acts entsprechen. Eine detaillierte Dokumentation aller internen und externen Prüfungen ist erforderlich, um die Einhaltung der Vorschriften nachzuweisen und potenzielle Mängel zu identifizieren und zu beheben.

Begrenztes Risiko: Für KI-Systeme mit begrenztem Risiko sind interne Überprüfungen und Transparenzanforderungen ausreichend. Unternehmen sollten regelmäßige interne Audits durchführen, um sicherzustellen, dass die Systeme den Vorschriften entsprechen und die Transparenzanforderungen erfüllt sind. Diese Audits sollten technische Spezifikationen, Datenverarbeitung und Entscheidungsprozesse umfassen. Es ist wichtig, dass die Nutzer klar und verständlich über die Funktionsweise des KI-Systems informiert werden, einschließlich Hinweise zur Datenverarbeitung und Entscheidungsfindung. Externe Zertifizierungen sind für begrenztes Risiko nicht erforderlich, aber eine regelmäßige interne Überprüfung hilft dabei, die Konformität sicherzustellen.

Minimales Risiko: KI-Systeme, die als minimal riskant eingestuft werden, unterliegen keinen speziellen Prüfanforderungen. Unternehmen müssen keine detaillierten internen Audits oder externen Zertifizierungen durchführen. Es ist jedoch ratsam, grundlegende interne Überprüfungen und Dokumentationen zu führen, um die Einhaltung allgemeiner Sicherheits- und Datenschutzstandards zu gewährleisten. Dies hilft, auf mögliche Fragen oder Überprüfungen vorbereitet zu sein und die allgemeine Integrität der KI-Systeme zu sichern.

Welche Strafen und Konsequenzen drohen bei Nichteinhaltung des EU AI Acts?

• Unternehmen drohen erhebliche Geldbußen bei Nichteinhaltung des EU AI Acts.
• Strafen können bis zu 6 % des weltweiten Jahresumsatzes betragen.
• Zusätzlich können regulatorische Maßnahmen wie das Verbot des KI-Systems verhängt werden.

Unternehmen müssen bei Verstößen gegen den EU AI Act mit empfindlichen Strafen rechnen. Die Bußgelder können je nach Schwere des Verstoßes sehr hoch ausfallen und bis zu 6 % des weltweiten Jahresumsatzes des Unternehmens betragen. Diese hohen Strafen sollen sicherstellen, dass die Unternehmen die Vorschriften ernst nehmen. Die genaue Höhe der Bußgelder richtet sich nach der Art und Schwere des Verstoßes, wobei geringfügige Verstöße mit geringeren Bußgeldern und schwerwiegende oder wiederholte Verstöße mit höheren Bußgeldern geahndet werden.

Neben Geldbußen können auch aufsichtsrechtliche Maßnahmen verhängt werden. Die zuständige Aufsichtsbehörde kann die Nutzung des betroffenen KI-Systems untersagen, d.h. das Unternehmen darf das System nicht weiter nutzen oder vertreiben, bis die erforderlichen Änderungen vorgenommen wurden und die Konformität nachgewiesen wurde. Darüber hinaus kann die Aufsichtsbehörde anordnen, dass das Unternehmen bestimmte Abhilfemaßnahmen ergreift, um die Konformität sicherzustellen.  

Fazit

Der EU AI Act stellt einen wichtigen Schritt in Richtung einer umfassenden und einheitlichen Regulierung von Künstlicher Intelligenz in Europa dar. Die Verordnung setzt klare Maßstäbe für die Sicherheit, Transparenz und Ethik von KI-Systemen und verlangt von Unternehmen, strenge Anforderungen zu erfüllen, um die Rechte und den Schutz der Nutzer zu gewährleisten. Durch die Einhaltung dieser Vorschriften können Unternehmen nicht nur rechtliche Konsequenzen vermeiden, sondern auch das Vertrauen ihrer Kunden und der Öffentlichkeit in ihre KI-Anwendungen stärken.

Design Sprint als Möglichkeit: Um erste praktische Erfahrungen zu sammeln und gemeinsam mit uns an maßgeschneiderten Lösungen für Ihre Anforderungen zu arbeiten, laden wir Sie herzlich zu unserem Design Sprint ein. Im Rahmen dieses intensiven Workshops entwickeln wir gemeinsam innovative Ansätze und Strategien für den Einsatz von Generativer KI in Ihrem Unternehmen. Weitere Informationen und Anmeldung finden Sie hier. Sprechen Sie uns noch heute an und erfahren Sie, wie wir Ihnen helfen können, den EU AI Act erfolgreich umzusetzen.