Skip to main content

Das „EU-Gesetz zur künstlichen Intelligenz“ (kurz: AI Act) bringt wichtige Änderungen für den Einsatz von Künstlicher Intelligenz (KI) in Unternehmen. Er soll sicherstellen, dass KI-Systeme in Europa transparent, sicher und ethisch einwandfrei verwendet werden.

Der AI Act verfolgt einen risikobasierten Ansatz, der KI-Anwendungen in vier Kategorien einteilt:

  • Anwendungen mit unannehmbarem Risiko (z.B. Systeme zur Massenüberwachung, Social Scoring oder Manipulation von Entscheidungen) werden komplett verboten.
  • Unternehmen, die KI für hochriskante Anwendungen einsetzen, etwa in der Medizin, im Verkehr oder in Personalentscheidungen, müssen strenge Vorschriften einhalten.
  • Jede KI-Anwendung, die direkt mit Menschen interagiert, gilt als begrenzt riskant. Wer sie einsetzt, muss die betroffenen Personen darüber informieren. Als Beispiele nennt die EU Chatbots und Deepfakes.
  • KI-Systeme, die nicht in die genannten Kategorien fallen, werden als gering risikobehaftet eingestuft und bleiben weitestgehend unreguliert. Dennoch empfiehlt die EU auch hier, Verhaltenskodizes einzuführen, um den verantwortungsvollen Einsatz von KI zu gewährleisten. Zudem sind Unternehmen dazu angehalten, ihre Mitarbeitenden im Umgang mit KI weiterzubilden.

Wenn Ihr Unternehmen bereits KI-Technologien verwendet oder dies plant, ist es entscheidend, zu überprüfen, in welche Risikokategorie Ihre Systeme fallen und ob sie den neuen Anforderungen entsprechen.

Datenschutz und ethische Anforderungen

Ein grundsätzlicher Punkt des AI Acts ist die Einhaltung der EU-Datenschutzvorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO). Da KI-Systeme oft große Mengen personenbezogener Daten verarbeiten, gelten hier strikte Regeln.

Für deutsche Unternehmen, die KI-Systeme wie ChatGPT oder ähnliche Sprachmodelle nutzen, bringt der AI Act spezifische Herausforderungen und Pflichten mit sich. Denn diese KI-Systeme fallen je nach Anwendungsbereich und Sensibilität der verarbeiteten Daten möglicherweise in die Kategorie hohes Risiko. Besonders wenn Sprachmodelle in Bereichen wie Kundensupport, Personalwesen oder automatisierten Entscheidungsprozessen eingesetzt werden, gelten strenge Anforderungen an Transparenz und Erklärbarkeit.

Unternehmen müssen sicherstellen, dass die Funktionsweise des Systems nachvollziehbar ist, insbesondere wie es zu bestimmten Antworten oder Entscheidungen kommt. Darüber hinaus sind Unternehmen verpflichtet, Datenschutzvorgaben rigoros einzuhalten, da Sprachmodelle oft mit personenbezogenen Daten interagieren. Die Datenverarbeitung muss DSGVO-konform sein und es müssen Maßnahmen ergriffen werden, um den Schutz sensibler Informationen zu gewährleisten.

Eine weitere wichtige Anforderung betrifft die kontinuierliche Überwachung solcher KI-Systeme. Unternehmen müssen garantieren, dass potenzielle Risiken erkannt und gemeldet werden, etwa wenn das System fehlerhafte oder diskriminierende Ergebnisse liefert.

Verstöße gegen diese Vorgaben können schwerwiegende rechtliche und finanzielle Konsequenzen haben. Daher ist es für Unternehmen in Deutschland entscheidend, die Nutzung von KI-Systemen wie ChatGPT umfassend zu prüfen und gegebenenfalls anzupassen, um die strikten Vorschriften des AI Acts zu erfüllen.

Dokumentationspflichten

Alle Unternehmen, die KI-Systeme im Rahmen des AI Act einsetzen, sollten eine umfassende Dokumentation führen, um die Einhaltung der Vorschriften nachzuweisen. Wichtige Dokumentationspflichten umfassen:

  1. Beschreibung des KI-Systems: Eine detaillierte Erklärung, wie das KI-System funktioniert, wofür es verwendet wird und welche Aufgaben es übernimmt. Dies sollte sowohl die technische Funktionsweise als auch den Anwendungsbereich umfassen.
  2. Risikobewertung: Unternehmen müssen eine umfassende Bewertung der potenziellen Risiken des KI-Systems vornehmen, insbesondere im Hinblick auf Grundrechte, Sicherheit und Gesundheit. Dies beinhaltet die Analyse von möglichen schädlichen Auswirkungen, wie Diskriminierung, Fehlentscheidungen oder Datenschutzverletzungen.
  3. Transparenz- und Erklärungsprozesse: Dokumentation darüber, wie das Unternehmen sicherstellt, dass das KI-System für Anwender und Betroffene verständlich ist. Dazu gehört, wie Entscheidungen des Systems nachvollziehbar erklärt und Informationen offengelegt werden, etwa wenn das System mit natürlichen Personen interagiert.
  4. Datenschutzmaßnahmen: Eine detaillierte Beschreibung der Maßnahmen zur Einhaltung der Datenschutz-Grundverordnung (DSGVO), insbesondere wie personenbezogene Daten erhoben, verarbeitet und geschützt werden. Dies umfasst auch Informationen zur Datenquelle, Datenminimierung und -speicherung.
  5. Überwachungs- und Korrekturmechanismen: Unternehmen müssen festhalten, wie die kontinuierliche Überwachung des KI-Systems erfolgt, um Risiken oder Fehlfunktionen frühzeitig zu erkennen. Dazu zählen auch Verfahren zur Meldung und Behebung von Problemen, falls das KI-System unvorhersehbare oder negative Ergebnisse liefert.
  6. Schulungsmaßnahmen für Mitarbeitende: Dokumentation der Maßnahmen zur Weiterbildung und Schulung von Mitarbeitenden im Umgang mit KI-Systemen, um sicherzustellen, dass sie die Technologie verantwortungsvoll und gemäß den Vorschriften des AI Acts einsetzen können.
  7. Compliance-Überprüfung: Regelmäßige interne oder externe Audits zur Überprüfung, ob das KI-System weiterhin den Vorschriften entspricht und keine neuen Risiken aufgetreten sind, die die Compliance gefährden könnten.

Diese Dokumentation ist entscheidend, um bei behördlichen Überprüfungen oder im Falle von Beschwerden nachweisen zu können, dass das Unternehmen alle erforderlichen Schritte zur sicheren und ethischen Nutzung der KI unternommen hat.

Worauf müssen KI-Anbieter achten?

Unternehmen, die selbst KI-Systeme entwickeln oder vertreiben, sind besonders gefragt, klare Dokumentationen vorzulegen und die Einhaltung technischer Standards sicherzustellen. Dazu gehören vor allem:

  • Nachvollziehbarkeit: Wie wurden die Daten gesammelt, und wie wurde das Modell trainiert? Kunden und Regulierungsbehörden müssen dies verstehen können.
  • Erklärbarkeit: Ihre KI sollte Entscheidungen nachvollziehbar und transparent treffen, besonders bei automatisierten Prozessen.

Ab wann gilt der AI Act?

Die neuen Regelungen des AI Acts werden nach und nach angewendet. So gilt das Verbot für KI-Systeme mit inakzeptablem Risiko bereits ab Februar 2025. Für die meisten anderen Anwendungen gilt eine Frist bis August 2025. Eine detaillierte Übersicht der EU finden Sie hier.

Sanktionen bei Verstößen

Der AI Act sieht empfindliche Strafen für Unternehmen vor, die die Vorschriften nicht einhalten. Bußgelder können bis zu sechs Prozent des weltweiten Jahresumsatzes betragen. Daher ist es für jedes Unternehmen, das KI einsetzt, entscheidend, die eigenen Systeme zu prüfen und gegebenenfalls anzupassen.

Chancen für Unternehmen

Trotz der neuen Regelungen bietet der AI Act auch Chancen. Unternehmen, die auf sichere und vertrauenswürdige KI setzen, können sich einen Wettbewerbsvorteil sichern. Die Einhaltung der neuen Vorschriften schafft Vertrauen bei Kunden und Geschäftspartnern und kann Ihr Unternehmen in Branchen wie dem Gesundheitswesen, dem Finanzsektor oder im öffentlichen Dienst besonders attraktiv machen.

Handeln Sie jetzt

Der AI Act mag auf den ersten Blick komplex erscheinen, aber er bietet auch eine klare Gelegenheit, Ihr Unternehmen für die Zukunft zu stärken. Indem Sie Ihre KI-Systeme den neuen Regeln anpassen, sichern Sie sich nicht nur rechtlich ab, sondern positionieren sich auch als vertrauenswürdiger Anbieter in einem wachsenden Markt. Nutzen Sie die Gelegenheit, um frühzeitig sicherzustellen, dass Ihre KI-Lösungen konform sind – und profitieren Sie von der steigenden Nachfrage nach transparenter und ethischer KI.

Eine komplette Übersicht über sämtliche Bestimmungen des AI Acts finden Sie hier. Die EU stellt zudem einen Compliance-Checker zur Verfügung, mit dem Unternehmen herausfinden können, ob ihre KI-Anwendungen den Anforderungen entsprechen.

Über Brain4Data

Die Brain4Data GmbH und Co. KG entwickelt in Saarwellingen Lösungen in den Bereichen Künstliche Intelligenz (KI), Robotic Process Automation (RPA) und Augmented Intelligence (AuI). Wir haben uns darauf spezialisiert, vorhandene Unternehmensdaten so aufzubereiten, dass sie von allen Generativen KI-Modellen verstanden werden – ohne aufwendiges IT-Projekt oder komplizierte Schnittstellen. Dazu bündelt Brain4Data abteilungsübergreifend Informationen aus verschiedenen IT-Anwendungen (z.B. BI- und ERP-Systeme, SAP-Anwendungen, Excel, usw.) und verarbeitet sie vollautomatisch zu Gen-AI-fähigen Inhalten, personalisierten Handlungsempfehlungen oder proaktiven Meldungen zu dringenden Geschäftsvorfällen. Darüber hinaus bieten wir einen eigenen Chatbot an, der Retrieval Augmented Generation (RAG) nutzt, womit er gegenüber gängigen Gen-AI-Modellen zahlreiche Vorteile besitzt. Die Brain4Data ist im Jahr 2024 mit dem Seal of Excellence der Europäischen Kommission ausgezeichnet worden.

Ihr Ansprechpartner

David Woirgardt-Seel

Chief Knowledge Officer Brain4Data

Telefon:    +49 6838 50209-63
E-Mail:      david.seel(at)brain4data.de