Die KI-Verordnung der Europäischen Union (AI Act) legt einheitliche Regeln für den Einsatz künstlicher Intelligenz (KI) innerhalb der EU fest. Dabei wird zwischen verschiedenen Risikokategorien differenziert. Was sich für Unternehmen durch die KI-VO ändert, lesen Sie hier.
Klassifizierung von KI-Systemen // Betroffene Unternehmen // Verpflichtungen und Anforderungen // KI-Kompetenz nach Art. 4 KI-VO
Wichtige Eckpunkte der Verordnung umfassen:
- Klassifizierung von KI-Systemen gemäß ihrem Risikopotenzial (Art. 6 KI-VO).
- Risikomanagement und Datensicherheit für hochriskante KI-Systeme (Art. 9 und Art. 10 KI-VO).
- Transparenz- und Überwachungspflichten für Anbieter und Nutzer von KI-Systemen (Art. 13 und Art. 72 KI-VO).
- KI-Kompetenz (AI Literacy) bei Anbietern, Entwicklern und Nutzern (Art. 4 KI-VO)
Klassifizierung von KI-Systemen
Die KI-Verordnung der EU klassifiziert KI-Systeme basierend auf ihrem Risikopotenzial in vier Kategorien: unzulässige KI-Systeme, Hochrisiko-KI-Systeme, begrenztes Risiko und minimales Risiko. Diese Klassifizierung zielt darauf ab, spezifische Anforderungen und Kontrollen für jedes Risikolevel zu definieren, um die Sicherheit und den Schutz der Grundrechte zu gewährleisten.
Unzulässige KI-Systeme: Systeme, die gegen die Grundrechte und Sicherheitsstandards der EU verstoßen. Diese Systeme sind verboten, da sie erhebliche Risiken für die Gesellschaft darstellen.
- Beispiel: KI-Systeme zur manipulativen Überwachung oder zum Sozialen Scoring, die das Verhalten von Bürgern überwachen und bewerten, um sie zu sanktionieren oder zu belohnen.
Hochrisiko-KI-Systeme: Systeme, die in sicherheitskritischen Bereichen oder solchen, die erhebliche Auswirkungen auf das Leben und die Rechte der Bürger haben, eingesetzt werden. Diese Systeme unterliegen strengen Kontrollen und Regulierungen.
- Beispiele:
- Medizinische Geräte: KI, die Diagnosen stellt oder Behandlungsempfehlungen gibt.
- Verkehrsinfrastruktur: Systeme zur Steuerung von Verkehr und Energieversorgung.
- Bildung und Berufsbildung: Systeme, die über den Zugang zu Bildungseinrichtungen entscheiden.
- Arbeitsplatzverwaltung: Algorithmen zur Einstellung und Leistungsbewertung von Mitarbeitern.
Begrenztes Risiko: Systeme, die keine signifikanten Sicherheits- oder Grundrechtsrisiken darstellen, aber Transparenzpflichten unterliegen müssen, damit Nutzer erkennen, dass sie mit einer KI interagieren.
- Beispiel Chatbots: Die Nutzer müssen informiert werden, dass sie mit einer KI kommunizieren, um Missverständnisse zu vermeiden.
Minimales Risiko: Systeme, die keine oder nur sehr geringe Risiken für Sicherheit und Grundrechte darstellen. Diese Systeme müssen lediglich grundlegenden Transparenzanforderungen entsprechen.
- Beispiel Spamfilter: Einfache KI-Anwendungen, die alltägliche Aufgaben ohne signifikante Auswirkungen auf Sicherheit oder Grundrechte automatisieren.
Unsere Schulungen machen Sie fit für das KI-Zeitalter!
Welche Unternehmen sind von der KI-VO betroffen?
Die KI-Verordnung betrifft eine Vielzahl von Unternehmen, die in verschiedenen Bereichen tätig sind. Hier sind die Hauptkategorien der betroffenen Unternehmen:
Anbieter (Provider, Art. 2 Abs. 1 a) KI-VO):
Firmen, die KI-Systeme vertreiben oder bereitstellen, einschließlich solcher, die KI-Systeme unter eigenem Namen oder Markenzeichen auf den Markt bringen, egal ob gegen Bezahlung oder kostenlos.
Nutzer (Deployers, Art. 2 Abs. 1 b) KI-VO):
Unternehmen oder Einzelpersonen, die KI-Systeme in ihren Prozessen verwenden, außer wenn diese Nutzung im Rahmen einer persönlichen, nicht-professionellen Aktivität erfolgt.
Importeure (Importer, Art. 2 Abs. 1 d) KI-VO) und Distributoren (Distributor, Art. 2 Abs. 1 d) KI-VO):
Akteure, die KI-Systeme in die EU importieren oder innerhalb der EU vertreiben. Diese müssen sicherstellen, dass die Produkte den EU-Vorschriften entsprechen und die erforderlichen CE-Kennzeichnungen tragen.
Welche Verpflichtungen und Anforderungen gelten für Unternehmen durch die KI-Verordnung?
Die weitreichenden Verpflichtungen durch die KI-Verordnung sollen gewährleisten, dass KI-Systeme sicher und zuverlässig sind und die Rechte der Nutzer geschützt werden. Unternehmen müssen erhebliche Ressourcen investieren, um die Compliance sicherzustellen und potenziell hohe Strafen zu vermeiden, die bei Verstößen verhängt werden können
Für Entwickler und Anbieter von Hochrisiko-KI-Systemen:
Risikomanagementsysteme (Art. 9):
Anbieter müssen ein kontinuierliches Risikomanagementsystem implementieren, das potenzielle Gefahren identifiziert, analysiert und mindert.
Datenqualität und -integrität (Art. 10):
Die Qualität und Integrität der für das Training verwendeten Daten müssen sichergestellt werden, um Verzerrungen und Diskriminierungen zu vermeiden.
Technische Dokumentation (Art. 11):
Eine umfassende technische Dokumentation, die die technischen Merkmale und Sicherheitsmaßnahmen des KI-Systems beschreibt, ist erforderlich.
Protokollierung und Rückverfolgbarkeit (Art. 12):
Alle relevanten Daten und Parameter während des Betriebs des KI-Systems müssen protokolliert werden, um eine spätere Rückverfolgbarkeit zu ermöglichen.
Transparenz und Bereitstellung von Informationen (Art. 13):
Nutzer müssen über die Funktionalität und Einschränkungen des KI-Systems informiert werden, um fundierte Entscheidungen treffen zu können.
Menschliche Aufsicht (Art. 14):
Hochrisiko-KI-Systeme müssen so gestaltet sein, dass menschliche Aufsicht möglich ist, um im Notfall eingreifen zu können.
Für Nutzer von Hochrisiko-KI-Systemen:
Sicherstellung der ordnungsgemäßen Nutzung und Überwachung (Art. 26 KI-VO):
Nutzer müssen gewährleisten, dass die KI-Systeme ordnungsgemäß verwendet und überwacht werden, um sicherzustellen, dass sie den festgelegten Anforderungen entsprechen.
Besondere Verantwortung bei Modifikationen (Art. 25 Abs. 1 b) KI-VO):
Wenn Nutzer ein KI-System erheblich modifizieren oder es für nicht vorhergesehene Zwecke verwenden, tragen sie die Verantwortung, die für Anbieter gilt, und müssen die vollständigen Anforderungen der Verordnung erfüllen.
Für Importeure und Distributoren:
Sicherstellung der Konformität mit EU-Anforderungen (Art. 23):
Importeure und Distributoren müssen sicherstellen, dass die importierten oder vertriebenen KI-Systeme den EU-Anforderungen entsprechen.
Verifizierung der CE-Kennzeichnung (Art. 24):
Distributoren müssen sicherstellen, dass die Produkte die erforderlichen Kennzeichnungen tragen und dass alle Konformitätsbewertungen und technischen Dokumentationen vorhanden und korrekt sind.
Was bedeutet AI-Literacy gemäß Artikel 4 der KI-Verordnung?
Was ist AI-Literacy?
AI-Literacy bezieht sich auf die Fähigkeit und das Wissen, künstliche Intelligenz zu verstehen, zu bedienen und kritisch zu hinterfragen. Dies umfasst grundlegende Kenntnisse über die Funktionsweise von KI-Systemen, deren Anwendungen sowie die Risiken und ethischen Überlegungen, die mit der Nutzung dieser Technologien verbunden sind. Ziel ist es, sicherzustellen, dass alle Beteiligten, einschließlich Entwickler, Anbieter und Nutzer, über das notwendige Wissen verfügen, um KI verantwortungsvoll und effektiv zu nutzen.
Für wen gilt die Verpflichtung?
Die Verpflichtung zur Förderung und Sicherstellung von AI-Literacy gilt gemäß Art. 4 KI-VO für alle Akteure entlang der KI-Wertschöpfungskette, insbesondere:
- Anbieter und Entwickler: Diese müssen sicherstellen, dass ihre Mitarbeiter über das notwendige Wissen und die Fähigkeiten verfügen, um KI-Systeme sicher zu entwickeln, zu testen und bereitzustellen.
- Nutzer (Deployers): Unternehmen und Organisationen, die KI-Systeme in ihren Prozessen verwenden, müssen ebenfalls sicherstellen, dass ihre Mitarbeiter die notwendigen Kenntnisse haben, um die Systeme verantwortungsvoll und effektiv zu nutzen.
Wie kann die AI-Literacy nachgewiesen werden?
Die Nachweise für AI-Literacy nach der KI-Verordnung können auf verschiedene Weise erbracht werden:
- Schulungen und Fortbildungen: Regelmäßige KI-Schulungen und Weiterbildungen für Mitarbeiter, die direkt oder indirekt mit KI-Systemen arbeiten. Dies kann durch interne Programme oder durch externe Anbieter geschehen.
- Zertifizierungen: Erwerb von Zertifikaten, die die Teilnahme an anerkannten Schulungen und das Bestehen von Prüfungen zu relevanten KI-Themen bestätigen.
- Dokumentation und Berichte: Regelmäßige Dokumentation und Berichterstattung über durchgeführte Schulungen und erworbene Kenntnisse im Rahmen der Compliance-Anforderungen.