Mit dem Inkrafttreten der europäischen Verordnung über künstliche Intelligenz (KI-Verordnung) am 1. August 2024 werden Unternehmen schrittweise mit neuen gesetzlichen Anforderungen konfrontiert. Bereits ab Februar 2025 treten erste verbindliche Regelungen in Kraft, insbesondere im Hinblick auf verbotene KI-Anwendungen. Unternehmen sind zudem aufgefordert, sich frühzeitig mit den Auswirkungen dieser Regulierung auseinanderzusetzen und die notwendigen Compliance-Maßnahmen zu ergreifen.
Verbotene KI-Systeme gemäß KI-Verordnung
Ab Februar 2025 ist der Einsatz bestimmter KI-Systeme in der EU ausdrücklich verboten. Diese Regelung basiert auf den Vorgaben der KI-Verordnung, die darauf abzielt, mögliche Risiken für Grundrechte, Sicherheit und Demokratie zu minimieren. Insbesondere sollen Systeme ausgeschlossen werden, die Menschen manipulieren, diskriminieren oder massenhaft überwachen können. Diese Regelung betrifft insbesondere Anwendungen, die als besonders risikobehaftet eingestuft werden. Dazu zählen unter anderem:
- Manipulative KI-Technologien:
Systeme, die das Verhalten oder die Entscheidungsfindung von Menschen unbewusst beeinflussen, insbesondere wenn dies zu Schaden führen kann. - Social-Scoring-Systeme:
KI-gestützte Bewertungen natürlicher Personen aufgrund ihres Verhaltens, ihres sozialen Status oder persönlicher Merkmale, die potenziell diskriminierend wirken können. - Massenüberwachung durch biometrische Erkennung:
Der Einsatz von Echtzeit-Gesichtserkennung im öffentlichen Raum wird bis auf wenige Ausnahmen, etwa zur Terrorabwehr oder zur Bekämpfung schwerer Kriminalität, verboten. - Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen:
KI-Systeme, die den emotionalen Zustand von Arbeitnehmern oder Schülern analysieren, dürfen nicht mehr eingesetzt werden. - Predictive Policing auf rein statistischer Basis:
Systeme, die ausschließlich auf Wahrscheinlichkeitsberechnungen basieren, um zukünftiges Verhalten vorherzusagen, sind verboten.
Unternehmen, die solche Systeme bereits einsetzen oder an der Entwicklung solcher Technologien beteiligt sind, müssen bis Februar 2025 sicherstellen, dass sie den neuen Regelungen entsprechen und gegebenenfalls verbotene Anwendungen einstellen.
KI-Gesetz: Handlungsbedarf für Unternehmen
Neben der Einhaltung der ab Februar 2025 geltenden Verbote sollten Unternehmen proaktiv auf die kommenden Anforderungen der KI-Verordnung reagieren. Ein Beispiel für eine erfolgreiche Compliance-Strategie ist die Implementierung eines internen KI-Governance-Frameworks, das klare Verantwortlichkeiten definiert, regelmäßige Risikoanalysen durchführt und sicherstellt, dass alle eingesetzten KI-Systeme den neuen gesetzlichen Anforderungen entsprechen. Dies umfasst insbesondere
- Eine Bestandsaufnahme aller im Unternehmen eingesetzten KI-Anwendungen, um mögliche Verstöße frühzeitig zu erkennen.
- Die Prüfung, ob eingesetzte oder entwickelte KI-Systeme als Hochrisiko-KI einzustufen sind. Für diese Systeme gelten in späteren Umsetzungsphasen des KI-Gesetzes umfangreiche Dokumentations- und Compliance-Anforderungen.
- Anpassung interner Richtlinien, insbesondere in den Bereichen Datenschutz und Ethik, um auf künftige Transparenz- und Sicherheitsanforderungen vorbereitet zu sein.
- Aufbau interner Compliance-Strukturen zur Überwachung und Einhaltung der regulatorischen Anforderungen.
Der Aufbau interner Compliance-Strukturen ist ein wesentlicher Bestandteil der Unternehmensstrategie, um sicherzustellen, dass alle rechtlichen Anforderungen des KI-Gesetzes eingehalten werden. Dazu gehört die Umsetzung eines strukturierten und systematischen Ansatzes zur Überwachung und Kontrolle von KI-Anwendungen. Unternehmen sollten eine interne Compliance-Abteilung oder verantwortliche Personen benennen, die für die regelmäßige Überprüfung und Bewertung der eingesetzten KI-Systeme verantwortlich sind.
Dazu gehört auch die Einführung von Mechanismen zur Risikoanalyse, mit denen potenzielle Verstöße frühzeitig erkannt und vermieden werden können. Unternehmen sollten auch interne Meldewege für ethische oder regulatorische Bedenken einrichten, damit Mitarbeiterinnen und Mitarbeiter mögliche Probleme anonym oder direkt an eine Compliance-Stelle melden können.
KI-Schulungen für Mitarbeiter Pflicht
Ein weiterer wichtiger Aspekt interner Richtlinien ist die Implementierung klarer Verantwortlichkeiten und Prozesse für den Umgang mit KI-Anwendungen. Dazu kann die Benennung eines AI Officers gehören, der sicherstellt, dass der Einsatz von KI den regulatorischen Anforderungen entspricht.
Darüber hinaus sollten Unternehmen regelmäßig interne Schulungen für Mitarbeiterinnen und Mitarbeiter durchführen, denn die Vermittlung von KI-Kompetenz ist ab Februar 2025 ebenfalls verpflichtend.
Konkret heißt es in Art. 4 KI-VO: “Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.”
Es sollte daher auch die Nachvollziehbarkeit und Erklärbarkeit von KI-Entscheidungen gewährleistet sein. Damit auch Betroffene nachvollziehen können, wie und warum eine bestimmte Entscheidung getroffen wurde.
Lese-Tipp: Generative KI – EDSB veröffentlicht Orientierungshilfe für Nutzung
Konkrete Maßnahmen zur Umsetzung der KI-VO
Die KI-Verordnung stellt einen wichtigen regulatorischen Rahmen für den Einsatz von künstlicher Intelligenz in der Europäischen Union dar. Vor allem kleine und mittlere Unternehmen (KMU) könnten vor Herausforderungen stehen, da sie oft nicht über die gleichen Ressourcen für Compliance-Maßnahmen verfügen wie große Konzerne. Um wettbewerbsfähig zu bleiben, sollten KMU daher frühzeitig auf kosteneffiziente Lösungen wie standardisierte Compliance-Tools oder die Zusammenarbeit mit externen Beratern setzen.
Unternehmen sind gut beraten, sich frühzeitig auf die kommenden Pflichten vorzubereiten, um Risiken zu minimieren und die gesetzlichen Anforderungen rechtzeitig zu erfüllen. Eine frühzeitige Compliance-Strategie kann nicht nur rechtliche Risiken minimieren, sondern auch Wettbewerbsvorteile sichern und das Vertrauen von Kunden und Partnern stärken. Konkrete Maßnahmen sind.
- Schulung der Mitarbeiterinnen und Mitarbeiter: Regelmäßige Schulungen zu neuen regulatorischen Anforderungen und ethischen Richtlinien.
- Interne Audits und Kontrollen: Implementierung von Kontrollmechanismen zur Sicherstellung der Compliance.
- Transparenz und Dokumentation: Nachweisführung über die eingesetzten KI-Systeme, deren Entscheidungsprozesse und die getroffenen Sicherheitsmaßnahmen.
- Zusammenarbeit mit externen Experten: Einbindung von Rechtsberatern und Datenschutzexperten zur Minimierung regulatorischer Risiken.
- Regelmäßige Aktualisierung der KI-Strategie: Anpassung an sich ändernde regulatorische Anforderungen und technologische Entwicklungen.
Sie wollen Ihr Unternehmen fit für die KI-Verordnung machen? Wir packen es gemeinsam an! Unsere Experten beraten Sie gerne. Rufen Sie uns an oder schreiben Sie uns:
Fon: +49 (228) 926165-100
E-Mail: info@2b-advice.com
Quelle: Verordnung 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz