Künstliche Intelligenz (KI) hat in den vergangenen Jahren Einzug in viele Unternehmen gehalten. So werden Techniken zu Data Analytics oder Machine Learning eingesetzt, um beispielsweise Zeit und Kosten zu sparen oder Geschäftsprozesse zu automatisieren. Spätestens die jüngste Veröffentlichung von ChatGPT hat das Thema KI einem breiten Publikum zugänglich gemacht. Von der KI generierte falsche Informationen oder Urheberrechtsfragen zeigen aber mögliche Risiken auf. Die Sicherheit und Freiheit, also Grundrechte der Menschen, dürfen durch KI-Systeme nicht eingeschränkt werden. Ein pflichtbewusster Umgang mit dieser Technologie ist ebenso wichtig wie ein rechtlicher Rahmen.
Regeln für KI-Systeme: der aktuelle Stand
Die Notwendigkeit der Regulierung wurde bereits von vielen Ländern erkannt. So haben die USA diverse Regelungen zum KI-Risikomanagement vorgesehen, inklusive einer „AI Bill of Rights“. China adressiert generative KI-Systeme mit entsprechenden administrativen Maßnahmen. Die EU widmet dem Thema eine eigene Strategie für künstliche Intelligenz, inklusive „Data Act“ (Anforderungen an Daten), „Data Governance Act“ (Anforderungen an Datenaustausch) und AI Act (Anforderungen an Systeme). Letzterer wurde 2021 durch die EU-Kommission im Entwurf veröffentlicht und seither rege diskutiert: innerhalb der EU, in Unternehmen und zwischen AI-Expert:innen.
Nachdem der EU-Rat und das EU-Parlament ihre Positionen zum Entwurf veröffentlicht haben, wird dieser in den kommenden Monaten in einem Trilog final ausgehandelt. Mit Blick auf die Europawahl 2024 ist bis spätestens zu dem Termin mit einer Veröffentlichung zu rechnen. Bis der AI Act effektiv gilt, wird es eine Übergangsfrist von zwei Jahren geben. Betroffene Parteien werden also voraussichtlich bis 2026 Zeit haben, die Anforderungen umzusetzen.
AI Act der EU – diese drei Risikokategorien gibt es:
- Unakzeptabel hohes Risiko: KI-Systeme und Anwendungen, die zur Benachteiligung oder Bedrohung von Personen führen. à Der Einsatz dieser Technologien ist verboten.
- Hohes Risiko: Anwendungen, die nicht explizit verboten sind und ein hohes Risiko hinsichtlich der Grundrechte, Sicherheit und Gesundheit natürlicher Personen darstellen. à Der Einsatz dieser Technologien ist durch umfangreiche Anforderungen im AI Act geregelt.
- Geringes Risiko: alle weiteren KI-Systeme, zum Beispiel KI-fähige Videospiele und Chatbots. Der Einsatz dieser Technologien ist durch weniger umfangreiche Anforderungen im AI Act geregelt, im Wesentlichen Transparenz- und Informationspflicht.
Während die EU strengere Vorschriften für die künstliche Intelligenz vorsieht, sind amerikanische Tech-Konzerne wie Microsoft, Google und Meta, aber auch chinesische Wettbewerber weiterhin Innovationstreiber in diesem Bereich. Das liegt nicht zuletzt daran, dass diese oft nach dem Motto „Innovate first, regulate second“ handeln (können). Kritiker:innen befürchten, dass durch eine strenge Auslegung des AI Acts Unternehmen weniger Anreize haben, auf diese Technologien zu setzen. Dadurch könnte die EU einen empfindlichen Nachteil im globalen Wettbewerb erleiden.
Haben Sie zu Fragen rund um das Thema „AI Governance“? Sprechen Sie uns gerne an. Weitere Informationen finden Sie hier.
Welche Auswirkungen hat der AI Act auf europäische Unternehmen?
Auch wenn die finale Fassung des AI Acts noch nicht final vorliegt, zeichnet sich ab, dass dieser weitrechende Folgen für Unternehmen, Nutzer:innen haben wird. Im Vordergrund stehen umfangreiche administrative Anforderungen, wie zum Beispiel ein effektives Risikomanagement oder auch die Sicherstellung von Qualität, (technischer) Dokumentation und proaktiver Information.
Auch wird die operative, technische Umsetzung eine große Rolle spielen – und diese ist nicht durch den AI Act geregelt. Diese kann anspruchsvoll und mit entsprechenden Kosten verbunden sein. Die unspezifischen Anforderungen lassen einerseits Fragen offen und führen auch mit Blick auf eventuelle Sanktionen zu Unsicherheiten. Andererseits bieten die allgemeinen Formulierungen für Unternehmen auch Gestaltungsspielraum.
So können Unternehmen auf die EU-Regeln zur künstlichen Intelligenz reagieren
Es gibt einige Möglichkeiten und Schritte, wie sich Unternehmen und Nutzer:innen auf die bevorstehende Regulierung vorbereiten können:
Zunächst sollten sich Unternehmen bewusst sein, dass eine neue Regulierung per se nichts Schlechtes ist. Bis zur finalen Fassung könnte das Regelwerk außerdem noch in einigen Punkten entschärft werden. Dann wird es ähnlich zur EU-Datenschutz-Grundverordnung (DSGVO) eine Übergangsfrist von zwei Jahren geben, die ausreichendend Zeit für die Umsetzung und das Testen von Anwendungen einräumt.
Unser Apell: Sehen Sie den Gesetzgeber nicht als Gegner an. Viele Punkte im Regelwerk der EU müssen ihre Praxistauglichkeit noch beweisen. Nutzen Sie Ihr firmeninternes und -externes Netzwerk sowie verschiedene Austauschformate und Kommunikationskanäle, um konstruktiv über die operative Gestaltung des AI Acts zu diskutieren. Vor allem ist es wichtig, sich frühzeitig mit dem Thema auseinanderzusetzen.
Governance für künstliche Intelligenz: Diese Fragen sollte sich Ihr Unternehmen jetzt stellen:
- Gibt es eine KI-Strategie im Unternehmen und welche Rolle sollen KI-Systemen im Unternehmen spielen?
- Gibt es bereits eine interne Governance-Richtlinie für künstliche Intelligenz und orientiert diese sich an den Eckpunkten des EU AI Acts?
- Wurde bereits eine Taskforce „AI Governance“ gebildet und ist diese interdisziplinär zusammengesetzt?
- Liegt im Unternehmen eine Aufstellung der KI-Systeme und Anwendungsfälle vor?
Diese Spielregeln für den Einsatz künstlicher Intelligenz sollten Sie außerdem beachten:
- Nehmen Sie für Ihre KI-Systeme eine Risikokategorisierung nach Vorbild des EU AI Acts vor. Systeme mit unakzeptabel hohem Risiko sollten unmittelbar abgeschaltet und etwaige Risiken effektiv adressiert werden (ggf. unter Einbeziehung der Abteilungen für Recht & Außenkommunikation).
- Binden Sie die Vorgaben der EU-Richtlinie in die Prozesse und Anwendungsfälle ein, in denen künstliche Intelligenz zum Einsatz kommt. Alle Beteiligten (Führungskräfte, Software-Entwickler:innen, Anwender:innen und Prüfer:innen) sollten frühzeitig in die Gestaltung der Prozesse mit einbezogen werden. Übersetzen Sie organisatorische Maßnahmen sinnvoll ins Technische und sorgen Sie durch kluge Schnittstellen dafür, dass die Prozesse möglichst ineinandergreifen.
- Eine von Ihnen eingerichtete „AI Governance Taskforce“ kann im Unternehmen durch Kommunikation und Steuerung (intern wie extern) für eine sinnvolle Auslegung des regulatorischen Rahmens sorgen.
- Kontrollieren Sie in regelmäßigen Abständen den operativen Ablauf. Dies umfasst auch entsprechende Eskalations- und Meldeprozesse.
Lesen Sie zu dem Thema auch unsere Studie „KI-Risiken im Blick“. Die Studie gibt Empfehlungen für eine KI-Governance, die eine verantwortungsvolle Nutzung der neuen Technologie sicherstellt – jetzt herunterladen.