Was der AI Act der EU für die Nutzung von ChatGPT und Co. in Unternehmen bedeutet

Ein grundsätzlicher Punkt des AI Acts ist die Einhaltung der EU-Datenschutzvorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO). Da KI-Systeme oft große Mengen personenbezogener Daten verarbeiten, gelten hier strikte Regeln.

Für deutsche Unternehmen, die KI-Systeme wie ChatGPT oder ähnliche Sprachmodelle nutzen, bringt der AI Act spezifische Herausforderungen und Pflichten mit sich. Denn diese KI-Systeme fallen je nach Anwendungsbereich und Sensibilität der verarbeiteten Daten möglicherweise in die Kategorie hohes Risiko. Besonders wenn Sprachmodelle in Bereichen wie Kundensupport, Personalwesen oder automatisierten Entscheidungsprozessen eingesetzt werden, gelten strenge Anforderungen an Transparenz und Erklärbarkeit.

Unternehmen müssen sicherstellen, dass die Funktionsweise des Systems nachvollziehbar ist, insbesondere wie es zu bestimmten Antworten oder Entscheidungen kommt. Darüber hinaus sind Unternehmen verpflichtet, Datenschutzvorgaben rigoros einzuhalten, da Sprachmodelle oft mit personenbezogenen Daten interagieren. Die Datenverarbeitung muss DSGVO-konform sein und es müssen Maßnahmen ergriffen werden, um den Schutz sensibler Informationen zu gewährleisten.

Eine weitere wichtige Anforderung betrifft die kontinuierliche Überwachung solcher KI-Systeme. Unternehmen müssen garantieren, dass potenzielle Risiken erkannt und gemeldet werden, etwa wenn das System fehlerhafte oder diskriminierende Ergebnisse liefert.

Verstöße gegen diese Vorgaben können schwerwiegende rechtliche und finanzielle Konsequenzen haben. Daher ist es für Unternehmen in Deutschland entscheidend, die Nutzung von KI-Systemen wie ChatGPT umfassend zu prüfen und gegebenenfalls anzupassen, um die strikten Vorschriften des AI Acts zu erfüllen.

Alle Unternehmen, die KI-Systeme im Rahmen des AI Act einsetzen, sollten eine umfassende Dokumentation führen, um die Einhaltung der Vorschriften nachzuweisen. Wichtige Dokumentationspflichten umfassen:

1. Beschreibung des KI-Systems: Eine detaillierte Erklärung, wie das KI-System funktioniert, wofür es verwendet wird und welche Aufgaben es übernimmt. Dies sollte sowohl die technische Funktionsweise als auch den Anwendungsbereich umfassen.
2. Risikobewertung: Unternehmen müssen eine umfassende Bewertung der potenziellen Risiken des KI-Systems vornehmen, insbesondere im Hinblick auf Grundrechte, Sicherheit und Gesundheit. Dies beinhaltet die Analyse von möglichen schädlichen Auswirkungen, wie Diskriminierung, Fehlentscheidungen oder Datenschutzverletzungen.
3. Transparenz- und Erklärungsprozesse: Dokumentation darüber, wie das Unternehmen sicherstellt, dass das KI-System für Anwender und Betroffene verständlich ist. Dazu gehört, wie Entscheidungen des Systems nachvollziehbar erklärt und Informationen offengelegt werden, etwa wenn das System mit natürlichen Personen interagiert.
4. Datenschutzmaßnahmen: Eine detaillierte Beschreibung der Maßnahmen zur Einhaltung der Datenschutz-Grundverordnung (DSGVO), insbesondere wie personenbezogene Daten erhoben, verarbeitet und geschützt werden. Dies umfasst auch Informationen zur Datenquelle, Datenminimierung und -speicherung.
5. Überwachungs- und Korrekturmechanismen: Unternehmen müssen festhalten, wie die kontinuierliche Überwachung des KI-Systems erfolgt, um Risiken oder Fehlfunktionen frühzeitig zu erkennen. Dazu zählen auch Verfahren zur Meldung und Behebung von Problemen, falls das KI-System unvorhersehbare oder negative Ergebnisse liefert.
6. Schulungsmaßnahmen für Mitarbeitende: Dokumentation der Maßnahmen zur Weiterbildung und Schulung von Mitarbeitenden im Umgang mit KI-Systemen, um sicherzustellen, dass sie die Technologie verantwortungsvoll und gemäß den Vorschriften des AI Acts einsetzen können.
7. Compliance-Überprüfung: Regelmäßige interne oder externe Audits zur Überprüfung, ob das KI-System weiterhin den Vorschriften entspricht und keine neuen Risiken aufgetreten sind, die die Compliance gefährden könnten.

Diese Dokumentation ist entscheidend, um bei behördlichen Überprüfungen oder im Falle von Beschwerden nachweisen zu können, dass das Unternehmen alle erforderlichen Schritte zur sicheren und ethischen Nutzung der KI unternommen hat.

Unternehmen, die selbst KI-Systeme entwickeln oder vertreiben, sind besonders gefragt, klare Dokumentationen vorzulegen und die Einhaltung technischer Standards sicherzustellen. Dazu gehören vor allem:

• Nachvollziehbarkeit: Wie wurden die Daten gesammelt, und wie wurde das Modell trainiert? Kunden und Regulierungsbehörden müssen dies verstehen können.
• Erklärbarkeit: Ihre KI sollte Entscheidungen nachvollziehbar und transparent treffen, besonders bei automatisierten Prozessen.

Die neuen Regelungen des AI Acts werden nach und nach angewendet. So gilt das Verbot für KI-Systeme mit inakzeptablem Risiko bereits ab Februar 2025. Für die meisten anderen Anwendungen gilt eine Frist bis August 2025. Eine detaillierte Übersicht der EU finden Sie hier.

Der AI Act sieht empfindliche Strafen für Unternehmen vor, die die Vorschriften nicht einhalten. Bußgelder können bis zu sechs Prozent des weltweiten Jahresumsatzes betragen. Daher ist es für jedes Unternehmen, das KI einsetzt, entscheidend, die eigenen Systeme zu prüfen und gegebenenfalls anzupassen.

Trotz der neuen Regelungen bietet der AI Act auch Chancen. Unternehmen, die auf sichere und vertrauenswürdige KI setzen, können sich einen Wettbewerbsvorteil sichern. Die Einhaltung der neuen Vorschriften schafft Vertrauen bei Kunden und Geschäftspartnern und kann Ihr Unternehmen in Branchen wie dem Gesundheitswesen, dem Finanzsektor oder im öffentlichen Dienst besonders attraktiv machen.

Der AI Act mag auf den ersten Blick komplex erscheinen, aber er bietet auch eine klare Gelegenheit, Ihr Unternehmen für die Zukunft zu stärken. Indem Sie Ihre KI-Systeme den neuen Regeln anpassen, sichern Sie sich nicht nur rechtlich ab, sondern positionieren sich auch als vertrauenswürdiger Anbieter in einem wachsenden Markt. Nutzen Sie die Gelegenheit, um frühzeitig sicherzustellen, dass Ihre KI-Lösungen konform sind – und profitieren Sie von der steigenden Nachfrage nach transparenter und ethischer KI.

Eine komplette Übersicht über sämtliche Bestimmungen des AI Acts finden Sie hier. Die EU stellt zudem einen Compliance-Checker zur Verfügung, mit dem Unternehmen herausfinden können, ob ihre KI-Anwendungen den Anforderungen entsprechen.