Als Teil ihrer KI-Strategie hat die Europäische Union die KI-Verordnung vorgeschlagen, um sicherzustellen, dass KI auf sichere, zuverlässige und transparente Weise entwickelt und eingesetzt wird. Die neue Verordnung klassifiziert KI-Systeme nach ihren Risiken und hat erhebliche Auswirkungen auf Organisationen, die KI-Systeme innerhalb der EU entwickeln oder nutzen. Dieser Artikel fasst die KI-Verordnung der EU kurz zusammen und zeigt, wie Sie sich schon heute darauf vorbereiten können.
Die im April 2021 von der Europäischen Kommission vorgestellte EU-Verordnung über Künstliche Intelligenz (EU AI Act) ist die erste ihrer Art und schafft einen rechtlichen Rahmen, der den Einsatz von KI-Systemen in der gesamten EU regulieren soll, um die Sicherheit, Verlässlichkeit und Transparenz von KI-Systemen zu gewährleisten. Ziel der Europäischen Union ist es, sicherzustellen, dass der Einsatz von KI im Einklang mit bestehenden Gesetzen zu Grundrechten und den Werten der Union steht.
Da verschiedene Anwendungen von KI unterschiedliche Risiken bergen, verfolgt das Gesetz einen risikobasierten Ansatz, der in eine sektorübergreifende Regulierung mündet:
Je nach Risikoklasse eines KI-Systems kann dessen Einsatz verboten sein, müssen spezifische Anforderungen erfüllt werden, oder Nutzerinnen und Nutzer müssen über die Interaktion mit der KI informiert werden. Dies gilt für alle KI-Systeme, die natürliche Personen in der EU betreffen. Mehr zur Einstufung von KI-Risiken erfahren Sie in diesem Artikel.
Die EU einigte sich auf eine neue, umfassendere Definition, die mit der Definition der OECD im Einklang steht. Demnach wird ein KI-System im Sinne des EU AI Acts nun als ein maschinengestütztes System verstanden, das auf Basis von Eingaben, die es erhält, Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugt, die physische oder virtuelle Umgebungen beeinflussen. Diese Systeme können sich hinsichtlich ihres Grades an Autonomie und Anpassungsfähigkeit unterscheiden.
Zuvor definierte die EU ein KI-System als eine Software, die mithilfe von maschinellem Lernen oder logik- und wissensbasierten Ansätzen entwickelt wurde und Inhalte, Vorhersagen, Empfehlungen, Entscheidungen oder ähnliche Ausgaben erzeugt, die Einfluss auf die Umgebung haben, mit der das System interagiert, einschließlich KI-Systemen, die Teil eines Hardware-Geräts sein können. Diese Definition wurde von vielen Akteuren im KI-Ökosystem stark kritisiert, da sie auch einfachere Systeme umfassen konnte, die nicht als KI im engeren Sinne gelten.
Die EU möchte sicherstellen, dass Bürgerinnen und Bürger vor möglichen negativen Auswirkungen von KI geschützt sind. Ziel des EU AI Acts ist es daher unter anderem, sicherzustellen, dass Organisationen, die KI zur Entscheidungsfindung einsetzen, keine Diskriminierung gegenüber Menschen ausüben und dass solche Systeme keine Verzerrungen (Bias) gegenüber bestimmten Gruppen, etwa aufgrund von Ethnie, Geschlecht, Religion oder anderen Merkmalen, aufweisen.
Organisationen, die KI-Systeme verwenden, müssen jede Entscheidung, inklusive des dahinterliegenden Entscheidungsprozesses, nachvollziehbar erklären können. Das stellt für viele Unternehmen eine große Herausforderung dar, da die derzeitigen KI-Entwicklungsprozesse oft fragmentiert und nicht transparent sind. Es wird daher für viele Organisationen notwendig sein, Lösungen zu entwickeln, die strukturierte und transparente Abläufe ermöglichen.
Der EU AI Act räumt betroffenen Personen zudem das Recht ein, algorithmisch getroffene Entscheidungen anzufechten und eine Überprüfung durch die verantwortliche Organisation zu verlangen. Das verstärkt die Konsequenzen, welche die KI-Verordnung nach sich zieht, und erhöht den Druck auf Organisationen, sich auch aus Haftungsgründen auf transparente, sichere und prüfbare KI-Systeme zu fokussieren.
Die KI-Verordnung ist seit August 2024 wirksam. Nun müssen harmonisierte Standards entwickelt und von jedem Mitgliedsstaat in nationales Recht überführt werden.
Für die verschiedenen Bestimmungen und Pflichten gelten gestaffelte Zeitpläne:
KI-Systeme, die als hochriskant eingestuft werden, dürfen weiterhin entwickelt und eingesetzt werden – vorausgesetzt, sie erfüllen die vorgeschriebenen Anforderungen. Dazu gehört insbesondere eine sogenannte „Konformitätsbewertung“ (Audit), mit der sichergestellt wird, dass das entwickelte KI-System den Vorgaben des EU AI Acts entspricht. Diese Bewertung muss bei wesentlichen Änderungen am System erneut durchgeführt werden.
Darüber hinaus ist es verpflichtend, die Risiken und die Qualität des Systems während des Betriebs fortlaufend zu überwachen. Dies umfasst unter anderem:
Bei Nichteinhaltung der Vorgaben der KI-VO können Bußgelder in Höhe von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes der Organisation geahndet werden. Wer falsche oder unvollständige Informationen an Behörden übermittelt, riskiert Strafen von bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes. Für kleine und mittlere Unternehmen sowie Start-ups können die Höchststrafen aber gedeckelt werden.
Weitere Informationen zu den konkreten Anforderungen finden Sie in diesem Artikel.
Auch wenn die Auswirkungen der KI-Verordnung für manche Organisationen drastisch und kostenintensiv sein werden, gibt es eine gute Nachricht: Es bleibt noch ausreichend Zeit, um sich vorzubereiten und bestehende KI-Systeme an die neuen gesetzlichen Anforderungen anzupassen. Es ist jedoch entscheidend, so früh wie möglich zu beginnen, um sicherzustellen, dass die aktuell eingesetzten oder entwickelten KI-Systeme zum Zeitpunkt des Inkrafttretens der KI-VO rechtskonform sind. Andernfalls besteht das Risiko, dass sie abgeschaltet werden müssen oder es drohen hohe Bußgelder.
Wie bereits erwähnt, verfolgt die EU mit ihrer KI-Strategie das Ziel, vertrauenswürdige KI zu schaffen. Ein zentrales Element dabei ist Transparenz in allen Phasen der Entwicklung. Das erleichtert nicht nur die Einhaltung der gesetzlichen Vorgaben, sondern sorgt auch dafür, dass alle Beteiligten im Entwicklungsprozess ein gemeinsames Verständnis haben.
Wir bei trail möchten, dass Sie den gesamten Entwicklungsprozess vollständig nachvollziehen können – unabhängig davon, ob Sie einen technischen Hintergrund haben oder nicht. Informieren Sie sich hier, wie wir Sie bei der Dokumentation, Audits und der Einhaltung der KI-VO schon während der Entwicklung unterstützen können.