KI-Gesetz tritt in Kraft: Was müssen Unternehmen und Mitarbeiter beachten?

Data Privacy von Ioannis Dimas

KI-Gesetz in der EU
Ivan Marc/shutterstock.com

Das KI-Gesetz ist die europäische Verordnung zur künstlichen Intelligenz. Hierbei handelt es sich um die weltweit erste ausführliche Verordnung zur Regulierung einer Technologie, die enormes Potenzial, aber auch enorme Risiken birgt.

Das KI-Gesetz bestimmt unter anderem, welche Praktiken im Bereich der KI verboten sind, wann es sich um ein Hochrisiko-KI-System handelt und welche speziellen Regelungen bei einem derartigen System existieren. Doch nicht nur die Entwickler und Vertreiber einer KI werden durch das Gesetz reguliert. Auch Unternehmen und deren Mitarbeiter, die KI-Systeme nutzen, sind hiervon betroffen und sollten sich mit der Thematik kurzfristig und mit hoher Priorität beschäftigen, um negative Folgen zu vermeiden.

Definition eines KI-Systems nach KI-Gesetz

Doch wann handelt es sich laut dem KI-Gesetz wirklich um eine künstliche Intelligenz?

Das KI-Gesetz definiert ein „KI-System“ in Art. 3 Abs. 1 sinngemäß als ein intelligentes Computerprogramm,

  • das eigenständig Aufgaben lösen kann,
  • mit der Zeit lernt und
  • sich an neue Situationen anpasst.

Das System nutzt seine Eingabedaten, um verschiedene Ziele zu erreichen, wie beispielsweise Vorhersagen zu treffen, Inhalte zu erstellen, Empfehlungen auszusprechen oder Entscheidungen zu treffen, die sich auf unsere reale oder digitale Umgebung auswirken können.

Transparenzpflichten

Sowohl für die Anbieter als auch die Betreiber von KI-Systemen fallen Transparenzpflichten an. Beispielsweise...

  • müssen Anbieter dafür sorgen, dass bei der Nutzung ihrer KI deutlich zu erkennen ist, dass es sich um ein KI-System handelt.
  • sollten KI-Systeme des Anbieters dafür genutzt werden, synthetische Audio-, Bild-, Video,- oder Textinhalte zu erzeugen, muss erkennbar sein, dass sie von einer KI kreiert oder manipuliert wurden.
  • nutzt ein Betreiber eine KI um einen Deepfake zu erstellen, muss dies in einigen Fällen offengelegt werden.
  • muss der Betreiber eines KI-Systems, das der Emotionserkennung- und biometrischen Kategorisierung dient, über deren Einsatz informieren.

KI-Kategorien

Nun sind nach den Definitionen des KI-Gesetzes KIs nicht gleich KIs. Das Gesetz ordnet die Systeme in Kategorien ein und beschreibt die jeweils zu beachtenden Regelungen und Pflichten. Nach dem KI-Gesetz werden KI-Systeme in vier Risikokategorien eingeteilt:

  • KI-Systeme mit einem unannehmbaren Risiko (verbotene KI-Praktiken)Hochrisiko-KI-Systeme
  • Hochrisiko-KI-Systeme
  • KI-Systeme mit einem begrenzten Risiko
  • KI-Systeme mit minimalem Risiko (diese fallen nicht in den Anwendungsbereich des KI-Gesetzes)

Verbotene Praktiken im KI-Bereich

Das KI-Gesetz definiert und beschreibt in Art. 5 verbotene Praktiken im Zusammenhang mit KIs und KI-Systemen. Hierunter fallen  zum Beispiel Systeme, die gezielt dafür eingesetzt werden, um unterschwellig das Verhalten der Menschen zu manipulieren und zu steuern. Sollte das Verbot ignoriert werden, drohen Geldbußen bis zu 35 Millionen EUR oder im Fall von Unternehmen bis zu 7 % des gesamten weltweiten Jahresumsatzes.

Hochrisiko-KI-Systeme

Das KI-Gesetz besagt, dass es sich um ein Hochrisiko-KI-System handelt, falls die KI ein Produkt oder eine Sicherheitskomponente eines Produktes ist, das unter Produktsicherheitsvorschriften der EU fällt. So handelt es sich beispielsweise um ein Hochrisiko-KI-System, wenn die KI im Zusammenhang mit der Produktion von Aufzügen oder Sicherheitsbauteilen von Aufzügen zum Einsatz kommt. Ebenfalls wird ein KI-System in die Kategorie der Hochrisiko-KI-Systeme eingeordnet, wenn es in einem bestimmten  Bereich eingesetzt wird. Zu diesen Bereichen zählen unter anderem die kritische Infrastruktur und die allgemeine und berufliche Bildung. Für die Anbieter als auch die Anwender solcher KI-Systeme existieren besondere Pflichten, zum Beispiel ein Risiko- als auch ein Qualitätsmanagementsystem zu betreiben. Während die Anwender beispielsweise dafür sorgen müssen, dass das KI-System eine menschliche Überwachung erhält. Diese muss hierbei durch qualifizierte, trainierte und befugte Mitarbeiter erfolgen.

KI-Modelle mit allgemeinem Verwendungszweck

Bei KI-Modellen mit allgemeinem Verwendungszweck handelt es sich kurz gesagt um eine KI, die mehrere Anwendungszwecke erfüllt und in nachgelagerte Systeme oder Anwendungen integriert werden kann. Ein bekanntes Beispiel für eine derartige KI  ist ChatGPT. Die Anbieter solcher KI-Modelle müssen verschiedenen Pflichten nachkommen. So bestehen  zum Beispiel Pflichten, technische Dokumentationen zu erstellen und die Urheberrechtsvorschriften einzuhalten. Für KI-Modelle mit systemischem Risiko bestehen zusätzliche weitere Pflichten und Vorgaben.

Wie müssen Unternehmen damit umgehen?

Das KI-Gesetz bringt viele neue Pflichten und Vorgaben für Unternehmen, die KI-Systeme anbieten aber auch nutzen. Daher empfehlen wir den Unternehmen, sich über ihre Verpflichtungen zu informieren. In diesem Zuge sollte geprüft werden, ob man eine KI anbietet oder nutzt. Auch sollte überprüft werden, um welche Art von  KI-System es sich handelt.  Wenn es sich um ein Hochrisiko-KI-System handelt, fallen selbst für den Nutzer umfangreiche Pflichten an. Wichtig an dieser Stelle ist es auch zu erwähnen, dass zwar beispielsweise für die Nutzung  einer KI mit allgemeinem Verwendungszweck im KI-Gesetzes keine direkten Pflichten erwähnt werden, jedoch ein Unternehmen dennoch in dieser Situation eine gewisse Sorgfaltspflicht? hat. Denn das KI-Gesetz bestimmt, dass Mitarbeiter aber auch andere Personen die KI-Systeme für die Arbeit nutzen, geschult werden müssen. Dabei ist  nicht von Bedeutung, ob das Unternehmen KI-Systeme anbietet oder betreibt. Ebenfalls ist es unwichtig, welche Art von KI-System genutzt wird. Daher empfehlen wir dringend, die Mitarbeiter rechtzeitig zu schulen. Eine derartige Schulung bieten wir auf unserer Plattform ETES Education an.

 

Unternehmen, die KI einsetzen oder dies planen, sollten in diesem Sinne:

  1. prüfen, ob und inwiefern das Unternehmen von dem KI-Gesetz betroffen ist und, ob der Einsatz von KI in (näherer) Zukunft angestrebt wird.
  2. prüfen, ob bereits eingesetzte KI, unter Hochrisiko KI oder unter eine andere der definierten Kategorien fallen.
  3. bei geplantem Einsatz den Datenschutzbeauftragten informieren und bei der Umsetzung mit einbeziehen.
  4. notwendige Auftragsverarbeitungsvereinbarungen (gem. Art. 28 DS-GVO) mit KI-Anbietern abschließen, sofern das KI-System von einem externen Anbieter betrieben wird und die Datenspeicherung nicht lokal erfolgt.
  5. mit dem Datenschutzbeauftragten besprechen, wie erforderliche Schulungen zu KI umgesetzt werden können.
  6. prüfen, ob betroffene Personen ausreichend vor dem unbefugten Veröffentlichen ihrer persönlichen Daten geschützt sind und eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist.
  7. notwendige organisatorische und technische Maßnahmen ergreifen, um Verstöße gegen das KI-Gesetz, die DS-GVO und das Kunsturhebergesetz zu verhindern.
  8. sicherstellen, dass Informationspflichten nach Art. 13 und Art. 14 DS-GVO eingehalten und Betroffenenrechte umgesetzt werden können.
  9. Mitarbeiter vor und während dem Einsatz von KI-Systemen schulen.

Für all diese Fragen zum Thema Künstliche Intelligenz und deren Einsatz  stehen wir Ihnen selbstverständlich gerne zur Verfügung. Kommen Sie gerne auf uns zu!

Kontaktieren Sie uns

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Was ist die Summe aus 3 und 5?
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain Portrait

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas Portrait

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.