Das EU-KI-Gesetz verstehen: Wesentliche Anforderungen für die Unternehmens-Compliance

Am 13. März 2024 hat das Europäische Parlament mit der Verabschiedung des Gesetzes über künstliche Intelligenz (KI-Gesetz) einen wichtigen Meilenstein gesetzt und mit der weltweit ersten umfassenden horizontalen Rechtsvorschrift für KI einen Präzedenzfall geschaffen.

Das KI-Gesetz umfasst EU-weite Vorschriften zu Datenqualität, Transparenz, menschlicher Aufsicht und Rechenschaftspflicht und führt strenge Anforderungen ein, die erhebliche länderübergreifende Auswirkungen haben und potenzielle Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist. Dieses bahnbrechende Gesetz wird sich auf eine Vielzahl von Unternehmen auswirken, die auf dem EU-Markt tätig sind. Das offizielle Dokument des vom Europäischen Parlament verabschiedeten AI-Gesetzes ist hier verfügbar.

Der Entwurf geht auf einen Vorschlag der Europäischen Kommission vom April 2021 zurück und wurde in umfangreichen Verhandlungen ausgehandelt, die im Dezember 2023 in einer politischen Einigung gipfelten, über die hier informiert wird. Das KI-Gesetz steht vorbehaltlich der Zustimmung des Europäischen Parlaments kurz vor dem Inkrafttreten. Damit beginnt für Organisationen eine entscheidende Vorbereitungsphase, um sich an die Bestimmungen des Gesetzes anzupassen.

Risikobasierte Berichterstattung 

Das KI-Gesetz legt den Schwerpunkt auf einen risikobasierten Regulierungsansatz und richtet sich an ein breites Spektrum von Unternehmen, darunter Anbieter von KI-Systemen, Importeure, Händler und Anwender. Es unterscheidet KI-Anwendungen nach dem Grad des von ihnen ausgehenden Risikos, von inakzeptablen und risikoreichen Kategorien, die eine strenge Einhaltung erfordern, bis hin zu eingeschränkten und risikoarmen Anwendungen, für die weniger Beschränkungen gelten.

Die EU-Website zum KI-Gesetz enthält ein interaktives Tool, den EU AI Act Compliance Checker, mit dem Nutzer feststellen können, ob ihre KI-Systeme den neuen rechtlichen Anforderungen unterliegen. Da das KI-Gesetz der EU jedoch noch verhandelt wird, dient das Tool derzeit nur als vorläufiger Leitfaden, um potenzielle rechtliche Verpflichtungen im Rahmen der künftigen Gesetzgebung abzuschätzen.

In der Zwischenzeit setzen Unternehmen zunehmend KI-Workloads mit potenziellen Schwachstellen in ihren Cloud-nativen Umgebungen ein und setzen sie damit Angriffen von Hackern aus. In diesem Zusammenhang bezieht sich ein „KI-Workload“ auf eine containerisierte Anwendung, die eines der bekannten KI-Softwarepakete enthält, aber nicht darauf beschränkt ist.

Verstehen der Risikokategorisierung 

Kern des KI-Gesetzes ist die Differenzierung von KI-Systemen nach Risikokategorien, und die Einführung spezifischer Verbote für KI-Praktiken, die als inakzeptabel erachtet werden, weil sie grundlegende Menschen- oder Datenschutzrechte gefährden. Insbesondere für hochriskante KI-Systeme gelten umfassende Anforderungen an die Sicherheit, Richtigkeit und Cybersicherheit. Das Gesetz befasst sich auch mit dem aufstrebenden Bereich der generativen KI, indem es Kategorien für allgemeine KI-Modelle auf der Grundlage ihrer Risiken und Auswirkungen einführt.

Allgemein einsetzbare KI-Systeme sind vielseitig und für eine Vielzahl von Aufgaben in unterschiedlichen Bereichen konzipiert, die häufig nur minimale Anpassungen oder Feinabstimmungen erfordern. Ihr kommerzieller Nutzen nimmt zu, angetrieben durch die Zunahme der verfügbaren Rechenressourcen und innovative, von Nutzern entwickelte Anwendungen. Trotz ihrer zunehmenden Verbreitung gibt es kaum Vorschriften, die verhindern, dass diese Systeme auf sensible Geschäftsinformationen zugreifen und damit möglicherweise gegen geltende Datenschutzgesetze wie die Datenschutz-Grundverordnung verstoßen.

Glücklicherweise stehen diese bahnbrechenden Rechtsvorschriften nicht für sich allein, sondern arbeiten mit den bestehenden EU-Rechtsvorschriften zum Datenschutz und zum Schutz der Privatsphäre zusammen, einschließlich der Datenschutz-Grundverordnung und der Datenschutzrichtlinie für elektronische Kommunikation. Die Verabschiedung des KI-Gesetzes ist ein entscheidender Schritt hin zu einer ausgewogenen Gesetzgebung, die KI-Innovationen und technologischen Fortschritt fördert und gleichzeitig das Vertrauen und den Schutz der Grundrechte der europäischen Bürgerinnen und Bürger stärkt.

Die Einführung von GenAI bietet Chancen für die Cybersicherheit 

Für Unternehmen, insbesondere für Cybersecurity-Teams, geht es bei der Einhaltung des KI-Gesetzes um mehr als die bloße Einhaltung von Vorschriften; Es geht darum, eine Kultur der Transparenz, der Verantwortung und der kontinuierlichen Risikobewertung zu schaffen. Um sich in dieser neuen Rechtslandschaft zurechtzufinden, sollten Unternehmen eine gründliche Prüfung ihrer KI-Systeme in Erwägung ziehen, in KI-Kenntnisse und ethische KI-Praktiken investieren und robuste Governance-Rahmenwerke einrichten, um KI-Risiken proaktiv zu verwalten.

Laut Gartner bieten “KI-Assistenten […] bieten Technologien die Effizienz von Sicherheitsprozessen verbessern können. Sicherheits-TSPs können eingebettete KI-Funktionen nutzen, um differenzierte Ergebnisse und Dienstleistungen anzubieten. Darüber hinaus wird die Nachfrage nach GenAI-fokussierter Sicherheitsberatung und professionellen Dienstleistungen steigen, da Endnutzer und TSPs KI-Innovationen vorantreiben.”

Fazit

Die Zusammenarbeit mit Regulierungsbehörden, der Beitritt zu Branchenkonsortien und die Einhaltung von Best Practices für KI-Sicherheit und -Ethik sind entscheidende Schritte für Unternehmen, um nicht nur das KI-Gesetz einzuhalten, sondern auch ein vertrauenswürdiges KI-Ökosystem zu fördern.