+49 30 533206 – 570

Projekte-Hotline: +49 3327 5658 – 28

info@digitalzentrum.berlin

AI Act beschlossen: Das müssen Unternehmen jetzt wissen

Der am 21. Mai von den EU-Mitgliedsstaaten beschlossene AI Act ist das weltweit erste umfassende Regelwerk, das einen einheitlichen Rahmen für den Betrieb und Einsatz von Künstlicher Intelligenz setzt. Ziel ist die Regulierung der neuen Technologie, um einerseits Akzeptanz und Vertrauen zu fördern und gleichzeitig Innovationen „made in Europe“ zu unterstützen. Doch welche Regeln gelten nun für den Einsatz von KI, und was müssen Betreiber und anwendende Unternehmen jetzt beachten?
EU AI Act - das müssen Unternehmen jetzt wissen und tun

Welche Unternehmen sind von AI Act betroffen?

Der EU AI Act betrifft eine Vielzahl von Unternehmen, die in irgendeiner Form Künstliche Intelligenz (KI) einsetzen. Im Wesentlichen zielt das Gesetz darauf ab, das Risiko, das von KI-Systemen ausgeht, zu bewerten und entsprechende Regulierungen zu erlassen.

Grundsätzlich müssen alle Unternehmen, die KI in ihren Prozessen einsetzen, überprüfen, ob ihre Systeme den neuen Regulierungen entsprechen und entsprechende Anpassungen vornehmen. Die Implementierung dieser Vorschriften wird besonders für Unternehmen relevant, die in stark regulierten Sektoren wie Gesundheitswesen, Finanzdienstleistungen oder kritischer Infrastruktur tätig sind.

Beispiele:

KI im Gesundheitswesen:

  • Medizinische Diagnostik: Unternehmen, die KI-basierte Diagnosewerkzeuge entwickeln, müssen sicherstellen, dass ihre Systeme den hohen Anforderungen an Datengenauigkeit und Transparenz entsprechen. Dies betrifft beispielsweise Start-ups, die KI zur Früherkennung von Krankheiten wie Krebs einsetzen. Die Systeme müssen so gestaltet sein, dass Ärzte die Ergebnisse nachvollziehen und in ihre Entscheidungen einbeziehen können.

Finanzsektor:

  • KI-gestützte Kreditbewertungssysteme: Banken und Finanzdienstleister, die KI verwenden, um Kreditrisiken zu bewerten, müssen strengere Regeln einhalten, um Diskriminierung zu vermeiden. Beispielsweise dürfen Algorithmen keine Entscheidungen auf Basis von diskriminierenden Merkmalen wie Geschlecht oder ethnischer Herkunft treffen.

Marketing und Werbung:

  • Personalisierte Werbung: Unternehmen, die KI nutzen, um gezielte Werbekampagnen zu erstellen, müssen sicherstellen, dass ihre Systeme keine manipulativen Taktiken anwenden, die unethische Verhaltensänderungen bewirken könnten.

Für viele Unternehmen bedeutet dies, dass sie ihre KI-Systeme bis spätestens August 2025 so anpassen müssen, dass sie den Anforderungen des AI Acts entsprechen. Dies betrifft nicht nur Entwickler von KI, sondern auch Unternehmen, die KI-Produkte und -Dienstleistungen in der EU anbieten​.

Je höher das Risiko, desto strenger die Regulierung

Der AI Act verfolgt einen risikobasierten Ansatz: Je höher das Risiko einer KI-Anwendung eingeschätzt wird, desto strenger sind die Vorgaben der Regulierung. KI-Anwendungen werden in verschiedene Risikoklassen eingeteilt:

Risikogruppe 3: Unannehmbares Risiko

In Artikel 5 wird geregelt, welche Anwendungen künftig in der EU verboten sind. Zu diesen unannehmbaren Hochrisikoanwendungen zählen beispielsweise:

  • Social Scoring: Systeme zur Bewertung oder Klassifizierung von Personen auf Basis von persönlichen Merkmalen oder Verhalten.
  • Unterschwellige oder manipulative Anwendungen, mit dem Ziel oder der Wirkung, das Verhalten einer Person oder einer Personengruppe wesentlich zu beeinflussen.
  • Ausnutzung von Schwachstellen von Personen wie Alter, Behinderung oder sozialer/ökonomischer Lage zur Beeinflussung des Verhaltens.

Hochrisiko-KI-Systeme

Hierunter fallen KI-Anwendungen, die in kritischer Infrastruktur, bei Sicherheitsbehörden oder in der Personalverwaltung zum Einsatz kommen. Für diese Systeme gelten strenge Vorschriften, z. B. die menschliche Kontrolle der Systeme, eine genaue technische Dokumentation sowie ein etabliertes Risikomanagementsystem.

Sie müssen außerdem so konzipiert und entwickelt werden, dass „Anwender die Ergebnisse des Systems interpretieren und angemessen nutzen können“ (AI Act, Artikel 13).

Auch an die verwendeten Trainingsdaten werden Anforderungen gestellt. Diese müssen relevant, hinreichend repräsentativ und im Hinblick auf den beabsichtigten Zweck so weit wie möglich fehlerfrei und vollständig sein.

Dies ist beispielsweise für HR-Abteilungen relevant: Wenn KI-Systeme eingesetzt werden, um Bewerber:innen auszuwählen, Mitarbeitende zu bewerten oder Karrierechancen zu bestimmen.

AI Act transparenzregel- Chatbots müssen gekennzeichnet werden

Risikogruppe: Begrenztes Risiko

KI-Anwendungen, die in diese Gruppe fallen, werden weniger streng reguliert und können unter Einhaltung von Transparenz- und Informationspflichten entwickelt und verwendet werden.

Die Anbieter stellen sicher, dass KI-Systeme, die für eine direkte Interaktion mit natürlichen Personen bestimmt sind, so konzipiert und entwickelt werden, dass die betreffenden natürlichen Personen darüber informiert werden, dass sie mit einem KI-System interagieren.“

Das bedeutet, dass die Anwendenden darüber informiert werden müssen, dass sie mit einer KI interagieren. Zu dieser Gruppe zählen beispielsweise:

  • Chatbots, KI-basierte Kundenhotlines
  • Manipulierte Bild-, Text- oder Videoinhalte
  • Emotionserkennungssysteme und Systeme zur biometrischen Kategorisierung

Wie genau diese Kennzeichnung erfolgen muss, wird im AI Act nicht vorgeschrieben. Eine Möglichkeit wäre, dass ein Chatbot den Nutzer mit den Worten „Hi, ich bin Lui, der freundliche Chatbot von …“ begrüßt.

Für Unternehmen ist es wichtig, jetzt zu prüfen, welche KI-Systeme im Unternehmen eingesetzt werden und wie die Transparenzanforderungen umgesetzt werden können.

Tipp: Mit dem EU AI Act Compliance Checker (Future of Life Institute) können Sie eine erste Einschätzung erhalten, ob und wie sich das EU-KI-Gesetz auf Ihre KI-Systeme auswirkt.

Risikogruppe: Minimales Risiko

Systeme wie Spam-Filter oder KI-gestützte Video-Spiele fallen unter diese Kategorie. Sie unterliegen keinen speziellen Anforderungen, können jedoch freiwillig zusätzliche Verhaltensregeln annehmen.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Was muss beim Einsatz von KI im Unternehmen beachtet werden? Unternehmensvertreter:innen und Rechtsexpert:innen geben Antworten.

Zeitplan: Ab wann gilt der neue AI Act in Deutschland?

  • Am 21. Mai 2024 hat der EU-Rat dem Gesetz zugestimmt. Siehe auch Pressemitteilung: Gesetz über künstliche Intelligenz (KI): Rat gibt grünes Licht für weltweit erste KI-Vorschriften.
  • Am 12. Juli 2024 wurde der EU AI Act im Amtsblatt der Europäischen Union veröffentlicht.
  • Seit dem 1. August 2024 ist das Gesetz in Kraft.
  • Februar 2025: KI-Systeme mit unannehmbarem Risiko dürfen nicht mehr verwendet werden.
  • August 2025: Regelungen für die Verwendung von generativer KI (wie ChatGPT) treten in Kraft.
  • August 2026: Alle anderen Regeln greifen (mit wenigen Ausnahmen).

Außerdem muss Deutschland bis August 2025 eine Aufsichtsstruktur etablieren und eine Behörde benennen, die für die KI-Aufsicht zuständig ist.

Transparenzpflicht: Kennzeichnung von KI-generierten Inhalten

In Artikel 50 regelt der AI Act, welche Transparenzpflichten für Anbieter und Nutzende von KI-Anwendungen gelten.

Seit Inkrafttreten des AI Act häufen sich Artikel zum Thema Transparenz- und Kennzeichnungspflicht. Wichtig ist hier jedoch die Unterscheidung zwischen Anbietern der KI-Systeme und den Nutzern, da jeweils eigene Transparenzpflichten gelten (siehe auch: AI Act, Artikel 50).

Transparenzpflicht für Nutzer generativer KI-Systeme wie ChatGPT

Mit dem AI Act werden auch die Nutzenden in die Pflicht genommen:

  • Deep Fakes“ müssen eindeutig gekennzeichnet werden. Außerdem ist darauf zu achten, dass diese nicht die Persönlichkeitsrechte der betroffenen Personen verletzen.
  • KI-generierte Texte, die zum Zweck der öffentlichen Information über Angelegenheiten von öffentlichem Interesse erstellt werden, müssen offenlegen, dass der Text künstlich generiert oder manipuliert wurde.

    Wichtige Einschränkung: Der Text muss von den Nutzern der KI-Anwendung nicht gekennzeichnet werden, „wenn die KI-generierten Inhalte einer menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen wurden und eine natürliche oder juristische Person die redaktionelle Verantwortung für die Veröffentlichung der Inhalte trägt.

Nach dem AI Act besteht für die Nutzenden also keine generelle Pflicht, KI-generierte Texte zu kennzeichnen, sofern diese der redaktionellen Kontrolle unterliegen und jemand die Verantwortung für den Inhalt trägt.

Transparenzpflicht für Anbieter generativer KI-Systeme wie ChatGPT

Im AI Act heißt es dazu:

Die Anbieter von KI-Systemen, einschließlich KI-Systemen für allgemeine Zwecke, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, stellen sicher, dass die Ausgaben des KI-Systems in einem maschinenlesbaren Format gekennzeichnet sind und als künstlich erzeugt oder manipuliert erkannt werden können. Die Anbieter stellen sicher, dass ihre technischen Lösungen wirksam, interoperabel, robust und zuverlässig sind, soweit dies technisch machbar ist.

Hier sind also die Anbieter der generativen KI-Tools gefragt. Sie müssen bis August 2025 sicherstellen, dass von der KI erzeugte Inhalte technisch erkannt werden können.

Diese Verpflichtung gilt nicht für KI-Systeme, die nur Hilfsfunktionen erfüllen und die Daten der Anwendenden nicht wesentlich verändern. Dies sind beispielsweise KI-gestützte Rechtschreibhilfen oder Funktionen zur Bildbearbeitung / Retusche von Bildern (etwa Rauschreduzierung).

Technisches Wasserzeichen für ChatGPT bereits in Arbeit

Um KI-generierte Texte zu kennzeichnen, habe OpenAI, das Unternehmen hinter ChatGPT, bereits ein zuverlässiges technisches Wasserzeichen entwickelt. Recherchen des Wall Street Journals zufolge verändert dieses Tool die Wortwahl von ChatGPT so, dass die Texte von einem Erkennungstool als KI-generiert identifiziert werden können, ohne dass die Qualität darunter leidet.

Das Unternehmen selbst bestätigte in einem Blogbeitrag, dass derzeit an diesem technischen Wasserzeichen für KI-generierte Texte gearbeitet wird. Allerdings sei ChatGPT durch die Änderung der Wortwahl leichter angreifbar, und Dritte könnten die KI manipulieren, um etwa Sicherheitsmaßnahmen zu umgehen.

Das Wall Street Journal nennt einen anderen Grund: OpenAI-Mitarbeitende sollen dem Journal berichtet haben, dass das Tool seit einem Jahr nicht veröffentlicht werde, weil man befürchte, Nutzende zu verlieren. Es wird auf eine Umfrage verwiesen, in der etwa 30 Prozent der Befragten angaben, das Tool nicht mehr nutzen zu wollen, wenn die Texte mit einem Wasserzeichen erkannt werden könnten.

Um KI-generierte oder bearbeitete Bilder zu kennzeichnen, werden Metadaten eingesetzt (t3n berichtete). Diese Metadaten sind für den Betrachtenden nicht sichtbar, sondern in der Datei integriert. Das Problem: Diese Metadaten zur Kennzeichnung können relativ leicht wieder entfernt werden.

Fest steht, dass KI-generierte Texte und Bilder in der EU künftig durch die Anbieter technisch gekennzeichnet werden müssen. Es bleibt abzuwarten, wann und wie die Betreiber generativer KI-Systeme dieser Pflicht nachkommen.

Suchen
Nichts mehr verpassen:
Unser Newsletter

    Mehr zum Thema