KI-Verordnung 2024/1689: Regeln und Pflichten im Überblick – SAVISCON GmbH
EU-weite KI-Verordnung für Sicherheit und Transparenz
Künstliche Intelligenz ist eine Innovationskraft mit Risikopotenzial. Damit der Einsatz sicher bleibt, hat die EU weltweit die erste Regelung zur Regulierung von KI verabschiedet. Die KI-Verordnung (EU) 2024/1689 vom 13. Juni 2024 soll mit klaren Regeln das Vertrauen zur KI stärken.
Einheitliche Regelungen in Europa für KI
Regelungen und Gesetze geben Sicherheit. Daher hat die EU mit dem AI-Act die erste KI-Regulierung geschaffen. Sie will damit sicherstellen, dass KI in der EU verantwortungsvoll eingesetzt wird und keine Schäden anrichtet. Zusätzlich soll die KI-Verordnung das Vertrauen und die Akzeptanz für die Nutzer steigern, denn das KI-Gesetz soll Grundrechte schützen, aber genügend Freiraum für Innovationen bereitstellen. Die Aufgabe der Bundesregierung ist es nun, den AI-Act in geltendes Recht umzuwandeln.
Wissenswert: Was ist eigentlich eine EU-Verordnung?
Eine EU-Verordnung, umgangssprachlich auch europäisches Gesetz genannt, ist ein Rechtsakt in der Europäischen Union mit allgemeiner Geltung, der verbindlich und unmittelbar in jedem EU-Mitgliedsstaat gilt.
Was regelt die KI-Verordnung, und wen betrifft sie?
Die meisten Verpflichtungen der Verordnung betrifft Anbieter, Entwickler, Importeure, Betreiber und Distributoren von KI-Systemen. Im Bereich Hochrisiko-KIs sind zusätzlich die Anwender betroffen. Um klare Regelungen zu definieren, hat die EU Künstliche Intelligenz in unterschiedliche Risikokategorien eingeteilt. Somit gelten für die unterschiedlichen KI-Systeme andere Regelungen.
Unterscheidung von KI-Systemen und Risikokategorien
Der AI-Act teilt KI-Systeme in vier verschiedene Risikogruppen ein. Die Einteilung erfolgt nach dem Gefahrenpotenzial der KI für Gesundheit, Sicherheit und die Einhaltung der Grundrechte.
Unannehmbare Risiken
Stellen KI-Systeme ein zu großes Risiko für die Gesellschaft dar, sind diese verboten. Zu den unannehmbaren Risiken (Prohibited AI Practices) gehören manipulative Systeme, Social Scoring oder Systeme, die Schwächen von Personengruppen ausnutzen könnten. Zudem ist die biometrische Massenüberwachung im öffentlichen Raum mit wenigen Ausnahmen nicht gestattet.
Hohe Risiken
Zu dieser begrenzten Risikogruppe (Limited Risk AI) gehören KIs, die ein überschaubares Risiko haben. Sie unterliegen grundlegenden Anforderungen wie der Transparenz. Das bedeutet, dass Nutzer darüber informiert sein müssen, dass sie mit einer KI interagieren und nicht mit einem Menschen. Chatbots, Chat- oder Sprachassistenten wie Siri und Alexa gehören zu den gängigsten KI-Systemen dieser Art.
Minimale Risiken
KI-Systeme mit minimalem Risiko (Minimal Risk AI) unterliegen keinen rechtlichen Anforderungen. Sie müssen lediglich für die Einstufung in diese Risikogruppe eine Risikobewertung und eine technische Dokumentation vorlegen. Spamfilter, Übersetzer, Systeme im Bereich Predictive Maintenance oder Funktionen in Videospielen gehören zu dieser Risikogruppe.
Regeln für GPAI-Modelle
KI mit einem allgemeinen Verwendungszweck (General Purpose AI models) wie GPT-4o, Llama 3.1 oder Claude 3.5 wurden ebenfalls im AI Act aufgenommen und werden gesondert geregelt. Die Regelungen betreffen die Entwickler der Modelle. Neben dem Zugang zu den Modellen ist die Rechenleistung, mit denen die Systeme trainiert werden, Grundlage für die Einstufung in die Risikogruppen.
Hochrisiko-KI und verbotene KI-Anwendungen
Herzstück der Verordnung ist die Regelung von Hochrisiko-KI. Kapitel 3 der Verordnung klärt zum einen die Einstufung als Hochrisiko-KI und die damit geltenden Anforderungen. Und zum anderen die geltenden Überwachungs- und Meldepflichten bei Problemen sowie die Registrierungspflicht in einer zentralen EU-Datenbank.
Eine EU-Verordnung, umgangssprachlich auch europäisches Gesetz genannt, ist ein Rechtsakt in der Europäischen Union mit allgemeiner Geltung, der verbindlich und unmittelbar in jedem EU-Mitgliedsstaat gilt.
Geltende Anforderungen:
- Es muss ein Risikomanagementsystem vorhanden sein
- Hohe Qualität der Trainingsdaten der KI
- Es müssen transparente technische Dokumentationen bereitgestellt werden
- Hochrisiko-KI-Systeme dürfen keine vollständig automatisierten Entscheidungen treffen, ohne dass eine menschliche Kontrolle möglich ist
- Sie benötigen eine hohe IT-Sicherheit, um widerstandsfähig bei Angriffen oder Missbrauch zu sein
- Vor Markteintritt benötigen die Systeme eine Konformitätsbewertung
Verbotene Anwendungen
Die Verordnung (EU) 2024/1689 definiert zudem verbotene Anwendungen, um grundlegende Rechte und Freiheiten der Menschen zu schützen und eine ethische Grundlage für den KI-Einsatz zu schaffen.
Verbotene Praktiken nach Artikel 5:
- Manipulation durch subliminale Techniken
- Ausnutzung von Schwächen schutzbedürftiger Personen
- Soziale Bewertung durch Regierungen (Social Scoring)
- Massenüberwachung mit KI durch biometrische Systeme
Was bedeutet das für Unternehmen?
Unternehmen, die KI entwickeln, vertreiben oder nutzen, müssen sich an die neue Verordnung halten und Standards z. B. in Bezug auf Datenqualität, Transparenz und Risikomanagement einhalten. Compliance wird in dem Zuge immer wichtiger. Und das gilt für Konzerne sowie kleine und Mittelständische Unternehmen. Risiko-Management, Compliance-Management und unterschiedliche Tools unterstützen Unternehmen dabei zu prüfen, ob sie sich an geltende Vorhaben halten.
Gute Vorbereitung zahlt sich aus
Setzen Sie sich bereits jetzt mit der neuen EU-Verordnung auseinander und ergänzen Sie Ihre internen Kontrollprozesse und Governance-Strukturen mit den neuen Verpflichtungen des KI-Gesetzes. Sollten für Sie keine KI-Richtlinien gelten, empfehlen wir die Erstellung eines Codes of Conduct im Umgang mit künstlicher Intelligenz.
Inkrafttreten der KI-Verordnung
Mit der Verabschiedung gilt die Verordnung bereits. Allerdings treten die Vorschriften sukzessive in Kraft. Artikel 113 KI-Verordnung besagt:
- Die Kapitel I und II gelten ab dem 2. Februar 2025;
- Kapitel III Abschnitt 4, Kapitel V, Kapitel VII und Kapitel XII sowie Artikel 78 gelten ab dem 2. August 2025, mit Ausnahme des Artikels 101;
- Artikel 6 Absatz 1 und die entsprechenden Pflichten gemäß dieser Verordnung gelten ab dem 2. August 2027.
Ist Ihr Unternehmen compliant? Das GRC-Cockpit unterstützt Sie Compliance zu erreichen und nachzuweisen.
Sanktionen bei Verstößen
Bei Nichteinhaltung der Verordnung, der Nichtkonformität oder dem Verstoß gegen die im AI Act festgelegten Anforderungen und Verpflichtungen drohen Unternehmen hohe Strafen. Falschangaben oder unvollständige Informationen an Behörden werden ebenfalls mit Bußgeldern sanktioniert.
Verantwortungsvoller Umgang
Die KI-Verordnung der EU ist der Grundstein für einen vertrauenswürdigen Umgang mit KI. Die Verordnung ermöglicht die Weiterentwicklung von KI, schützt zugleich Menschen vor den Risiken von KI-Systemen und gibt Unternehmen gezielte Anforderungen mit. Als Berater und Lösungsanbieter in den Bereichen Governance-, Risk- und Compliance-Management stehen wir Ihnen bei Fragen jederzeit zur Verfügung.
FAQ
1. Welche Branchen sind von den neuen KI-Regulierungen besonders betroffen?
Die KI-Regulierungen sind für alle Branchen relevant. Selbst, wenn man von keiner Regulierung betroffen ist, ist es sinnvoll einen Code of Conduct zur KI-Nutzung zu erstellen.
2. Welche Strafen drohen bei Nichteinhaltung der KI-Verordnung?
Bei Nichteinhaltung drohen hohe Geldstrafen von bis zu 35 Millionen Euro oder von bis zu 7 % des gesamten weltweiten Jahresumsatzes.
3. Gibt es Unterschiede in den KI-Regulierungen auf nationaler und EU-Ebene?
Alle EU-Länder sind verpflichtet, sich an die Regulierungen zu halten. Anbieter aus Drittländern sind ebenfalls betroffen, wenn Sie Ihre KI-Systeme in EU-Ländern anbieten. Sie benötigen in der EU einen Repräsentanten, der dafür Sorge trägt, dass geltende Richtlinien eingehalten werden.