Warum es an der Zeit ist, mit der Planung des EU-KI-Gesetzes zu beginnen

Von Phil Muncaster • 26 September 2023

Nur wenige Technologien können Regulierungsbehörden so sehr beunruhigen und Unternehmen so begeistern wie künstliche Intelligenz (KI). Es gibt es schon seit Jahren in verschiedenen Formen. Doch die europäischen Gesetzgeber sahen sich gezwungen, einzugreifen, da intelligente Algorithmen zunehmend in Geschäftsprozesse und bürgernahe Technologien integriert werden.

Die Herausforderung für Unternehmen, die solche Systeme entwickeln, wird darin bestehen, zu beurteilen, ob sie die strengen Kriterien erfüllen, die erforderlich sind, um innerhalb der Union auf den Markt zu kommen. Insbesondere für britische Unternehmen muss eine Entscheidung darüber getroffen werden, wie mit den unterschiedlichen Regulierungssystemen umgegangen werden soll.

Was steht im KI-Gesetz?

Regierungen auf der ganzen Welt beschäftigen sich intensiver mit KI, um Missbrauch oder versehentlichen Missbrauch zu minimieren. Der G7 diskutiert darüber. Das Weiße Haus versucht, Grundregeln dafür festzulegen die Rechte des Einzelnen schützen ermöglichen, die Verantwortungsvolle Entwicklung und Bereitstellung. Aber es ist die EU, die bei der vollständigen Ausarbeitung der Gesetzgebung am weitesten fortgeschritten ist. Es ist Vorschläge für ein neues „KI-Gesetz“ wurden kürzlich vom Europäischen Parlament verabschiedet.

Das KI-Gesetz wird einen risikobasierten Ansatz verfolgen und KI-Modelle nach „inakzeptablem“, „hohem“, „begrenztem“ und „minimalem“ Risiko klassifizieren.

Inakzeptables Risiko Damit sind Systeme gemeint, die die „Sicherheit, Lebensgrundlagen und Rechte“ der Menschen gefährden. Dazu gehören Gesichtserkennungstechnologie, staatliches Social Scoring und vorausschauende Polizeiarbeit und werden komplett verboten.

Hohes Risiko Systeme könnten KI umfassen, die in kritischen Infrastrukturen eingesetzt wird, was die Gesundheit der Bürger gefährden könnte, oder in Bildungseinrichtungen, wo sie zur Bewertung von Prüfungen eingesetzt werden könnte. Weitere Beispiele sind:

Einsatz von KI am Arbeitsplatz, beispielsweise beim Sortieren von Lebensläufen.
Kreditwürdigkeit.
Überprüfung von Dokumenten bei der Grenzkontrolle.
Polizei wertet Beweise aus.

Die Abgeordneten stufen auch Empfehlungssysteme für soziale Medien und KI zur Beeinflussung von Wählern bei Wahlen in die Hochrisikokategorie ein.

Begrenztes Risiko bezieht sich auf KI-Systeme, bei denen Benutzer darüber informiert werden müssen, dass sie mit einer Maschine, beispielsweise einem Chatbot, interagieren.

Minimal/kein Risiko Systeme wie KI-Spamfilter oder Videospiele können ohne Einschränkungen frei genutzt werden. Nach Angaben der EU umfasst diese Kategorie den Großteil der derzeit verwendeten KI-Produkte.

Welche Pflichten haben Unternehmen, die die Vorschriften einhalten?

Diese Entwickler (Anbieter) potenziell risikoreicher KI müssen mehrere Hürden überwinden, bevor ihre Produkte auf den Markt gebracht werden dürfen. Diese beinhalten:

Risikobewertungen und Risikominderungssysteme
Pflege hochwertiger Datensätze, um Risiken und Diskriminierung zu minimieren
Protokollierung der Aktivität, um die Ergebnisse transparenter zu machen
Detaillierte Dokumentation des Systems und seines Zwecks zur Weitergabe an Behörden
Klare und „angemessene“ Informationen für Benutzer
„Angemessene“ menschliche Aufsicht zur Risikominimierung
Hohes Maß an „Robustheit, Sicherheit und Genauigkeit“.

Sobald ein System entwickelt ist und eine Konformitätsbewertung bestanden hat, wird es in einer EU-Datenbank registriert und mit einem CE-Zeichen versehen. Unternehmensnutzer von KI-Modellen müssen jedoch eine kontinuierliche menschliche Aufsicht und Überwachung gewährleisten, während Anbieter verpflichtet sind, Systeme zu überwachen, sobald sie auf dem Markt sind. Beide Beteiligten müssen schwerwiegende Vorfälle und etwaige Fehlfunktionen von KI-Modellen melden.

Welche Auswirkungen wird das Gesetz auf britische Unternehmen haben?

Der Unterschied zwischen diesem künftigen Regime und dem des Vereinigten Königreichs ist deutlich. Nach Laut Edward Machin, einem leitenden Anwalt im Daten-, Datenschutz- und Cybersicherheitsteam bei Ropes & Gray, wird Letzteres als innovationsgetriebener und wirtschaftsfreundlicher angesehen.

„Im Gegensatz zur EU plant die britische Regierung weder die Einführung von KI-Gesetzen noch die Schaffung einer neuen KI-Regulierungsbehörde. Stattdessen werden bestehende Agenturen (z. B. ICO, FCA) das Rahmenwerk unterstützen und sektorspezifische Leitlinien herausgeben“, sagt er gegenüber ISMS.online.

„Obwohl das Vereinigte Königreich mit seinem lockeren Ansatz eher ein Ausreißer ist, basiert das Rahmenwerk auf Grundsätzen – Sicherheit, Transparenz, Fairness, Rechenschaftspflicht und Wiedergutmachung –, die den meisten Gesetzgebern derzeit in Bezug auf die KI-Regulierung gemeinsam sind.“

Es ist jedoch unwahrscheinlich, dass britische Unternehmen mit Niederlassungen in der EU von diesem weniger strengen Ansatz profitieren können, es sei denn, sie entscheiden sich dafür, die unterschiedlichen Compliance-Regelungen zu unterstützen, was mit zusätzlichen Gemeinkosten verbunden ist.

„Wenn das Vereinigte Königreich bei der Regulierung weiterhin einen lockereren Ansatz verfolgt als die EU, müssen britische Organisationen, die dem AI Act unterliegen, entscheiden, ob sie einen einheitlichen, europaweiten Ansatz zur Compliance verfolgen wollen oder nicht“, fährt Machin fort.

„Die Alternative besteht darin, getrennte Prozesse für das Vereinigte Königreich und die EU zu haben, was für viele Unternehmen teuer, schwierig zu implementieren und wahrscheinlich nur von begrenztem kommerziellen Nutzen sein wird. Wenn Unternehmen bestimmte Compliance-Verpflichtungen klar und einfach geografisch trennen können, sollten sie diese natürlich berücksichtigen und gleichzeitig anerkennen, dass sie in der Praxis auch in anderen Fällen die höheren EU-Standards erfüllen müssen.“

Worauf Sie achten sollten

Natürlich sind die Regeln noch in der Schwebe, bis sie endgültig sind. Die Europäische Kommission, die Mitgliedsstaaten und die Parlamentarier werden in einer Reihe von „Trilog“-Treffen zusammenkommen, um die Einzelheiten zu konkretisieren. Es bleibt beispielsweise abzuwarten, wie generative KI-Modelle behandelt werden. Alles, was die Kommission bisher gesagt hat besteht darin, dass sie Transparenzanforderungen erfüllen und daran gehindert werden müssen, „illegale Inhalte“ zu generieren und das Urheberrecht zu verletzen. Stanford-Forscher haben dies bereits behauptet dass viele KI-Modelle, einschließlich GPT-4, derzeit nicht dem KI-Gesetz entsprechen.

Machin fügt hinzu, dass Unternehmen, die Hochrisikomodelle entwickeln oder nutzen, auch genau im Auge behalten müssen, was als nächstes passiert.

„Wahrscheinlich wird es Meinungsverschiedenheiten darüber geben, wie ‚Hochrisiko‘-KI-Systeme definiert werden, und Unternehmen werden genau beobachten, wie sich dies auswirkt, da grundlegende Modelle und Technologien, die sich zunehmend auf das Leben der Menschen auswirken (z. B. in der Beschäftigung und bei Finanzdienstleistungen), dies tun werden.“ von dieser Definition erfasst werden“, argumentiert er.

Jonathan Armstrong, Partner bei Cordery, geht davon aus, dass es mindestens vier Monate dauern wird, bis die Unternehmen die gewünschte Klarheit erhalten.

„Der Rat, den wir unseren Kunden derzeit geben, ist eine formelle Beurteilung, aber das muss nicht zu aufwändig sein. Wir haben Kunden beispielsweise dabei geholfen, ihren Datenschutz-Folgenabschätzungsprozess anzupassen. Dies ist eine gute Grundlage, da sie sich mit einigen der Dinge befasst, die das KI-Gesetz ansprechen wird, wie Fairness, Transparenz, Sicherheit und Reaktion auf Anfragen“, sagt er gegenüber ISMS.online.

„Das wird ihnen auch dabei helfen, mit den fünf KI-Prinzipien im Vereinigten Königreich umzugehen [Strategiepapier].“ Ich denke, dass es für die meisten Organisationen keine allzu große zusätzliche Belastung darstellt, wenn sie dies tun Datenschutz richtig – aber für manche ist das ein großes Wenn.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster