Anfang August 2024 trat in Europa der EU-AI-Act in Kraft. Für die einen ist die mehrere hundert Seiten umfassende KI-Verordnung - die im März 2024 diskutiere Gesetzesvorlage umfasste 459 Seiten - ein Bürokratiemonster, für die anderen ein Fortschritt, der den vertrauensvollen Einsatz von KI ermöglicht und damit den Innovationsstandort Europa fördert.
Wie so oft dürfte die Wahrheit in der Mitte liegen. Denn mit dem Inkrafttreten des EU-AI-Act wird nicht nur definiert, was KI darf, sondern Unternehmen haben auch zahlreiche Pflichten zu erfüllen, wenn sie KI-Lösungen einsetzen. Angesichts der umfangreichen Verordnung und der vielen Anforderungen des EU-AI-Act mag für manchen Entscheider die Frage naheliegen: Investiere ich viel Geld, um compliant zu sein oder ist es vielleicht billiger dies nicht zu sein?
Drastische Strafen bei Missachtung
Eine Frage, die sich schnell als teurer Trugschluss entpuppen kann. Denn bei Verstößen drohen hohe Strafen, erklärt Thorsten Ammann, Partner und IT-Rechtler bei der Wirtschaftskanzlei DLA Piper, die mit Büros in über 40 Ländern zu den größten Anwaltskanzleien der Welt gehört. "Bei leichten Verstößen sieht der EU-AI-Act einen Bußgeldrahmen von bis zu 7,5 Millionen Euro beziehungsweise ein Prozent des weltweiten Jahresumsatzes des vorangegangen Geschäftsjahres vor, je nachdem welcher Betrag der höhere ist", so Ammann.
Mittelschwere Verstöße kosten schon das Doppelte, also 15 Millionen Euro pro Verstoß beziehungsweise drei Prozent des Jahresumsatzes. Richtig teuer wird es dann bei drastischen Verstößen - etwa dem Einsatz verbotener KI. Da drohen Strafen von bis zu 35 Millionen Euro pro Verstoß beziehungsweise bis zu sieben Prozent des Jahresumsatzes. Angesichts dieser Strafen gibt Rechtsexperte Ammann einen klaren Ratschlag: "Es lohnt sich letztlich, sich mit dem EU-AI-Act zu befassen."
Für wen gilt der AI-Act?
Allerdings stellt sich die Frage, wie sich ein Unternehmen der KI-Verordnung nähern sollte, wenn es sich ernsthaft mit dem Regelwerk befassen will. "Denn man darf nicht vergessen", so der Jurist, "dass der AI-Act nicht die eierlegende Wollmilchsau ist, in den man lediglich hineinschauen muss, um dann compliant zu sein". Deshalb sollten sich die Verantwortlichen Ammann zufolge in einem ersten Schritt zwei grundsätzliche Fragen stellen:
Fällt meine KI, die ich nutze, überhaupt unter den EU-AI-Act?
Gehöre ich überhaupt zum Adressatenkreis und welche Rolle kommt mir dabei im Sinne der Verordnung zu?
Je nach Rolle und Anwendung kommen dann auf die Unternehmen verschiedene Anforderungen und Dokumentationspflichten zu. Werden obige Punkte bejaht, ist zu eruieren, zu welchem Risikotyp das verwendete KI-System gehört.
Die KI-Gruppen des AI-Act
"Hier verfolgt der EU-AI-Act einen risikobasierten Ansatz, den man sich als Pyramide vorstellen kann", erklärt Ammann, "mit den untragbaren Risiken ganz oben an der Spitze. Diese KI-Systeme verbietet die KI-Verordnung." Ein Beispiel dafür wären etwa biometrische Systeme, die für ein Social Scoring eingesetzt werden.
Zahlreiche Anforderungen an Hochrisiko-KI-Systeme
Zur nächsten Kategorie zählen Hochrisiko-KI-Systeme, deren Nutzung mit einem hohen Risiko verbunden ist - also, wenn KI etwa im Fahrzeug oder im medizinischen Bereich eingesetzt wird. Dort definiert der AI-Act relativ strenge Anforderungen. "So ist ein Risikomanagement zu etablieren, ferner benötigen sie hochwertige Datensätze, eine Data Governance, technische Dokumentation, müssen Aufzeichnungen machen, es gibt Aufbewahrungspflichten und die KI ist von einem Menschen zu beaufsichtigen", zählt der Jurist einige der Pflichten auf.
Ferner ist ein Konformitätsbewertungsverfahren durchzuführen und eine Qualitätssicherung zu betreiben. Zudem existiert für solche Hochrisiko-Systeme eine Registrierungspflicht in der EU -Datenbank. Des Weiteren wird eine CE -Kennzeichnung benötigt.
Wenig Risiko - wenig Pflichten
Weniger streng fallen dann die Vorschriften für KI-Lösungen aus, mit denen ein begrenztes Risiko einhergeht. Da sind in der Regel lediglich Transparenzpflichten zu beachten. Es muss also etwa darüber informiert werden, wenn ein Chatbot eingesetzt wird, der über eine KI zur Emotionserkennung verfügt. Vereinfacht lässt sich sagen, dass grundsätzlich darüber zu informieren ist, wenn sich eine Person nicht mehr mit einer anderen Person, sondern mit einer KI unterhält.
Und last but not least: Für KI-Systeme, deren Risiko so gering beziehungsweise minimal ist, dass es nicht mehr nennenswert erscheint - etwa bei Anwendungen wie KI-fähigen Videospielen oder Spamfiltern - sieht der EU-AI-Act keine Regelung beziehungsweise Pflichten vor.
Sonderfall GP-AI
Einen Sonderfall stellt im AI-Act die General Purpose AI (GP-AI) dar - also Modelle wie ChatGPT und Co. Für diese KI-Lösungen, die nicht auf einen bestimmten Verwendungszweck trainiert sind, sondern eine sehr allgemeine Verwendbarkeit ermöglichen, gelten ganz eigene Anforderungen. "Dabei unterscheidet die Verordnung zwischen GP-AI-Modellen allgemein und GP-AI, die mit einem sogenannten systemmischen Risiko einhergeht oder verbunden ist", geht Ammann ins Detail.
Bereits für normale GP-AI-Modelle gibt es eine strenge Anforderungsliste und umfassende technische Dokumentationspflichten. Nochmals verschärfte Anforderungen gelten für eine GP-AI mit systemischem Risiko - allerdings nicht linear. Vielmehr orientiert sich die EU an bestimmten Schwellenwerten, die sich an Kriterien wie der Anzahl der Parameter eines Modells; der Qualität oder Größe des Datensatzes (gemessen in Token) orientieren.
Der Rollenbegriff des AI-Act
Die Risiko-Einstufung der verwendeten KI-Lösung ist jedoch nur die halbe Miete auf dem Weg zur KI-Compliance gemäß EU-AI-Act. Zusätzlich muss ein Unternehmen noch seine Rolle in Bezug auf Verwendung oder Nutzung einer KI-Lösung untersuchen. Denn je nach Rolle sind wiederum unterschiedliche Anforderungen und Pflichten zu erfüllen.
Dabei unterscheidet die KI-Verordnung zwischen Anbietern, Betreibern, dem Einführer und dem Händler. Anbieter ist derjenige, der ein KI -System entwickelt oder entwickeln lässt und es in den Verkehr bringt. Ein Betreiber - sprich Nutzer - ist derjenige, der ein KI-System in eigener Verantwortung verwendet.
Rollen können wechseln
Vom Einführer spricht man wiederum, wenn jemand ein KI-System aus einem Drittland, sprich außerhalb der Europäischen Union, in die EU einführt. Der Händler ist wiederum die Person in der Lieferkette, die ein KI-System auf dem Unionsmarkt bereitstellt.
Klingt auf den ersten Blick einleuchtend und einfach. Doch der Teufel steckt im Detail. "Häufig wird übersehen", so warnt Rechtsexperte Ammann, "dass man diese Rollen ganz schnell wechseln kann."
So hat ein Unternehmen, das sich eine KI-Lösung besorgt und an die eigenen Prozesse anpasst, erst einmal die Rolle eines Betreibers inne. Rollt es dieses System dann aber beispielsweise an andere Konzernunternehmen als eigene Lösung im eigenen Namen aus, dann wird aus einem Betreiber ganz schnell ein Anbieter, der einen ganz anderen Pflichtenkatalog zu erfüllen hat, erklärt der Jurist.
Verantwortung abwälzen - ist nicht
Er rät deshalb, "Unternehmen sollten fortlaufend prüfen, ob sich nicht ihre Rolle ändert, etwa weil sie den Nutzungszweck der KI wesentlich ändern". In diesem Zusammenhang warnt Ammann noch vor einem anderen gefährlichen Trugschluss: "Sie können ihre Verantwortung nicht einfach abwälzen, indem sie sagen, ein anderer macht es ja oder ich kaufe ein KI-Produkt. Letztlich ist immer auch derjenige verantwortlich, der ein KI-System einsetzt, in welcher Rolle auch immer."
In der Praxis hat dies zur Konsequenz, dass sich Unternehmen ein KI-System - egal ob gekauft oder als as-a-Service - vor der Verwendung genau anschauen müssen. Dazu gehört für den Rechtsexperten auch eine IT-Risikobewertung, wie sie in regulierten Bereichen - etwa dem Bankensektor - schon seit langem üblich ist.
AI-Act-Readiness - ein Heidenaufwand
Letztlich kommt auf die Unternehmen also ein Heidenaufwand zu, wenn sie eine AI-Act-Readiness herstellen wollen. Zumal es sich dabei, wie Ammann es formuliert, "um eine interdisziplinäre Veranstaltung handelt, bei der die Denkweisen von Juristen und operativen Leuten zusammengebracht werden müssen".
Raus aus den Silos
Es gilt also juristisches Know-how und Prozess-Know-how unter einen Hut zu bringen. Und wie bei vielen anderen großen IT-Projekten lautet dann auch in Sachen EU-AI-Act die Devise: Raus aus den Silos und über den Tellerrand hinausdenken. Dazu, so empfiehlt der Experte, sollten alle Beteiligten ihre eigene Komfortzone verlassen und ein gewisses Abstraktionsvermögen entwickeln, um der anderen Seite illustrieren zu können, worauf es ankommt.
Eine Aufgabe, die für Unternehmen in naher Zukunft wohl leichter zu bewältigen sein dürfte. DLA Piper hat ein IT-Tool entwickelt, das Unternehmen bei der Risikobewertung der eigenen KI und der Rolleneinschätzung helfen kann. Mit einfachen Fragen, die zu beantworten sind, führe das Tool den Benutzer durch den Prozess.