KI-Verordnung der EU in Kraft getreten – Ein Überblick
Am 1. August 2024 ist die europäische Verordnung über künstliche Intelligenz (KI-Verordnung), auch AI-Act genannt, in Kraft getreten. Sie war im April 2021 von der Europäischen Kommission vorgeschlagen worden. Sie hat sich zum Ziel gesetzt die verantwortungsvolle Entwicklung und Verwendung künstlicher Intelligenz in der EU zu fördern. Da es sich um eine EU-Verordnung handelt, muss Deutschland die neuen Regeln nicht erst in deutsches Recht umsetzen, sondern sie gelten sofort. Aus diesem Grund hat die EU Übergangsfristen festgelegt.
Was bedeutet Künstliche Intelligenz (KI)
Künstliche Intelligenz (KI) bezeichnet den Ansatz, menschliche Lern- und Denkprozesse auf Computer zu übertragen. Das Ziel besteht darin, Computer dazu zu befähigen, komplexe Aufgaben zu bewältigen, die üblicherweise menschliche Intelligenz erfordern.
Wer ist betroffen?
Grundsätzlich sind alle Unternehmen betroffen, die KI-Systeme entwickeln, bereitstellen oder nutzen. Das bedingt, dass diese Systeme in der EU eingesetzt werden oder deren Ergebnisse Menschen in der EU beeinflussen. Betroffen sind große Konzerne und kleine und mittlere Unternehmen (KMU), die KI-Technologien in ihre Produkte oder Dienstleistungen integrieren.
Es werden auch Ausnahmen aufgeführt, wie z.B. Forschungs- und Entwicklungstätigkeiten und Erprobungen von Prototypen, die vor dem Inverkehrbringen eines KI-Systems stattfinden oder KI-Systeme, die ausschließlich für militärische Zwecke, Verteidigungszwecke oder Zwecke der nationalen Sicherheit konzipiert sind. DI KI-Nutzung zu privaten Zwecken ist nicht betroffen.
Schwerpunkt der Verordnung
Der Schwerpunkt der EU-Verordnung liegt auf den potenziellen Risiken, die Künstliche Intelligenz für Gesundheit, Sicherheit und die Grundrechte der Bürgerinnen und Bürger darstellen kann. Sie definiert klare Anforderungen, die Entwickler und Betreiber von KI je nach dem konkreten Einsatzbereich der Technologie erfüllen müssen um
- Grundrechte und Sicherheit zu garantieren
- einen einheitlichen Rechtsrahmen in der EU zu schaffen
- Innovationen zu fördern
- Missbrauch zu verhindern
- Eine Verletzung von Ethikstandrads zu verhindern
- Europäische Wettbewerbsvorteile zu sichern
Übergansfristen für die Einführung
Für die Einhaltung der Anpassungsfristen ist der 1. August 2024 ausschlaggebend, das Datum, an dem die Verordnung offiziell in Kraft getreten ist.
Die Verordnung sieht je nach Risikoklasse der zugrundeliegenden KI-Systeme Übergangsfristen von 6 bis 36 Monaten vor. Innerhalb dieser Zeit müssen die Unternehmen die Anforderungen umsetzen, denn die Nichteinhaltung kann zu erheblichen Geldstrafen und Haftungsrisiken führen.
Risikostufen
In der Verordnung sind 4 unterschiedliche Risikostufen für KI-Systeme festgelegt.
- unannehmbares Risiko, KI-Systeme, die mit den Grundrechten der EU nicht vereinbar sind (verbotene KI-Systeme, Art. 5 KI-VO)
- hohes Risiko, d.h. bedeutendes Risiko für Gesundheit, Sicherheit oder Grundrechte (stark regulierter Bereich, Art. 6-27 KI-VO)
- besondere Transparenzpflichten, z.B. Chatbots. (Art. 50 KI-VO)
- minimales Risiko, z.B. KI-gestützten Spiele oder Spam-Filter (keine zusätzlichen rechtlichen Verpflichtungen)
Für jede Risikostufe gelten bestimmte Anforderungen und Vorgaben, die erfüllt werden müssen. Je höher das potenzielle Risiko bei der Nutzung eines KI-Systems, desto umfangreicher sind die damit verbundenen gesetzlichen Anforderungen.
Diese umfassen z.B.
- Risikobewertungen,
- Dokumentationspflichten,
- EU-Konformitätserklärungen,
- sowie die Überwachung durch den Betreiber.
Wer ist für die Überwachung zuständig?
Jedes EU-Mitgliedsland ist verpflichtet, bis August 2025 eine nationale Aufsichtsbehörde für Künstliche Intelligenz zu benennen, die nicht nur die Überwachungsfunktion, sondern auch die Förderung von Innovationen Wettbewerb übernehmen soll. In Deutschland sind dafür z.B. die Bundesnetzagentur, die Datenschutzbehörden oder eventuell auch eine neu zu schaffende Behörde im Gespräch.
Das im Februar 2024 bei der Kommission eingerichtete Europäische Amt für KI überwacht die Durchsetzung und Umsetzung des KI-Gesetzes in den Mitgliedstaaten.
Was müssen Sie tun?
Alle Unternehmen, die bereits KI innerhalb ihrer Produkte oder Prozesse sollten in einem ersten Schritt folgende Aktivitäten durchführen:
- Analyse durchführen, um festzustellen in welche der Risikokategorien die verwendeten KI-System fallen.
- Bei Einsatz von hoch-risikobehafteten KI-System Konformitätsverfahren durchführen
- Bei KI-Systemen mit gegrenztem Risiko müssen Nutzer darüber informiert werden, dass sie mit einer KI interagieren
- Sicherstellen, dass keine verbotenen KI-Anwendungen eingesetzt werden
- Sicherstellen, dass ihre KI-Systeme mit ethischen Prinzipien wie Transparenz, Fairness und Schutz der Privatsphäre übereinstimmen
- Mechanismen implementieren, zur Aufnahme, Bearbeitung und ggf. Meldung von Problemen und Vorfällen
- Mitarbeitende schulen, damit diese die notwendigen Fähigkeiten und Schulungen erhalten, um die jeweiligen KI-Systeme verantwortungsvoll entwickeln, überwachen und steuern können
- Sicherstellen, dass die gültigen Datenschutzverordnungen eingehalten werden
- Verantwortlichkeiten festlegen
Es wird empfohlen, dass Unternehmen, die bereits KI verwenden, eine vollständige Compliance-Überprüfung durchführe, um zu prüfen, ob die KI-Systeme den neuen Vorschriften der EU-KI-Verordnung entsprechen.
Weiterführende Informationen
Hier bloggt Ihre Redaktion.