Digitalisierung | Standortpolitik
Komplexe Vorgaben
Gorodenkoff/Adobe Stock, KI-generiert ©
Der AI Act ist in Kraft getreten. Worauf müssen Unternehmen jetzt bei der Nutzung von künstlicher Intelligenz achten?
Von Josef Stelzer, IHK-Magazin 10/2024
Künstliche Intelligenz (KI) kann in vielen Bereichen nützlich sein. KI-Systeme planen Produktion und Logistik, unterstützen den Kundenservice, analysieren Daten, formulieren Marketingtexte oder durchforsten Kaufverträge. Um das Vertrauen in die KI-Technologie zu stärken, sind jedoch ethische Standards und klare Regeln erforderlich. Vor diesem Hintergrund hat der Rat der 27 EU-Mitgliedstaaten den Artificial Intelligence Act, kurz AI Act, verabschiedet – und damit den weltweit ersten KI-Rechtsrahmen geschaffen. Die Verordnung ist am 1. August 2024 in Kraft getreten.
Für Unternehmen, die KI-Lösungen einsetzen, kann das neue Gesetz in bestimmten Fällen durchaus herausfordernd werden. Zumal noch einige Aspekte ungeklärt sind. Deshalb forderte die Vollversammlung der IHK für München und Oberbayern im Juni mit ihrem Positionspapier eine schnelle, bürokratiearme, einheitliche und innovationsstärkende Umsetzung des AI Acts.
Übergangsfrist je nach Risikoklasse
Das neue Gesetz teilt künstliche Intelligenz in Risikoklassen ein. Je nach Risikoklasse gelten für die Umsetzung der gesetzlichen Vorgaben unterschiedliche Übergangsfristen zwischen 6 Monaten und 3 Jahren. Künstliche Intelligenz, die zum Beispiel soziales Verhalten bewertet, Persönlichkeitsrechte verletzt, Menschen beeinflusst oder deren Schwächen ausnutzen könnte, muss binnen 6 Monaten deinstalliert sein, also bis Anfang Februar 2025. Solche Systeme bergen laut Gesetz inakzeptable Risiken und sind daher verboten (siehe Kasten unten).
Derlei ist jedoch die Ausnahme. „Die allermeisten KI-Systeme, die Unternehmen in Deutschland einsetzen, gehören in eine Risikoklasse, für die der AI Act keine oder nur geringe Einschränkungen vorsieht“, sagt Till Klein. Er ist Experte für künstliche Intelligenz bei der appliedAI Institute for Europe gGmbH in München und beschäftigt sich mit Themen wie KI-Regulierung und Entwicklung vertrauenswürdiger KI-Lösungen.
Höheres Risiko – mehr Auflagen
Der Ökonom empfiehlt Unternehmen, jedes betrieblich eingesetzte KI-System separat in die jeweils passende Risikoklasse einzuordnen: minimales, begrenztes, hohes oder inakzeptables Risiko (siehe Kasten unten). Je größer das Risikopotenzial, das mit dem Einsatz eines KI-Systems einhergehen kann, desto umfangreicher sind die damit verbundenen Auflagen – bis hin zum Verbot. Die Vorgaben können zum Beispiel Risikobewertungen, Transparenz-, Überwachungs- und Dokumentationspflichten umfassen.
IHK-Info rund um KI und Datenschutz hier.
Hilfen bei der Umsetzung
Wie lässt sich herausfinden, in welche Kategorien die verwendeten KI-Systeme gehören? „Um hier Transparenz zu schaffen, ist es im ersten Schritt zweckmäßig, die Lieferketten der Hersteller zu identifizieren“, so Klein. Für die rechtskonforme Umsetzung des AI Acts seien Qualitätsmanagementsysteme wie etwa ISO 9001 hilfreich, das Richtlinien und Standards zur Planung, Steuerung und Optimierung von Geschäftsprozessen enthält. „Damit verfügen die Unternehmen für das generelle Vorgehen bei der rechtskonformen Umsetzung über eine geeignete Grundlage.“
Kümmerer bestimmen
Wer soll in den Unternehmen für die Umsetzung der neuen KI-Vorgaben zuständig sein? „In der Regel dürften Mitarbeitende aus der IT-Abteilung infrage kommen oder bereits existierende Compliance-Beauftragte“, sagt der Experte.
Allerdings steht noch nicht fest, welche Behörde in Deutschland für die Durchsetzung der rechtlichen Vorgaben verantwortlich sein soll. „Infrage kommen hier die Datenschutzaufsichtsbehörden, das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder zum Beispiel die Bundesnetzagentur“, sagt Matthias Orthwein, Partner der Münchner Anwaltskanzlei SKW Schwarz und Lehrbeauftragter für IT und Datenschutzrecht an der Technischen Hochschule Rosenheim.
Sinnvoll: zentrale, nationale KI-Behörde
Die IHK spricht sich in ihrem Positionspapier deutlich für eine einheitliche Umsetzung durch eine zentrale, nationale KI-Behörde aus. Eine uneinheitliche Organisation der nationalen Aufsicht durch Zersplitterung auf die einzelnen Bundesländer, wie bei der Datenschutz-Grundverordnung (DS-GVO), solle auf jeden Fall vermieden werden.
Vorgesehen ist, dass die EU-Mitgliedstaaten binnen 12 Monaten nach Inkrafttreten der Verordnung die Zuständigkeit der KI-Behörde festlegen. Manko für die Unternehmen: Ansprechpartner in der zuständigen Behörde werden kurzfristig nicht zur Verfügung stehen.
AI Act und DS-GVO – Synergien realisieren
Hilfreich kann es für Unternehmen sein, sich an den Vorgaben des IT-Sicherheitsgesetzes und der DS-GVO zu orientieren. „Vermutlich werden daraus bestimmte Anwendungsregeln und Dokumentationsprozesse für das KI-Gesetz adaptiert oder übernommen“, erwartet Orthwein. Seine Kanzlei ist für den AI Act offenbar gewappnet. „Wir nutzen bereits eine spezielle KI-Lösung für Berufsgeheimnisträger, das funktioniert sehr gut.“ Die gesetzlichen Anforderungen zu Urheberschutz und Datenschutz sowie zum besonderen Schutz der Mandantengeheimnisse seien automatisch eingebunden.
Sich gegen Cyberattacken schützen
Der Rechtsexperte fügt hinzu: „Die Unternehmen, die KI einsetzen, müssen alles tun, um die Systeme gegen Hackerangriffe und andere Cybercrime-Attacken zu schützen.“ Hierzu sollte die KI in das betriebliche Risikomanagement eingebunden sein. Vorgeschrieben ist eine Risikobewertung, mit der die Firmen nachweisen, dass sie künstliche Intelligenz gesetzeskonform einsetzen und die dabei bestehenden rechtlichen Risiken im Griff haben.
Eigenprüfung ist möglich
„Sie müssen aufzeigen, welche Daten in ihre KI-Systeme einfließen und welche Risiken durch den Einsatz entstehen“, erklärt Orthwein. Dabei besteht für viele Unternehmen die Möglichkeit zur Eigenprüfung, eine Prüfpflicht durch externe Auditoren ist in diesen Fällen nicht vorgesehen.
Bußgelder in Millionenhöhe
Bei Verstößen gegen das KI-Gesetz drohen im Übrigen hohe Bußgelder: im schlimmsten Fall bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes.
IHK-Info zum AI Act und den Risikoklassen für KI-Systeme
Die Website der IHK für München und Oberbayern unterstützt mit vielfältigen, praxisorientierten Informationen:
- Sie bietet eine ausführliche Einordnung des europäischen AI Act.
- Das IHK-Positionspapier „Umsetzung des AI Acts“ gibt es ebenfalls auf der Website.
Der AI Act stuft KI-Anwendungen in vier Risikoklassen ein, je nachdem, ob und wie stark sie die Gesundheit, die Sicherheit und die Grundrechte von Menschen gefährden können.
- Inakzeptables Risiko: KI-Technologien, die Persönlichkeitsrechte bedrohen, etwa Social Scoring, sind sechs Monate ab Inkrafttreten des AI Acts verboten.
- Hohes Risiko: künstliche Intelligenz, die etwa über die Einstellung von Jobkandidaten oder den Zugang zu Bildung entscheidet, oder in kritischen Infrastrukturen und in Sicherheitskomponenten von Produkten zum Einsatz kommt. Darunter können zum Beispiel KI-Anwendungen in der Medizin oder die KI-Bewertung der Kreditwürdigkeit fallen. Hier gelten besondere Vorschriften.
- Begrenztes Risiko: bezieht sich auf Risiken, die mit mangelnder Transparenz bei der KI-Nutzung verbunden sind. Beim Einsatz von Chatbots oder Deep Fakes zum Beispiel sollten Menschen informiert werden, dass sie mit einer Maschine agieren: Der Nutzer sollte wissen, dass er es mit einer KI zu tun hat.
- Minimales Risiko: keine gesetzlichen Anforderungen. Anbietern wird ein freiwilliger Verhaltenskodex nahegelegt. Beispiele sind hier Spamfilter oder KI-fähige Videospiele.
Gänzlich ausgeschlossen von dem AI Act sind KI-Systeme für militärische Zwecke, für die Forschung, zur Strafverfolgung und zur rein privaten, nicht kommerziellen Nutzung.
Das Gesetz betrifft auch KI-Systeme mit allgemeinem Verwendungszweck, in der Fachsprache General Purpose Artificial Intelligence (GPAI). Für diese gelten die Vorgaben ab 2. August 2025. Dazu gehört unter anderem ChatGPT.
IHK-Veranstaltungstipps: Webinare zur KI
- Webinarreihe AI Act
Die bayerischen IHKs (BIHK) veranstalten für Unternehmen eine mehrteilige Webinarreihe rund um das Thema AI Act.
Alle Termine mit Anmeldung in den Karteireitern oben auf der Webseite.
- KI-Webinarreihe „Künstliche Intelligenz verstehen und nutzen“
Der Einsatz von KI in der Wirtschaft wird breit diskutiert. Doch was bringt KI konkret für den einzelnen Betrieb? In welchen Bereichen können Firmen sie einsetzen? Die BIHK-Webinarreihe will KI für Unternehmen greifbarer machen, Wissen vermitteln, Barrieren beseitigen, rechtliche Rahmenbedingungen erläutern – und neue Impulse geben.
Erster Termin: 29. Oktober 2024, 14–15 Uhr
Letzter Termin: 5. Dezember 2024, 14–15 Uhr
Weitere Infos und Anmeldung hier.
irissca/Adobe Stock ©
Nina Lawrenson/peopleimages.com/Adobe Stock ©
nenetus/Adobe Stock ©
horst jürgen schunk/Adobe Stock ©
amenic181/Adobe Stock ©
apriori pr & marketing ©