AI Act: Komplexe Vorgaben für Nutzer künstlicher Intelligenz

Der europäische AI Act verlangt von Unternehmen bei der Nutzung von künstlicher Intelligenz erhebliche Maßnahmen zum Schutz von personenbezogenen Daten. Dabei geht es nicht nur um Texte und Bildmaterial. Entscheidungsprozesse werden immer häufiger an KI ausgelagert, sodass betroffene Personen kaum noch die Gründe für eine Entscheidung nachvollziehen können. KI findet Anwendung in Marketing, Buchführung, Personalabteilungen (Bewerbermanagement) als auch im Vertrieb und der Logistik. Bei der Prüfung der Kundenbonität für eine Kreditvergabe arbeitet die künstliche Intelligenz weitgehend eigenständig. So kommt es häufiger zu Ablehnung von Kreditanträgen. Bei Rechtsabteilungen hilft KI Verträge zu finden, auszuwerten und passende Schlussfolgerungen zu erarbeiten. Die Europäische Union sieht eine Gefahr in der unkontrollierten Anwendung von künstlicher Intelligenz. Die EU Kommission bemüht sich die Bevölkerung von schädlicher KI zu schützen.

Welche Folgen hat das AI Act für Unternehmen?

Das neue Gesetz erschwert es Unternehmen KI Lösungen unbegrenzt zu nutzen. Die EU mit ihren 27 Mitgliedsstaaten haben keine einheitliche, bürokratiearme, schnelle und innovative Umsetzung des AI Act ermöglicht. Es fehlt an einer innovationsstärkenden Regelung. Statt dessen wird alles komplizierter in der EU, während Mitbewerber ungehindert mit KI forschen und KI-Lösungen nutzen können. Das Gesetz hat dazu auch die künstlicher Intelligenz in mehrere Risikoklassen eingeteilt. Die Umsetzung gemäß der zutreffenden Risikoklasse erlaubt zwar unterschiedliche Übergangsfristen (3 – 6 Monate), jedoch sind sie viel zu kurz. Europas Wettbewerbsfähigkeit ist gefährdet. Wer KI dazu nutzt um soziales verhalten zu bewerten, verletzt damit Persönlichkeitsrechte. Wo KI gezielt Menschen beeinflusst oder deren Schwächen ausnutzen könnte, muss das eingesetzte KI System binnen 6 Monaten aus den Systemen des Unternehmens entfernen. Spätestens Februar 2025 darf eine solche KI Technologie nicht auf einem europäischen System befinden. In der nahen Zukunft wird auch die ISO 27090 bzw. ISO 27091 helfen diese KI Nutzung international auf einem vergleichbaren Stand zu setzen. Da aber Europa häufig einen eigenen Weg geht, wird die jeweilige ISO Norm in der nationalen Umsetzung etwas anders aussehen als es etwa in den USA sein wird.

Wie stuft man das Risiko der künstlicher Intelligenz ein?

Unternehmen müssen die eingesetzte KI-Lösung in eine Risikoklasse einstufen: minimales, begrenztes, hohes oder inakzeptables Risiko. Je größer das ermittelte Risikopotential desto umfangreicher sind die gesetzlichen Auflagen. Dies kann bis zu einem Verbot der eingesetzten KI-Systeme führen. Die Auflagen beinhalten:

Risikobewertung
Transparenzpflichten
Überwachungspflichten
Dokumentationspflichten

Entscheider versuchen herauszufinden, in welche Kategorien die von ihnen genutzten KI Systeme eingeordnet werden müssen. Man benötigt spezialisierte Juristen, um die EU Verordnungen besser zu verstehen. Die betroffenen Organisationen sind stark verunsichert. Es ist eine Herausforderung juristisches und technisches Fachwissen zu verbinden, um über die eingesetzte künstliche Intelligenz eine rechtssichere Aussage zu treffen. Die regulatorischen Aspekte für die ethische und innovative Nutzung von künstlicher Intelligenz, war auch das Thema des “AI Forum for Developing Countries” in Wien. Das AIFOD tagte im Juli 2024 in den Gebäuden der Vereinigten Nationen (UN-City Vienna). Namhafte Rechtsanwaltskanzleien und Beratungsgesellschaften unterstützen die Initiative des AIFOD. Während der 3 Tage tauschen sich Experten aus technischen und juristischen Fachbereichen sowie KI nutzende Organisationen aus. Teilnehmer aus Europa, Afrika, Asien, Nord und Süd Amerika kamen in den 3 Tagen zusammen, um ein Fundament für eine nachhaltigere Nutzung von KI zu erarbeiten.

Expertenrunden zur KI Regulierung

In den Expertenrunden teilten Juristen, Informatiker, Auditoren, Forscher, Künstler, Unternehmer sowie Anwender ihre Erkenntnisse. Dabei hat Christian Bartsch (Geschäftsführer der ACATO GmbH) zusammen mit den anderen Experten aus Großbritannien, Ukraine, Indien und Österreich das Thema Compliance und verantwortungsvolle Nutzung von KI diskutiert. Herr Bartsch erläuterte seine Einsichten aus dem Bereich der ISO Zertifizierungen mit Bezug auf die kommenden ISO Normen (ISO 27090 / ISO 27091). Die Gremien der International Standards Organisation (ISO) haben die Notwendigkeit eines international genormten Managementsystems für künstliche Intelligenz erkannt. Damit wird Compliance langfristig auch Aspekte rund um ISO Konformität erweitert werden. Bereits jetzt gilt die Tendenz, dass Unternehmen für die Nutzung von Cloud und KI grundsätzlich eine ISO 27001 Zertifizierung anstreben sollten. Geschäftskunden betrachten KI-Lösungen ohne ISO 27001:2022 Zertifikat als ein erhebliches Betriebsrisiko. Die ISO 27091 kann nicht separat von der ISO 27001 auditiert werden. Es ist ein kombiniertes Audit erforderlich, sodass Zertifizierungsstellen ein ISO 27001 Audit mit einer erweiterten Auditzeit für die Themen rund um die Nutzung von künstlicher Intelligenz durchführen müssen.

Risikoklassen für KI-Systeme

Folgende Zusammenfassung erläutert die unterschiedlichen Risikoklassen:

Inakzeptables Risiko

Es gibt eine Vielzahl von gefährlichen Technologien. Sie bedrohen Persönlichkeitsrechte durch Social Scoring oder andere Verfahren. Diese Art von KI ist ab Februar 2025 bzw. spätestens 6 Monate nach Inkrafttreten des AI Act verboten.

Hohes Risiko

Beim Bewerbermanagement wird immer häufiger künstliche Intelligenz eingesetzt, um Bewerbungen zu sichten und dem Personalreferenten zu unterstützen. So filtern einige Unternehmer automatisiert Bewerber aus, ohne dass sie eine Chance auf ein Bewerbungsgespräch bekommen. Auf die Entscheidung ob jemand eine Weiterbildung erhält, wird immer mehr gerne der KI überlassen. Man wird etwas faul. Dabei vergessen Nutzer dass Sie es mit dem Schicksal von Personen zu tun haben. In kritischen Infrastrukturen und in Sicherheitskomponenten kommt KI zum Einsatz. So können KI-Anwendungen die Kreditwürdigkeit analysieren und eine KI-Bewertung der Bonität erzeugen. Hier gelten besondere Vorschriften zum Schutz von Personen.

Begrenztes Risiko

Eine mangelnde Transparent bei der KI-Nutzung führt zu einem begrenzten Risiko. Es ist aktuell strittig ob der Einsatz von Chatbots oder Deepfakes sogar ein hohes Risiko darstellen können. Man fordert immer mehr, dass betroffene Personen über den Einsatz von künstlicher Intelligenz zu informieren sind. Hier geht es nicht nur um die Forderung, dass Personen informiert werden müssen, dass sie gerade mit einer KI gesteuerten Technologie kommunizieren.

Minimales Risiko

Bei einem minimalen Risiko sind aktuell keine gesetzlichen Anforderungen besonderer Art zu erwarten. Dennoch wird von Anbietern ein freiwilliger Verhaltenskodex erwartet. Solche KI Lösungen sind etwa Spam-Filter oder KI-fähige Videospiele.

Rechtskonforme Umsetzung

Unternehmen müssen für die Einhaltung des AI Acts eine Reihe von Maßnahmen ergreifen. Dazu gehört die Einführung eines Qualitätsmanagement Systems nach ISO 9001. Hierdurch soll sicher gestellt werden, dass die Entwicklung und Nutzung von künstlicher Intelligenz durch verbindliche Verfahrensanweisungen gelenkt wird. Die Einführung von Richtlinien und Standards zur Planung, Steuerung und Optimierung von Geschäftsprozessen ist das Ergebnis eines QM-Handbuchs. Da die KI Informationen in immer größeren Umfang verarbeitet, führen proaktive Unternehmen ein ISMS nach der aktuellen ISO 27001:2022 ein. Sowohl das QMS als auch das ISMS müssen von einer akkreditierten Zertifizierungsstelle zertifiziert werden. Sonst fehlt der glaubhafte Beweis, dass ein Management System in der Organisation den Umgang mit KI lenkt. Nichtsdestotrotz wird die nationale Umsetzung des AI Acts in Deutschland für einen signifikanten regulatorischen Mehraufwand sorgen. Das deutsche KI-Gesetz wird Rechtsexperten, IT Experten und Auditoren erheblich beschäftigen.