Künstliche Intelligenz bietet viele Vorteile, bringt aber auch Gefahren mit sich. Die EU hat nicht lange gezögert und mit dem AI Act eine neue Gesetzgebung eingeführt. Was bedeutet das für Unternehmen?
Wer sich aktuell mit KI-Regulierung beschäftigt, kommt nicht um die Verordnung über künstliche Intelligenz ("KI Gesetz") der EU herum. Sie soll spätestens im 3. Quartal 2024 in Kraft treten, mit Übergangsfristen für die Erfüllung der verschiedenen Anforderungen. Während sich die meisten Beiträge aktuell damit beschäftigen, was Unternehmen tun müssen, um rechtskonform zu bleiben, möchte ich mich der Frage widmen, wie man dem KI-Gesetz entgehen kann.
Worum geht es?
Kurz gesagt müssen Anbieter von Hochrisiko-KI-Systemen künftig zahlreiche Anforderungen erfüllen, von KI Governance bis KI-Qualität. Bei Verstößen drohen empfindliche Geldstrafen und sogar der Zwang, KI-Systeme vom Markt zu nehmen. Für Unternehmen außerhalb der EU ist das KI-Gesetz insofern relevant, als es auch auf Anbieter und Betreiber von KI-Systemen Anwendung findet, die außerhalb der EU domiziliert sind, sofern die von den KI-Systemen produzierten Ergebnisse zur Verwendung in der EU gedacht sind (1).
Wer ist betroffen?
Das KI-Gesetz gilt für Anbieter und Betreiber, aber auch für Händler und Importeure von KI-Systemen. Anbieter sind Personen oder Unternehmen, die KI-Systeme entwickeln (oder entwickeln lassen) und auf den Markt bringen (2). Als Importeure gelten Personen, die KI-Systeme von Anbietern außerhalb der EU in der EU in Verkehr bringen (2). Betreiber schließlich verwenden KI-Systeme eines Anbieters in eigener Verantwortung und zu gewerblichen Zwecken (2).
Was gilt als KI-System?
Es ist fast einfacher zu beschreiben, was nicht als KI-System gilt: nämlich Systeme, die nach Regeln, die ein Mensch festgelegt hat, automatisiert Prozesse ausführen. Solche regelbasierten Systeme sind berechenbar und verändern sich nicht autonom(3). Im Übrigen ist aber der Begriff KI-System im KI-Gesetz bewusst weit gefasst und umfasst alle Systeme, die mit einer oder mehreren Techniken und Konzepten gemäß Anhang I entwickelt wurden. Das KI-Gesetz findet sodann keine Anwendung auf KI-Systeme, die ausschließlich für militärische bzw. Verteidigungszwecke genutzt werden, oder deren alleiniger Zweck wissenschaftliche Forschung und Entwicklung ist. Die Nutzung von KI-Systemen zu privaten (nicht-gewerblichen) Zwecken fällt ebenfalls nicht in den Anwendungsbereich des KI-Gesetzes (3).
Gemäss Al Act werden KI-Systeme in verschiedene Risikostufen eingeteilt.
Quelle: (Quelle: ki.rtr.at )
Wie sind KI-Systeme reguliert?
KI-Systeme, die nur einen, spezifischen Verwendungszweck haben (Single-Purpose) gelten als minimal riskant und unterliegen keinen Vorgaben, wenn sie rein administrative oder interne Zwecke erfüllen, wie Spamfilter oder Predictive Maintenance Systeme (3). Begrenzt riskant sind KI-Systeme, die mit Menschen interagieren, z.B. Chatbots oder Empfehlungssysteme; sie unterliegen bestimmten Transparenzpflichten, wie Kennzeichnung von KI Chatbots und KI-generierten Inhalten oder von Deepfakes (3).
Sobald KI-Systeme Produkte betreffen, die EU Sicherheitsvorschriften unterliegen (wie Maschinen, Spielzeug, Luftfahrt- und Fahrzeugtechnik oder medizinische Geräte), oder Bereiche, die unter Anhang III des KI-Gesetzes fallen (z.B. Verwaltung, Bildung, Biometrik, kritische Infrastrukturen, Arbeitsverhältnis, Kreditprüfung), befindet man sich im Hochrisiko-Bereich mit strengeren Anforderungen, etwa mit Bezug auf die Datenqualität, Transparenz, Dokumentation, Sicherheit und menschliche Aufsicht (3).
KI-Systeme, die allgemeinen Verwendungszwecken dienen, wie zum Beispiel GPT-4 von Open AI, sind generell reguliert und unterliegen in jedem Fall Transparenzpflichten; wenn sie erhebliche Auswirkungen haben können (was anhand der für das Training erforderlichen Rechenleistung beurteilt wird), gelten zusätzliche Pflichten (3).
Zu den verbotenen KI-Systemen zählen Systeme zur biometrischen Kategorisierung, die auf besondere schützenswerten Personendaten basieren, oder Systeme, die ungezielt Gesichtsbilder für Gesichtserkennung erfassen. Aber auch Systeme, die am Arbeitsplatz oder in Bildungseinrichtungen Emotionen erkennen und Social Scoring-Systeme sind illegal. Verboten sind zudem Systeme, die das Verhalten von Menschen manipulieren, oder die Schwächen bestimmter Personengruppen ausnutzen (3).
Was sind die Schlussfolgerungen?
Die gute Nachricht vorab: Wer sich als Unternehmen mit seinen Angeboten auf nicht-EU-Gebiet beschränkt und auch den Output eines KI-Systems nicht in der EU nutzen lässt, entkommt dem Anwendungsbereich des KI-Gesetzes. Wenn sich ein Bezug zur EU nicht vermeiden lässt, ist der einfachste Weg dem KI-Gesetz zu entgehen, kein KI-System (sondern eben nur ein regelbasiertes System) anzubieten, oder es zumindest nicht für gewerbliche Zwecke zu betreiben. Unbescholten bleiben auch Anbieter von KI-Systemen im militärischen oder wissenschaftlichen Bereich.
Wer sich außerhalb dieses Rahmens bewegt, kann zumindest versuchen, nur KI-Systeme mit minimalem oder begrenztem Risiko anzubieten und die entsprechenden Transparenzpflichten zu erfüllen. Auf jeden Fall ist es hilfreich, sich als KI-Anbieter in der EU einer Selbstregulierung anzuschließen, zumal das KI-Gesetz solche explizit fördern möchte (3).
Quellen:
(1) Meier, K., Spichiger, R. (2024). Das Gesetz über Künstliche Intelligenz der EU: Auswirkungen auf Unternehmen.
https://www.ey.com/de_ch/forensic-integrity-services/the-eu-ai-act-what-it-means-for-your-business
(2) Globocnik, Jure. (2024). Der europäische AI Act (KI-Verordnung). https://www.activemind.legal/de/guides/ai-act/