Einsatz von KI / AI  im Unternehmensumfeld

EU Verordnung zur Künstlichen Intelligenz

Allgemeine Informationen zur KI-Verordnung (KI-VO)

Die KI-Verordnung regelt, wie künstliche Intelligenz (KI) entwickelt und in Europa und genutzt werden darf.

 

Unternehmen in Deutschland müssen bei der Nutzung von Künstlicher Intelligenz  im Rahmen der KI-Verordnung der Europäischen Union verschiedene spezifische Anforderungen und Zeitrahmen beachten.

 

Der Rat der 27 EU-Mitgliedstaaten hat am 21. Mai 2024 die KI Verordnung und damit einen einheitlichen Rahmen für den Einsatz von Künstlicher Intelligenz in der Europäischen Union verabschiedet.

 

Am 1. August 2024 tritt die KI-Verordnung in Kraft, abgestuft nach verschiedenen Geltungsbereichen. Unternehmen müssen bereits sechs Monate später erste Regeln befolgen. Sämtliche Bestandteile des Gesetzes sollen dann ab Frühjahr 2026 gelten.

 

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

 

Die KI-Verordnung wird allerdings kein allumfassender Rechtsrahmen für KI sein, vielmehr geht es um die Klassifizierung und Sicherheit von KI-Systemen.


Wen betrifft die KI-Verordnung?

Die KI-Verordnung wird in erster Linie für Anbieter von KI-Systemen relevant sein. Jedoch ergeben sich auch Pflichten für Nutzer von KI-Systemen, die KI im beruflichen Umfeld verwenden.

Das betrifft z.B. ChatGPT, Chatbots im Support, KI für Qualitätskontrolle, zur Preisoptimierung oder im Personalbereich.


Was regelt die KI-Verordnung?

Der wesentliche Bestandteil der Verordnung ist die Klassifizierung von KI-Systemen nach damit verbundenen Risiken. Je nachdem, in welche Risikokategorie ein KI-System fällt, sind unterschiedliche Compliance-und Informationspflichten umzusetzen.

Dabei werden KI-Systeme nach ihrem Risiko eingeteilt (unannehmbares, hohes, geringes und minimales Risiko).

 

Je riskanter ein KI-System ist, desto strenger sind die Anforderungen.

 


Geringes und minimales Risiko

Die Mehrheit der KI-Systeme fallen unter die Kategorien „geringes Risiko” (z. B. Chatbots) und “minimales Risiko“ (z. B. Spam-Filter). Bei KI-Systemen mit minimalem Risiko werden künftig 

Transparenzpflichten zu berücksichtigen sein, sodass z. B. Nutzern beim Chatten mit einem Chatbot klar gemacht werden muss, dass sie mit einer KI und keinem Menschen kommunizieren.


Hochrisiko-KI-Systeme

Ein besonderes Augenmerk legt die Verordnung auf die Regulierung von Hochrisiko-KI-Systemen. Hochrisiko-KI-Systeme sind solche, die ein hohes Risiko für die Gesundheit, Sicherheit oder Grundrechte von Menschen aufweisen. Daher werden auf Anbieter strenge Pflichten zukommen, wie die Dokumentation und die Einrichtung eines Risiko-und Qualitätsmanagementsystems.

 

PRAXISBEISPIEL:

Ein KI-System mit hohem Risiko wäre beispielsweise der Einsatz von KI im Recruiting für die Auswahl geeigneter Bewerber.

Ein hohes Risiko kann hier im sogenannten “Bias” der KI liegen. Wenn die KI beispielsweise mit Daten trainiert wurde, nach denen überwiegend Männer für die konkrete Stelle ausgewählt wurden, kann es passieren, dass Frauen von der KI in der Bewerberauswahl aufgrund ihres Geschlechts diskriminiert und nicht berücksichtigt werden. Eine solche automatische Entscheidungsfindung wäre allerdings ohnehin nach DSGVO-Gesichtspunkten ohne eine Einwilligung nicht zulässig (Art. 22 DSGVO).


KI-Systeme mit unannehmbarem Risiko

Bestimmte KI-Praktiken, die riskant für Grundrechte und Werte der Europäischen Union sind, sollen durch die KI-Verordnung verboten werden.

Darunter fallen z. B. eine KI zur automatisierten Erkennung von Emotionen am Arbeitsplatz, Täuschungen oder das SocialScoring, wobei das menschliche Verhalten analysiert und bewertet wird.


Was müssen Unternehmen beim Einsatz von KI tun?

1. Kategorisierung und Risikobewertung

Unternehmen müssen ihre KI-Systeme gemäß den Kategorien der KI Verordnung bewerten (unannehmbares, hohes, geringes und minimales Risiko).

 

 

  • Verbotene Anwendungen (Unannehmbare Risiken):
    Diese Anwendungen müssen 6 Monate nach Inkrafttreten der Verordnung eingestellt werden.
  • Hochrisiko-Anwendungen:
    Diese Anwendungen unterliegen spezifischen Anforderungen und müssen in Übereinstimmung mit den neuen Vorschriften gebracht werden.

2. Risikomanagement und Data Governance

Unternehmen müssen ein Risikomanagementsystem einführen und geeignete Maßnahmen umsetzen, die eine hohe Qualität und 

Sicherheit der Daten durch die Anwendung von Richtlinien und Standards sicherstellen.


3. Transparenzanforderungen

Für viele KI-Systeme wird eine Transparenzpflicht gelten und KI-generierte Ergebnisse und KI-Chatbots müssen als solche gekennzeichnet werden.

Es ist wahrscheinlich, dass KI-Systeme künftig eine Kennzeichnungsfunktion haben (z. B. digitales Wasserzeichen) werden.


4. Datenschutz und Sicherheit

Datenschutz muss in die Entwicklung und Implementierung von KI-Systemen integriert werden (Privacy by Design).

 

Die Verarbeitung personenbezogener Daten darf immer nur auf der Basis einer entsprechenden Rechtsgrundlage erfolgen.

Die Grundsätze für die Verarbeitung personenbezogener Daten müssen eingehalten werden.

 

Unternehmen müssen technische und organisatorische Maßnahmen treffen, um die Sicherheit der KI-Systeme zu gewährleisten und Cyberangriffe zu verhindern.

...


5. Verantwortung und Haftung

Unternehmen müssen sicherstellen, dass ihre Mitarbeiter die notwendigen Fähigkeiten und Kenntnisse haben, um die KI-Systeme verantwortungsvoll zu nutzen und zu überwachen. (Arbeitsanweisungen, Richtlinien, Schulungen).

 

Sanktionen:

Unternehmen, die gegen die Bestimmungen der KI-Verordnung verstoßen, müssen zukünftig mit Geldbußen rechnen.

 

  • bis zu 35 Mio. € bzw. 7 % des weltweiten Jahresumsatzes für Verstöße in Zusammenhang mit verbotenen KI-Systemen.
  • bis zu 15 Mio. € bzw. 3 % des weltweiten Jahresumsatzes für Verstöße gegen die Pflichten, die sich aus der KI-Verordnung ergeben.
  • bis zu 7,5 Mio. € bzw. 1,5 % des weltweiten Jahresumsatzes für die Bereitstellung von fehlerhaften Informationen.

Angebot von Beratung und Unterstützung beim sicheren Einsatz von KI

Sie benötigen Unterstützung beim sicheren Einsatz von KI in Ihrem Unternehmen?

 

Ich freue mich, von Ihnen zu hören!


Link zum Gesetzestext

Lafrenz Datenmanagement · Dipl.-Ing. Inf. (FH) Ute Lafrenz

Conrad-Röntgen-Str. 17
74321 Bietigheim-Bissingen

Telefon 07142 222707
Telefax 07142 222711

E-Mail info(at)lafrenz-datenmanagement.de