AI-Act: Einsatz von KI in Unternehmen

Am 13.06.2024 wurde mit dem „AI-Act“ (Verordnung (EU) 2024/1689) eine der ersten Vorschriften weltweit für Systeme künstlicher Intelligenz (KI-Systeme) veröffentlicht. Er ist am 01.08.2024 in Kraft getreten und findet zu bestimmten Daten (02.02.2025, 02.08.2025, 02.08.2026 und 02.08.2027) gestaffelt Anwendung. Der umfangreiche AI-Act legt einen Rahmen fest, in dem die Vorteile der KI mit geringstmöglichem Risiko maximiert werden sollen. Grundsätze sind technische Sicherheit, Gewährleistung der Privatsphäre und Transparenz, Fairness, soziales Wohlergehen und Rechenschaftspflicht. KI soll sicher und vertrauenswürdig sein, deren Anwendung die Gesundheit, Sicherheit und Grundrechte der Menschen sowie die Rechtssicherheit für Unternehmen in den Mitgliedstaaten gewährleisten.

Anwendung von KI in Unternehmen

KI verändert die Art und Weise, wie Unternehmen mit ihren Kunden interagieren. Mithilfe prädiktiver Analysen kann Kundenverhalten sogar „vorhergesagt“ werden. KI kann im Bereich der Kundenbeziehungen eingesetzt werden, Finanzstrategien unterstützen, das Marketing fördern, bei der Produktverbesserung helfen oder sogar rechtswidrige Handlungen aufdecken. KI wird dabei für Unternehmen aller Größen zunehmend interessant. Die Umsetzung im Unternehmen setzt im Vorfeld natürlich ein Verständnis von KI und ihrer Funktionsweise, insbesondere von Risiken, Verantwortung, aber auch mögliche Sanktionen infolge ihrer Verwendung voraus.

Risiken

Der AI-Act kategorisiert KI-Systeme nach Risikostufen, von verbotenen Technologien bis hin zu hohem, mittlerem und geringem Risiko.

Zu den verbotenen Anwendungen gehören biometrische Klassifizierungssysteme, die auf sensiblen Merkmalen basieren, Systeme, die Emotionserkennung am Arbeitsplatz ermöglichen, oder KI-Anwendungen, die menschliches Verhalten manipulieren oder Schwachstellen von Menschen ausnutzen.

Klare Verpflichtungen gelten auch für Hochrisiko-KI-Systeme, die ein erhebliches Potenzial haben, Gesundheit, Sicherheit, Grundrechte, Umwelt, Demokratie und Rechtsstaatlichkeit zu beeinträchtigen. Beispiele für solche Anwendungen, die Unternehmen betreffen, sind Systeme, die in der beruflichen Ausbildung oder bei der Mitarbeiterauswahl eingesetzt werden – so etwa KI-Systeme, die Lebensläufe auswerten und entscheiden, wer zu Vorstellungsgesprächen eingeladen wird.

Allgemeine KI-Systeme müssen bestimmte Transparenzanforderungen erfüllen, u. a. Urheberrechte beachten und detaillierte Zusammenfassungen der für Trainings verwendeten Inhalte veröffentlichen.

Darüber hinaus müssen künstlich erzeugte oder manipulierte Bild-, Audio- oder Videoinhalte („Deepfakes“) eindeutig als solche gekennzeichnet werden.

Betroffene Akteure/Verantwortung

KI-Systeme sind von Menschen geschaffene, eingeführte und genutzte Werkzeuge. Der AI-Act erlegt daher die Verantwortlichkeiten und Verpflichtungen im Zusammenhang mit KI-Anwendungen den Personen auf, die damit in Verbindung stehen. Diese „Akteure“ des KI-Ökosystems sind laut AI-Act:

  • Anbieter – juristische oder natürliche Personen oder Behörden, deren Tätigkeit in der Entwicklung und Vermarktung eines KI-Systems besteht. Dies umfasst auch Personen, die KI-Systeme von Dritten entwickeln lassen und unter ihrem Namen bzw. ihrer Handelsmarke in Verkehr bringen.
  • Betreiber – Personen, die ein KI-System im Rahmen ihrer beruflichen Tätigkeit in eigener Verantwortung nutzen. Der Betreiber entscheidet, wann und wie das System eingesetzt wird, und ist für eine Nutzung im Einklang mit den im AI-Act festgelegten und ethischen Grundsätzen verantwortlich.
  • Bevollmächtigte, Einführer und Händler – sogenannte sekundäre Akteure, ebenfalls im AI-Act definiert, für die spezifische Pflichten vorgesehen sind.

Diese Aufgliederung bzw. Definitionen sind entscheidend, da die Verpflichtungen der jeweiligen Akteure unterschiedlich ausfallen. Die meisten Pflichten obliegen dem Anbieter, da dessen Systeme das gesamte KI-Ökosystem maßgeblich beeinflussen. Der AI-Act legt außerdem fest, unter welchen Bedingungen auch andere Akteure als Anbieter eingestuft werden können.

Behörden, Sanktionen

Der AI-Act bestimmt nationale Aufsichtsbehörden, die auf EU-Ebene vom Europäischen Amt für KI koordiniert werden. Diese Behörden prüfen im Mitgliedstaat die Dokumentation eines KI-Systems, nehmen nicht konforme Produkte vom Markt und verhängen Geldbußen bis zu 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes des Vorjahres.

Fazit

Der AI-Act soll ein KI-Ökosystem gewährleisten, in dem alle Akteure involviert sind und Verantwortung übernehmen. Es stellt sich jedoch die Frage, inwieweit diese Regeln aus der materiellen Welt tatsächlich mit den Algorithmen der jeweiligen KI-Systeme in Verbindung stehen – bzw. mit den Erfahrungen, die diese Systeme machen, und an die sie sich anpassen. Der AI-Act befasst sich mit KI-Praktiken und -Wirkungen, nicht jedoch mit den Algorithmen selbst.

Kontakt und weitere Informationen:

STALFORT Legal. Tax. Audit.

Bukarest – Sibiu – Bistrița
Büro  Sibiu:
Tel.:       +40 – 269 – 244 996
Fax.:       +40 – 269 – 244 997
E-Mail:  sibiu@stalfort.ro
www.stalfort.ro