Einleitung:
Die Künstliche Intelligenz (KI) hat sich zu einem unaufhaltbaren Motor für Innovationen entwickelt und transformiert nahezu jeden Geschäftsbereich. Von automatisierten Prozessen bis hin zu komplexen Entscheidungsunterstützungssystemen – die Möglichkeiten scheinen grenzenlos. Doch mit den technologischen Fortschritten wachsen auch die rechtlichen und ethischen Herausforderungen. Der EU AI Act (KI-Verordnung) tritt hier als wegweisendes Regelwerk in Kraft, das einen einheitlichen Rechtsrahmen für KI in der Europäischen Union schafft. Den finalen Text der Verordnung können Sie direkt im Amtsblatt der Europäischen Union einsehen.
Was ist ein KI-System laut EU AI Act?
Dieser Blogbeitrag beleuchtet die Kernaspekte des EU AI Act, seine Klassifizierung von KI-Systemen, die damit verbundenen Pflichten für Anbieter und Betreiber sowie die neue Notwendigkeit der KI-Kompetenz. Ziel ist es, Unternehmen eine klare Orientierungshilfe an die Hand zu geben, um die Potenziale der KI rechtskonform und vertrauenswürdig zu nutzen.
Der EU AI Act definiert ein KI-System als ein maschinengestütztes System, das für einen in unterschiedlichem Maße autonomen Betrieb ausgelegt ist und aus erhaltenen Eingaben Ziele ableitet, um Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen zu erstellen, die physische oder virtuelle Umgebungen beeinflussen können. Diese Definition ist bewusst weit gefasst und umfasst nicht nur große Sprachmodelle (LLMs), sondern eine Vielzahl von Anwendungen. Wichtig ist die Negativabgrenzung: Ein System, das lediglich vorgegebene Regeln automatisiert umsetzt – wie beispielsweise das Ausspielen eines Gutscheins an jeden 100. Online-Nutzer – gilt nicht als KI-System im Sinne der Verordnung. Dies hilft Unternehmen zu bestimmen, wann die KI-Verordnung überhaupt Anwendung findet und wann nicht.
Anwendungsbereiche und rechtliche Fallstricke
KI findet heute in zahlreichen Sektoren Anwendung. Predictive Analytics nutzt KI, um Muster in großen Datenmengen zu erkennen und Vorhersagen über zukünftiges Verhalten oder Ergebnisse zu treffen. KI-gestützte Chatbots können Anfragen beantworten und personalisierte Empfehlungen ausgeben, wobei sie aus Interaktionen lernen und ihre Antworten kontinuierlich verbessern. Auch die Erstellung von Inhalten, wie beispielsweise Texten, Bildern oder Videos, kann mittels KI automatisiert und effizienter gestaltet werden.
Doch der Einsatz von KI ist mit zahlreichen rechtlichen Herausforderungen verbunden. Die Qualität der verarbeiteten Daten muss sichergestellt werden, da nur hochwertige und repräsentative Daten zu effektiven KI-Modellen und vertrauenswürdigen Ergebnissen führen. Verzerrte oder unvollständige Daten können fehlerhafte Ergebnisse („Bias“) und damit gegebenenfalls Irreführungen zur Folge haben. Das Fraunhofer IAIS hat hierzu bereits umfassende Studien zur Vertrauenswürdigen KI veröffentlicht:
Neben den Vorgaben der KI-Verordnung sind Bestimmungen aus anderen Rechtsgebieten, wie dem Datenschutzrecht, Urheberrecht und Wettbewerbsrecht, zu beachten. So kann beispielsweise die Bearbeitung urheberrechtlich geschützter Inhalte mittels KI gegen das Urheberrecht verstoßen. Unternehmen müssen zudem sicherstellen, dass sensible Inhalte, die in KI-Systeme (insbesondere LLMs) eingegeben werden, nicht für Trainingszwecke verwendet werden, insbesondere wenn es sich um Geschäftsgeheimnisse handelt.
Der risikobasierte Ansatz: Herzstück der Verordnung
Der EU AI Act basiert auf einem risikobasierten Ansatz und ordnet KI-Systeme verschiedenen Risikoklassen zu, für die unterschiedlich strenge Regelungen gelten. Dies soll Innovationen fördern und gleichzeitig die Rechte der Bürger schützen und sicherstellen, dass KI-Systeme sicher und vertrauenswürdig sind.
- Verbotene KI-Praktiken
Bestimmte KI-Anwendungen, die ein inakzeptables Risiko darstellen, wie Social Scoring durch staatliche Stellen oder manipulative KI-Systeme, die das menschliche Verhalten gezielt beeinflussen, sind gänzlich untersagt. - Hochrisiko-KI-Systeme
Diese Systeme unterliegen strengen Anforderungen vor und nach dem Inverkehrbringen. Dazu gehören KI-gestützte Systeme, die in kritischen Infrastrukturen (z. B. Energieversorgung), im Bildungswesen (z. B. Bewertung von Prüfungen), im Beschäftigungsbereich (z. B. bei der Personalauswahl) oder im Gesundheitswesen (z. B. als Software für medizinische Diagnosen) eingesetzt werden. - KI-Systeme mit begrenztem Risiko
Diese Systeme unterliegen spezifischen Transparenzpflichten. Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren. Dies betrifft zum Beispiel Chatbots oder Systeme, die Deepfakes erzeugen. - KI-Systeme mit niedrigem/keinem Risiko
Hierunter fallen die meisten KI-Systeme, wie KI-gestützte Empfehlungssysteme oder Spam-Filter. Für sie gibt es keine zusätzlichen gesetzlichen Verpflichtungen, auch wenn freiwillige Verhaltenskodizes empfohlen werden.
Der EU AI Act unterscheidet zudem zwischen Anbietern und Betreibern (im Gesetzestext als „Deployer“ bzw. „Nutzer“ bezeichnet) von KI-Systemen, wobei Anbieter weitreichendere Pflichten haben. Ein Anbieter (Art. 3 Nr. 3 KI-VO) entwickelt und vertreibt ein KI-System, während ein Betreiber (Art. 3 Nr. 4 KI-VO) es in eigener Verantwortung verwendet. Unternehmen, die ein KI-System einsetzen, dürften in der Regel zumindest als Betreiber einzustufen sein.
Transparenzpflichten und die neue Anforderung an KI-Kompetenz
Für bestimmte KI-Systeme sind Transparenzanforderungen von zentraler Bedeutung. So müssen Endnutzer umfassend darüber informiert werden, wenn sie mit einer KI interagieren. Zudem müssen KI-erzeugte Inhalte als künstlich erstellt oder manipuliert erkennbar gemacht werden. Dies gilt beispielsweise für synthetische Audio-, Bild-, Video- oder Textinhalte. Bei Deepfakes – durch KI erzeugte oder manipulierte Bild-, Ton- oder Videoinhalte, die realen Personen oder Ereignissen ähneln – ist ebenfalls eine entsprechende Offenlegung erforderlich, mit Ausnahmen für offensichtlich künstlerische oder satirische Werke.
Ein weiterer wichtiger Aspekt ist die Verpflichtung zur ausreichenden KI-Kompetenz (AI Literacy) der sich mit KI befassenden Mitarbeiter. Diese Anforderung ist im Kontext der Sorgfaltspflichten für Hochrisiko-Systeme verankert. Unternehmen, die solche Systeme entwickeln oder nutzen, müssen sicherstellen, dass ihr Personal über die notwendigen Kenntnisse und Fähigkeiten für den sicheren und transparenten Umgang mit KI verfügt. Dies umfasst ein Verständnis der technischen, legalen und ethischen Aspekte. Das Justizministerium hat die Bedeutung der KI-Kompetenz im Zusammenhang mit Urheberrecht und KI hervorgehoben, wie in Stellungnahmen zur nationalen Umsetzung dargelegt wird.
Unternehmen müssen somit ihren bestehenden KI-Einsatz bewerten, Qualifikationslücken identifizieren, gezielte Schulungen anbieten und klare Prozesse für den KI-Einsatz etablieren.
Fazit – Key Takeaways:
Der EU AI Act schafft einen umfassenden Rechtsrahmen, dessen Definition von KI weit über Large Language Models hinausgeht. Der Einsatz von KI ist mit komplexen rechtlichen Herausforderungen in Bezug auf Datenqualität, Urheberrecht und Geschäftsgeheimnisse verbunden. Die Verordnung folgt einem risikobasierten Ansatz und etabliert strenge Transparenzpflichten sowie die Notwendigkeit von KI-Kompetenz in Unternehmen, um Systeme sicher, transparent und rechtskonform zu nutzen.
Für eine rechtskonforme Nutzung von KI und fundierte Beratung zu den Anforderungen des EU AI Act, besuchen Sie unsere Services: golden-pocket.de
