Künstliche Intelligenz, Recht & DSGVO

Der EU AI Act und wie wir dir damit helfen

17 Minuten

Der EU AI Act ist aktuell in aller Munde. Doch was kann man sich unter diesem neuen Gesetz zu Künstlicher Intelligenz vorstellen und die wichtigste Frage: Wen betrifft das Abkommen? In diesem Blogbeitrag klären wir diese Fragen und zeigen auf, ob dein Unternehmen von bevorstehenden Änderungen betroffen ist.

Was ist der EU AI Act?

Das Ziel

Das Hauptziel des EU AI Acts ist es, einen Rahmen zu schaffen, der die Entwicklung und Nutzung von Künstlicher Intelligenz (KI) in der Europäischen Union sicher, vertrauenswürdig und menschenzentriert macht. Damit sollen, die Grundrechte und die Sicherheit der Bürger:innen geschützt werden, indem klare Vorschriften für die verschiedenen Risikostufen von KI-Systemen festlegt werden. Das Gesetz soll auch die Innovation und den Einsatz von KI im europäischen Binnenmarkt fördern, indem er für Rechtssicherheit sorgt und gleichzeitig ethische Standards setzt, um Missbrauch und negative Auswirkungen der Technologie zu verhindern.

Am 12. Juli 2024 wurde der EU AI Act im Amtsblatt der Europäischen Union veröffentlicht und trat mit 2. August 2024 in Kraft. Doch die Arbeit an dem Gesetz über künstliche Intelligenz begann schon viel früher.

Als 2021 der Gesetzesentwurf gestartet wurde, hatte dieser primär ein anderes Ziel. Demnach sollte die KI Verordnung die Regulierung von Betrieben sicherstellen, die Roboter einsetzen bzw. herstellen. Doch mit der Zeit kamen immer mehr neue Tools auf den Markt, also sogenannten GPAIS, die 2021 in der Verordnung nicht berücksichtigt wurden.

Die Abkürzung GPAIS (General Purpose AI Systems) bezieht sich auf allgemein einsetzbare KI, z.B. Generative KI-Modelle wie ChatGPT. Diese Systeme können anhand weniger Stichworte komplette Texte oder Bilder erstellen. Für Anbieter von GPAIS Systemen gelten strengere Transparenzpflichten, darunter eine detaillierte technische Dokumentation und Informationen zu den Trainingsdaten.

Hier muss deshalb ein kritischer Blick auf die KI Verordnung geworfen werden. Unter anderem gibt es keine genaue Erfassung von Tools, die bereits in den meisten Organisationen in Verwendung sind (z.B. ChatGPT, Midjourney). Damit ist nicht genau klar, zu welcher der unten genannten Risikostufe sie gehören. Dies wird früher oder später zum Problem, denn Nutzer:innen können diese KI Modelle nutzen, um neue Tools mit KI basierten Systemen zu erstellen. Es ist noch nicht klar, wie das Gesetz über künstliche Intelligenz damit umgeht. Noch komplizierter wird es, weil solche Modelle inzwischen auch als Pre-Trained Modelle als OpenSource Software zur Verfügung stehen und daher sich der Kontrolle der eigentlichen Entwicklerinnen und Entwickler vollkommen entziehen.

Was umfasst das Gesetz nun genau?

Pyramide mit den Unterteilungen der Riskioklassen nach dem EU AI Act in inakzeptables Risiko, Hohes Risiko, Begrenztes Risiko und Erlaubt
Unterteilungen der Risikoklassen im EU AI Act

Risikobasierter Ansatz

Das Gesetz unterteilt KI-Systeme in Risikoklassen inakzeptabel, hoch, begrenzt und minimal:

An oberster Stelle stehen Systeme mit inakzeptablem Risiko. Gefolgt von Systemen mit hohem Risiko. Anschließend wird noch unterschieden zwischen Systemen mit begrenztem und minimalem Risiko. Doch was bedeuten die einzelnen Kategorien?

Inakzeptables Risiko

Darunter sind alle KI-Anwendungen zu verstehen, die aufgrund ihres Potenzials, erhebliche Schäden verursachen oder fundamentale Rechte verletzen können. Es gibt nach dem Act eine Reihe verbotener Praktiken, wie Social Scoring bzw. Soziale Bewertungssysteme. Social Scoring ist ein System, das das Verhalten von Individuen oder Gruppen bewertet und in Form von Punkten oder einem sogenannten Score zusammenfasst. Diese Bewertung kann auf verschiedenen Faktoren basieren, wie etwa dem Online-Verhalten, sozialen Interaktionen, finanziellen Aktivitäten oder anderen messbaren Daten. Der resultierende Score kann dann genutzt werden, um bestimmte Vorrechte zu gewähren oder Einschränkungen vorzunehmen, etwa im Zugang zu Dienstleistungen, Krediten oder sozialen Netzwerken. Diese Systeme sind besonders umstritten, da sie Bedenken hinsichtlich Datenschutz, Diskriminierung und sozialer Kontrolle aufwerfen. Sie kommen in anderen Ländern, zum Beispiel in China, bereits zum Einsatz.

KI-Systeme, die ein inakzeptables Risiko haben, sind im Rahmen der neuen KI-Verordnung grundsätzlich verboten. Zu diesen Systemen gehören:

  • Soziale Bewertungssysteme: Diese Systeme bewerten Personen basierend auf ihrem Verhalten oder sozialen Interaktionen und können zu diskriminierenden Konsequenzen führen. Beispielsweise im Recruiting Bereich.
  • Ausbeuterische KI-Anwendungen: Anwendungen, die Schwächen oder Unzulänglichkeiten von Individuen ausnutzen, um ihr Verhalten auf eine Weise zu manipulieren, die ihnen schaden könnte.
  • Biometrische Fernidentifikation: Identifikation, die in Echtzeit und in öffentlich zugänglichen Räumen passiert, mit wenigen Ausnahmen, vor allem wegen der schwerwiegenden Eingriffe in die Privatsphäre.
  • Künstliche Intelligenz, die auf Kinder ausgerichtet ist: Anwendungen, die das Verhalten oder die Entscheidungen von Kindern durch Ausnutzung ihrer Vulnerabilität beeinflussen.

Diese Kategorisierung basiert auf der Einschätzung, dass solche KI Systeme die Grundrechte gefährden oder eine erhebliche Bedrohung für die Sicherheit darstellen könnten. Die strikte Regulierung oder das Verbot dieser Systeme soll sicherstellen, dass die Entwicklung und der Einsatz von KI-Technologien im Einklang mit den ethischen Standards und Grundwerten der Europäischen Union stehen.

Hohes Risiko

Systeme mit hohem Risiko im Rahmen der KI Verordnung, sind solche KI-Anwendungen, die aufgrund ihres Potenzials, signifikante Auswirkungen auf die Rechte der Menschen oder ihre Sicherheit zu haben. Diese KI Modelle müssen strengeren Regulierungen unterliegen. Beispiele für Anwendungsbereiche von solchen Systemen umfassen:

  • Gesundheitswesen: KI-Systeme, die für kritische medizinische Geräte und Diagnoseverfahren verwendet werden.
  • Transport und Verkehr: KI-Anwendungen in sicherheitskritischen Bereichen wie autonome Fahrzeuge und Verkehrsmanagementsysteme.
  • Öffentliche Verwaltung: KI-Systeme, die in der öffentlichen Verwaltung eingesetzt werden, insbesondere solche, die mit der Verarbeitung persönlicher Daten und Entscheidungsfindung zu tun haben.
  • Rechtliche und Asylentscheidungen: KI, die bei der Entscheidungsfindung in Rechts- und Asylverfahren verwendet wird.
  • Beschäftigung und Bildung: KI, die für Einstellungsprozesse, Mitarbeiterüberwachung oder in Bildungseinrichtungen zur Bewertung von Schülern verwendet werden.

Diese Kategorien unterliegen strengen Vorschriften bezüglich Transparenz, Datenmanagement und der Pflicht zur Durchführung von Risikoanalysen und Konformitätsprüfungen vor der Markteinführung. Solche Maßnahmen sind notwendig, um das Vertrauen in diese Technologien zu stärken und ihre sicherheitstechnische und ethische Eignung zu gewährleisten.

Begrenztes Risiko

Systeme mit begrenztem Risiko nach dem EU AI Act sind solche, die bestimmte Transparenzanforderungen erfüllen müssen, aber aufgrund ihres geringeren Einflusspotentials auf Sicherheit und Grundrechte weniger strenge Regulierungen als hoch risikobehaftete KI-Systeme unterliegen. Hier sind einige Beispiele für KI-Systeme mit begrenztem Risiko:

  • Chatbots und virtuelle Assistenten: Ein KI-System, das wir alle kennen. Chatbots werden häufig im Kundendienst eingesetzt, um Standardanfragen zu beantworten. Obwohl sie direkt mit Menschen interagieren, sind die Auswirkungen ihrer Entscheidungen normalerweise begrenzt.
  • KI-gestützte Übersetzungstools: Solche Systeme bieten automatische Übersetzungen von Texten oder gesprochener Sprache, können jedoch gelegentlich Fehler machen, die zu Missverständnissen führen.
  • Personalisierte Empfehlungssysteme: Diese werden in E-Commerce und Medienplattformen verwendet, um Produktempfehlungen oder personalisierte Inhalte basierend auf dem Nutzerverhalten zu generieren.
  • Automatisierte Content-Moderation: Systeme, die dazu verwendet werden, Inhalte auf sozialen Medien oder Foren auf Einhaltung der Nutzungsrichtlinien zu überprüfen. Sie tragen dazu bei, unangemessenen oder schädlichen Content zu filtern, können jedoch auch Fehler bei der Erkennung machen.

Diese KI-Systeme müssen ihre Funktionen und Einschränkungen transparent kommunizieren, um sicherzustellen, dass Nutzer verstehen, wie und warum sie bestimmte Outputs generieren.

Minimales Risiko

KI-Systeme mit minimalem Risiko sind typischerweise solche, deren Einsatz wenig bis keinen direkten Einfluss auf das Leben oder die Grundrechte der Menschen hat. Hier sind einige Beispiele für solche Systeme:

  • Spam-Filter in E-Mail-Systemen: Diese verwenden KI, um unerwünschte oder schädliche E-Mails automatisch zu identifizieren und zu filtern, beeinträchtigen aber nicht signifikant die Nutzerinteraktionen oder datenschutzrechtliche Aspekte.
  • Musik- und Videoempfehlungssysteme: Plattformen wie Spotify oder Netflix nutzen KI, um den Nutzern auf Basis ihres bisherigen Konsums personalisierte Inhalte vorzuschlagen. Diese Systeme haben geringfügigen Einfluss auf die Nutzerentscheidungen und gelten als wenig risikobehaftet.
  • Automatische Textkorrektur und -vervollständigung: Diese in Textverarbeitungssoftware und mobilen Tastaturen integrierten Systeme helfen bei der Korrektur von Rechtschreibung und Grammatik oder beim Vervollständigen von Sätzen, ohne dass dabei tiefgreifende Entscheidungen oder Bewertungen getroffen werden.
  • KI-gesteuerte Spielcharaktere: In Videospielen agieren KI-Charaktere nach festgelegten Mustern und beeinflussen das Spielgeschehen, haben jedoch keinen Einfluss außerhalb des Spielumfelds.

Diese Anwendungen gelten aufgrund ihres begrenzten Einflusses und der geringen Interaktion mit sensiblen Nutzerdaten oder kritischen Entscheidungsprozessen als KI Systeme mit minimalem Risiko. Sie müssen grundlegende Datenschutzanforderungen erfüllen, unterliegen laut KI Gesetz jedoch keinen strengen regulatorischen Auflagen.

Auswirkungen auf Unternehmen und Organisationen

Der EU AI Act wird erhebliche Auswirkungen auf Unternehmen und Organisationen haben, die KI-Systeme entwickeln, bereitstellen oder nutzen. Hier sind einige der wichtigsten konkreten Auswirkungen:

  • Klassifizierung und Compliance: Unternehmen müssen ihre KI-Systeme gemäß den im Act definierten Risikokategorien klassifizieren. Für Systeme, die als hoch risikobehaftet eingestuft werden, sind strenge Compliance-Maßnahmen erforderlich, einschließlich umfangreicher Dokumentationspflichten, Durchführung von Risikoanalysen und Implementierung von Risikomanagementprozessen.
  • Transparenz- und Informationspflichten: Der Act verlangt von den Unternehmen, dass sie transparent machen, wie ihre KI-Systeme funktionieren. Dies beinhaltet die Bereitstellung von Informationen über die Logik, die Bedeutung und die Auswirkungen der KI-Entscheidungen, besonders bei Anwendungen, die direkten Einfluss auf Verbraucher haben.
  • Datenschutz und Datenmanagement: Organisationen müssen sicherstellen, dass ihre KI-Systeme in Übereinstimmung mit dem Datenschutz stehen, insbesondere hinsichtlich der Datensammlung, -verarbeitung und -speicherung. Es müssen Maßnahmen getroffen werden, um Bias und Diskriminierung in Trainingsdatensätzen zu verhindern.
  • Konformitätsprüfungen und Zertifizierungen: Für bestimmte KI-Systeme, vorwiegend solche mit hohem Risiko, kann eine vorherige Konformitätsprüfung erforderlich sein, bevor diese auf den Markt gebracht werden dürfen. Dies kann eine unabhängige Prüfung und Zertifizierung durch Dritte einschließen.
  • Haftungsrisiken: Unternehmen müssen die potenziellen Haftungsrisiken berücksichtigen, die mit dem Einsatz von KI-Systemen verbunden sind. Sie müssen sicherstellen, dass ihre Produkte und Dienstleistungen keine rechtswidrigen Schäden verursachen.
  • Schulung und interne Richtlinien: Organisationen müssen möglicherweise in Schulungen investieren und interne Richtlinien und Verfahren entwickeln, um sicherzustellen, dass ihre Mitarbeiter:innen die Anforderungen des EU AI Acts verstehen und einhalten.
  • Marktzugangsbeschränkungen: Produkte und Dienstleistungen, die nicht den Vorschriften entsprechen, könnten vom EU-Markt ausgeschlossen werden, was erhebliche wirtschaftliche Auswirkungen haben könnte.

Durch diese Anforderungen sollen Sicherheit, Gerechtigkeit und Transparenz im Umgang mit KI-Technologien gewährleistet werden, während gleichzeitig das Vertrauen der Nutzer und der Öffentlichkeit in diese Technologien gestärkt wird. Unternehmen müssen sich auf diese Änderungen vorbereiten und entsprechende Anpassungen in ihrer KI-Strategie und ihren operativen Prozessen vornehmen.

Inkrafttreten des EU AI Acts

Die Bestimmungen aus dem KI Gesetz werden schrittweise in Kraft treten. Nach dem Inkrafttreten vom 2. August 2024 beginnen die verschiedenen Fristen für die Anwendung der spezifischen Regelungen des Akts:

6 Monate nach Inkrafttreten: Die Verbote für KI-Systeme mit inakzeptablem Risiko werden wirksam.

24 Monate nach Inkrafttreten: Die meisten Bestimmungen des Akts werden anwendbar, was bedeutet, dass Unternehmen und Organisationen die Vorschriften für Hochrisiko-KI-Systeme vollständig einhalten müssen.

36 Monate nach Inkrafttreten: Bestimmte Regelungen, die spezielle KI-Systeme betreffen, werden angewendet, einschließlich solcher, die als Sicherheitskomponenten in Produkten verwendet werden, die einer Konformitätsbewertung durch Dritte unterliegen.

Große Veränderungen in Unternehmen oder bei KI Systemen sind nicht einfach von heute auf morgen durchzubringen. Diese zeitlichen Abstufungen sollen Unternehmen Zeit geben, sich auf die neuen Vorschriften einzustellen und notwendige Anpassungen vorzunehmen.

Was muss ich nun tun?

Im Auftrag der Wirtschaftskammer Österreich (WKO) hat Skills, unsere Team Farner Partneragentur, Leitfäden und Guideline-Vorlagen speziell für kleine und mittlere Unternehmen (KMU) erstellt. Muster-KI-Richtlinien für KMU stehen gratis zum Download zur Verfügung.

Um deine Betroffenheit zu evaluieren, stelle dir folgende Fragen:

  • Werden aktuell oder in nächster Zukunft Tools mit Künstlicher Intelligenz in deinem Unternehmen, in Form von ChatGPT oder Ähnliches, verwendet?
  • Gibt es eine KI-Strategie im Unternehmen und welche Funktionen sollen KI-Systeme übernehmen?
  • Besteht im Unternehmen bereits eine interne Governance-Regelung für KI, und orientiert sich diese an den Vorgaben des EU AI Acts?
  • Gibt es eine Übersicht über die vorhandenen KI-Systeme im Unternehmen?
  • Arbeitet dein Unternehmen selbst an der Herstellung eines Programms oder Tools, welches Künstliche Intelligenz einsetzt? Bzw. hat dein Unternehmen bereits ein KI Tool auf den Markt gebracht?
  • Hast du Zweifel, dass deine Mitarbeiter:innen bzw. Kolleg:innen ausreichend mit der Anwendung von KI geschult sind?

Wenn du mind. eine der Fragen mit "JA" beantwortet hast, dann ist es Zeit zu handeln!

Wie wir vom datenwerk dich unterstützen können

Wir bei datenwerk innovationsagentur GmbH können dich auf verschiedene Weisen unterstützen, die Anforderungen des EU AI Act zu erfüllen. Hier sind mögliche Unterstützungsmaßnahmen, die wir anbieten:

Workshops, Trainings und Keynotes: Vorbereitung ist alles! In maßgeschneiderten Terminen entdeckst du die Welt der Künstlichen Intelligenz und erforschst die derzeit leistungsfähigsten KI-Tools für die Erstellung von Texten, Bildern und Videos. In praxisorientierten Workshop und Trainings erfährst du alles, was du über KI wissen musst, um deine Content-Produktion zu optimieren. Dabei zeigen wir dir, wie du KI Systeme in deinen Unternehmen gesetzeskonform nutzt.

Geschäftliche Beratung: Navigiere erfolgreich durch den Wandel mit unseren umfassenden Beratungsleistungen für Change-Prozesse. Wir unterstützen dich dabei, Künstliche Intelligenz nahtlos in deine Geschäftsprozesse zu integrieren und deine Organisation zukunftssicher zu machen.

Technische Integration von KI-Anwendungen: Optimiere deine Geschäftsprozesse mit der nahtlosen technischen Integration von KI-Systemen. Wir bieten dir maßgeschneiderte Lösungen zur Einbindung von KI-Modellen mittels APIs und Webhooks in deine bestehende Infrastruktur. Auch hierbei wird bei der Integration auf das KI Gesetz und seine Inhalte geachtet.

Durch diese Dienstleistungen wollen wir dir und deinem Unternehmen nicht nur helfen, rechtliche Risiken zu minimieren, sondern auch das Vertrauen der Nutzer:innen in deine KI-Systeme stärken, was für den langfristigen Erfolg von KI-Anwendungen entscheidend ist.

Fazit

Künstliche Intelligenz ist aktuell im täglichen Leben nicht mehr wegzudenken. Wer sich also sicher sein will, dass die Systeme gesetzeskonform genutzt und nach den EU AI Act Richtlinien im Unternehmen eingesetzt werden, sollte nun einen Schritt für die Zukunft machen. Denn nur wenn die KI den Menschen im Mittelpunkt behält, kann diese verantwortungsbewusst genutzt werden.

Du bist dir noch unsicher, ob der EU AI Act Auswirkungen auf dich und dein Unternehmen hat? Dann melde dich bei uns und unsere Expert:innen helfen dir weiter!  

Schreib uns

Elisabeth Pausz
Elisabeth Pausz

Wer wissen will, wie man seine Botschaft so rüberbringt, dass sie nicht falsch verstanden wird, ist bei Elisabeth richtig. Die gelernte Kommunikationsmanagerin und KI-Expertin stapft gerne in den Schuhen ihrer Kund:innen, um deren Bedürfnisse besser zu verstehen und zu übersetzen, welche Antworten auf welche Probleme gefunden werden müssen.