Was das EU-KI-Gesetz für Ihr Unternehmen bedeutet
Inhaltsverzeichnis:
Im vergangenen Monat erließ die Europäische Union eine wegweisende Verordnung zur künstlichen Intelligenz in die Gesetzesbücher eintreten. Das EU-KI-Gesetz, das das Europäische Parlament mit 523 zu 46 Stimmen mit überwältigender Mehrheit angenommen hat, beschreibt eine Reihe von Risikostufen, Verpflichtungen und Anforderungen für Unternehmen, die KI-Lösungen oder -Modelle entwickeln, einsetzen und nutzen.
Obwohl es sich hierbei um ein europäisches Gesetz handelt, müssen britische Technologieunternehmen, die ihre KI-Dienste und -Modelle auf dem EU-Markt anbieten möchten, diese einhalten oder mit hohen Geldstrafen rechnen. Dies erfordert ein konkretes Verständnis der Funktionsweise der endgültigen Fassung des Gesetzes und eine vollständige Überarbeitung der Compliance-Programme des Unternehmens.
Wichtige Änderungen im EU-KI-Gesetz
Eine der bedeutendsten Änderungen an der endgültigen Fassung des EU-KI-Gesetzes ist laut Jake Moore, globaler Cybersicherheitsberater beim Antivirenhersteller ESET, „ein risikobasierterer Ansatz“ zur Regulierung der Technologie.
Moore teilt ISMS.online mit, dass die Regeln für KI-Anwendungen mit geringem und hohem Risiko unterschiedlich sein werden, wobei die strengsten für „jene mit größerem Schadenspotenzial“ gelten. Beispiele für Letzteres wären KI-gestützte medizinische Geräte und automatisierte Polizeitechnologien.
Er fügt hinzu, dass das Gesetz Unternehmen auch dazu zwingen wird, transparent über ihre KI-Nutzung zu sein, gefährliche KI-Anwendungen wie Predictive Policing zu verbieten und generative KI-Modelle wie ChatGPT 4 und Google Gemini zu prüfen.
„Dies ist das erste Anzeichen für die Erkenntnis, dass eine KI-Größe nicht für alle geeignet ist“, fährt Moore fort.
Leonie Power, Partnerin und KI-Spezialistin bei der Anwaltskanzlei Fieldfisher, sagt, dass zu den wichtigsten Änderungen eine KI-Definition ähnlich der von der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) übernommenen gehört, zusätzlich zu speziellen Bestimmungen für Deepfakes und allgemeine Zwecke KI-Modelle.
Paolo Sbuttoni, Partner bei der Anwaltskanzlei Foot Anstey, weist darauf hin, dass viele dieser Änderungen in einem durchgesickerten Gesetzesentwurf dargelegt wurden, auf den sich die EU-Gesetzgeber im vergangenen Dezember vorläufig geeinigt hatten. Es umfasste eine endgültige Definition des KI-Systems, Anforderungen für eine Folgenabschätzung für Grundrechte, Beschränkungen der biometrischen Identifizierung in Echtzeit und Regeln für Allzweck-KI-Systeme, sagt er.
„Die beiden gesetzgebenden Organe haben im Januar 2024 einige technische Änderungen am Gesetz vorgenommen, um den Text der Erwägungsgründe an die bei den Verhandlungen im Dezember vereinbarten Artikel anzupassen, aber es gab keine wesentlichen Änderungen am Entwurf vom Dezember 2023“, sagt er gegenüber ISMS .online.
Die Auswirkungen auf britische Organisationen
Großbritannien hat möglicherweise die Europäische Union verlassen und einen eigenen Ansatz entwickelt zur Regulierung der KI-Technologie, aber das bedeutet nicht, dass das EU-KI-Gesetz keine Auswirkungen auf britische Unternehmen haben wird. Laut Sbuttoni von Foot Anstey müssen alle im Vereinigten Königreich ansässigen Unternehmen, die KI-Dienste in der EU verkaufen oder installieren möchten, die Regeln befolgen.
Gemäß Artikel 28 werden diese Verpflichtungen jedoch je nach Änderungen variieren, die von in der EU ansässigen Betreibern, Händlern oder Importeuren von KI-Diensten vorgenommen werden, die von britischen Unternehmen entwickelt oder angeboten werden, stellt er klar. Diese Gruppen werden allgemeiner als „Downstream-Benutzer“ bezeichnet, während KI-Dienstleister „Upstream“-Einheiten sind.
Unter Bezugnahme auf Artikel 3 Nummer 23 sagt Sbuttoni, dass die EU-Regulierungsbehörden diese Gruppen als Dienstleister betrachten werden, wenn sie wesentliche Änderungen an den von britischen Unternehmen bereitgestellten Systemen vornehmen. In diesem Inhalt sagt er, dass das britische Unternehmen dem nachgeschalteten Anwender in der EU – jetzt dem Dienstleister – technische Dokumente, Fähigkeitsinformationen sowie technischen Zugang und Unterstützung zur Verfügung stellen müsste, damit die andere Partei das Gesetz einhalten kann.
Erfüllung dieser Verpflichtungen
Um diese neuen gesetzlichen Anforderungen zu erfüllen, müssen britische KI-Unternehmen, die auf dem EU-Markt tätig werden möchten, eine Reihe von Änderungen an ihren Compliance-Programmen vornehmen. Fieldfisher's Power empfiehlt Organisationen, diesen Prozess zu beginnen, indem sie alle entwickelten, eingesetzten oder geplanten KI-Systeme überprüfen und die Auswirkungen ermitteln, die das EU-KI-Gesetz auf sie haben wird.
Anschließend rät sie Unternehmen, KI-Modelle und -Systeme anhand ihres Risikoniveaus, beispielsweise eines hohen oder systematischen Risikos, zu klassifizieren und die Rolle zu verstehen, die sie in der KI-Lieferkette spielen. Der letzte Schritt ist die Implementierung eines KI-Governance-Frameworks. Power sagt, dass Unternehmen dazu bewährte Risiko- und Governance-Frameworks nutzen können, wie sie beispielsweise für den Datenschutz verwendet werden.
„Bedenken Sie insbesondere die Überschneidung mit DSGVO Compliance und das Ausmaß, in dem die Organisation auf diesen Compliance-Maßnahmen aufbauen kann, um den Verpflichtungen des EU-KI-Gesetzes nachzukommen“, sagt sie gegenüber ISMS.online. „Beim oben genannten Ansatz sollten Organisationen die Übergangsfristen für bestimmte Anforderungen berücksichtigen, die zwischen sechs und 36 Monaten variieren.“
Sbuttoni von Foot Anstey sagt, dass Unternehmen Compliance-Programme entwickeln sollten, die sich an den potenziellen Risiken ihrer KI-Systeme orientieren. Die vier vom EU-KI-Gesetz übernommenen Risikokategorien sind: minimal, begrenzt, hoch und inakzeptabel.
„Für Systeme mit geringem/minimalem Risiko gelten begrenzte Verpflichtungen, während das Gesetz den Betreibern von Systemen mit hohem Risiko eine Reihe erheblicher Anforderungen auferlegt. Dazu gehören Risikomanagement, Konformitäts- und Folgenabschätzungen, Datenqualität, Transparenz oder menschliche Kontrolle“, sagt er.
Die Nichteinhaltung dieser Vorschriften könnte hohe finanzielle Kosten nach sich ziehen. Die EU könnte gegen Unternehmen Geldbußen von bis zu 35 Millionen Euro (30 Millionen Pfund) oder 7 % des weltweiten Vorjahresumsatzes verhängen, wenn sie sich an verbotenen Praktiken beteiligen, 15 Millionen Euro (13 Millionen Pfund) oder 3 %, wenn sie andere regulatorische Anforderungen nicht erfüllen, und 7.5 Millionen Euro (6.4 Mio. £) oder 1 % für die Bereitstellung falscher Informationen.
Wie ISO 42001 helfen kann
Da britische Unternehmen ihre Compliance-Programme an die Anforderungen des EU-KI-Gesetzes anpassen, könnte es auch eine gute Idee sein, das umzusetzen ISO 42001 Standard für KI-Managementsysteme.
Fieldfisher's Power sagt, die Nutzung dieses Industriestandards würde es Unternehmen ermöglichen, das EU-KI-Gesetz einzuhalten, indem „eine Kultur der Transparenz, Rechenschaftspflicht und ethischen Nutzung von KI geschaffen wird“.
Sbuttoni von Foot Anstey fügt hinzu, dass die technischen Leitlinien der ISO 42001 Unternehmen beim Management von KI-Risiken und -Chancen unterstützen werden.
„Obwohl dies keine Garantie für die Einhaltung von Gesetzen ist, ist es ein guter Schritt, um Unternehmen, die KI einsetzen, bei der Einhaltung branchenspezifischer oder gesetzlicher Anforderungen zu helfen“, argumentiert er.
Angesichts der Größe des europäischen Marktes werden viele britische Unternehmen, die die Leistungsfähigkeit von KI in ihren Produktangeboten nutzen möchten, den Standard als Möglichkeit in Betracht ziehen, ihre internationale Expansion zu rationalisieren.
