KI-Verordnung: Ist Ihr Unternehmen auf den AI Act vorbereitet?

Am 12. Juli 2024 wurde im Amtsblatt der Europäischen Union dieneue EU-Verordnung über künstliche Intelligenz („AI Act“ oder „KI-Verordnung“) veröffentlicht, die speziell für Unternehmen gilt, die künstliche Intelligenz („KI“) einsetzen. Der Zweck der KI-Verordnung ist es, eine Aufsicht und ein regulatorisches Umfeld für den Einsatz von künstlicher Intelligenz zu schaffen.

Wann tritt die KI-Verordnung in Kraft ?

Unternehmen haben je nach Art der KI-bezogenen Aktivitäten zwischen 6 Monaten und 3 Jahren Zeit, um die neuen Rechtsvorschriften zu erfüllen. Bei Nichteinhaltung drohen hohe Geldstrafen.

Die Antwort auf die neuen Vorschriften sollte ein Compliance-Check und die Einführung interner Regelungen und Vorschriften sein, die die Arbeit mit künstlicher Intelligenz innerhalb der Organisation normieren. Der Einsatz von KI-Tools erfordert die Gewissheit, dass diese Lösungen von den Mitarbeitern auf sichere und verantwortungsvolle Weise genutzt werden und dass das System selbst den gesetzlichen Standards entspricht und dies auch in Zukunft tun wird

Findet das KI-Gesetz auf Ihr Unternehmen Anwendung?

Die KI-Verordnung gilt in erster Linie für Anbieter von KI-Systemen (Anbieter – Unternehmen, die anderen ihre KI-Systeme zur Verfügung stellen, z. B. OpenAI) und KI-Betreiber (Betreiber – Unternehmen, die KI-Technologie in verschiedenen Bereichen einsetzen, ohne die Kontrolle über KI zu haben, z. B. ein Unternehmen, das KI zur Entscheidungsfindung nutzt).

Unternehmen sind verpflichtet, Einzelpersonen (d. h. Mitarbeiter, Kunden, Mitarbeiter von Kunden) darüber zu informieren, dass sie mit KI interagieren, zu welchen Zwecken KI-Daten verarbeitet werden und ob sie Daten mit Anbietern von KI-Systemen teilen. In diesem Zusammenhang sind regelmäßige Risikobewertungen und Compliance durchzuführen.

Die Verordnung kann für Ihr Unternehmen gelten, wenn:

  • KI im Marketing eingesetzt wird (Erstellung von Werbetexten, -bildern, -videos, Profilierung von Werbung für den Kunden)
  • KI zur Prozessautomatisierung eingesetzt wird (Terminplanung, Kostenminimierung, Softwaretests)
  • KI als Teil eines Produkts eingesetzt wird (KI als Dienstleistung, KI im Internet der Dinge/Smarthome)

Welche Verpflichtungen ergeben sich aus dem KI-Gesetz?

Um die oben genannten Anforderungen zu erfüllen, muss der Unternehmer in erster Linie die Systeme und Werkzeuge abbilden, die KI nutzen.

Anschließend müssen diese Systeme und Werkzeuge anhand der im KI-Gesetz festgelegten Kriterien bewertet werden.

In vielen Fällen ergibt sich aus dieser Bewertung die Notwendigkeit, Verfahren und technische Maßnahmen einzuführen, um eine kontinuierliche Überwachung der Einhaltung der Verordnung über künstliche Intelligenz und der Datenschutzgesetze zu gewährleisten.

Diese Pflichten können bestehen aus:

1. Identifizierung und Risikobewertung – der Unternehmer muss feststellen, ob die von ihm verwendeten KI-Systeme, einschließlich neuer Tools, in einer Hochrisikokategorie eingestuft werden. Systeme mit hohem Risiko werden zum Beispiel in Bereichen wie Gesundheit, Bildung, Beschäftigung, kritische Infrastrukturen, Justiz usw. eingesetzt.

2. Transparenz und Nutzerinformation – der Unternehmer muss sicherstellen, dass KI-Systeme, die für die direkte Interaktion mit natürlichen Personen bestimmt sind, so konzipiert und entwickelt werden, dass die betreffenden natürlichen Personen informiert werden, dass sie mit einem KI‑System interagieren, es sei denn, dies ist aus Sicht einer angemessen informierten, aufmerksamen und verständigen natürlichen Person aufgrund der Umstände und des Kontexts der Nutzung offensichtlich.

3. Sicherheit und Datenschutz – der Unternehmer muss sicherstellen, dass KI-Systeme sicher sind und die Datenschutzvorschriften eingehalten werden.

4. Überwachung und Prüfung – Unternehmen, die Hochrisiko-KI-Systeme einsetzen, sollten ihre Leistung überwachen und regelmäßige Prüfungen durchführen, um die Einhaltung der KI-Verordnung sicherzustellen.

5. Zusammenarbeit mit Anbietern – Wenn ein Unternehmen KI-Systeme von Drittanbietern nutzt, sollte es mit den Anbietern zusammenarbeiten, um sicherzustellen, dass die Systeme mit der KI-Verordnung übereinstimmen. 6. Schulung und Sensibilisierung – Unternehmer sollte sicherstellen, dass ihre Mitarbeiter in der Nutzung von KI-Systemen und im Umgang mit den damit verbundenen Risiken geschult sind.

6. Schulung und Sensibilisierung – Unternehmer sollte sicherstellen, dass ihre Mitarbeiter in der Nutzung von KI-Systemen und im Umgang mit den damit verbundenen Risiken geschult sind.

Welche Klauseln, sollten in interne Regelwerke für den Einsatz von KI aufgenommen werden?

1. Inanspruchnahme von Technologiepartnern: Die meisten Produkte, die KI nutzen, beinhalten Modelle, die von anderen Unternehmen entwickelt wurden. Es ist wichtig, die Nutzer darüber zu informieren, dass ihre Daten möglicherweise mit den Unternehmen geteilt werden, die diese Modelle entwickeln.

2. Rechte des geistigen Eigentums: Das Eigentum an KI-generierten Inhalten und die Bedingungen, unter denen Nutzer Eigentums- oder Nutzungsrechte geltend machen können, sollten geklärt werden (Erwägungsgrund 28 der KI-Verordnung).

3. Datenschutz und Sicherheit: Es ist wichtig anzugeben, wie Nutzerdaten gesammelt, verwendet und geschützt werden. Dies ist angesichts der sensiblen Natur der von KI-Systemen verarbeiteten Daten von entscheidender Bedeutung (Erwägungsgrund 28 der KI-Verordnung).

4.Haftungsbeschränkung: Die Haftungsregeln des Unternehmens für das KI-Produkt sollten definiert werden, insbesondere in Szenarien, in denen das KI-Ergebnis zu indirekten oder unbeabsichtigten Folgen führt (die demnächst durch die Artificial Intelligence Liability -Richtlinie (AILD) geregelt werden sollen).

5. KI-Vorbehalt: Es ist von entscheidender Bedeutung, darauf hinzuweisen, dass die von KI generierten Inhalte nicht immer korrekt sind und dass Unternehmen nicht in der Lage sind, ihre Genauigkeit zu beurteilen. Dieser Haftungsausschluss sollte auf dem Interface deutlich sichtbar sein (Erwägungsgrund 49 KI-Verordnung).

6. Die Klausel „Be a good human“: Da es schwierig ist, die Möglichkeiten des Missbrauchs von KI einzuschränken, werden die Nutzer mit dieser Klausel darüber informiert, dass ihr Konto gesperrt oder geschlossen werden kann, wenn sie KI unter Verstoß gegen die Nutzungsbedingungen nutzen (Erwägungsgrund 58 der KI- Verordnung).

7. Beschränkungen für das Teilen und Veröffentlichen von KI-generierten Inhalten: Die Nutzer sollten ausdrücklich darin eingeschränkt werden, KI-generierte Inhalte in einer Weise zu verwenden, die gegen die Nutzungsbedingungen verstößt, und müssen die volle Verantwortung für alle von ihnen veröffentlichten Inhalte übernehmen (Art. 52 KI-Verordnung).

Was geschieht bei Verstößen gegen die AI-Verordnung?

Die Sanktionen für Verstöße gegen die mit der AI-Verordnung eingeführten Vorschriften werden durch die nationale Gesetzgebung eingeführt, die Verordnung legt dennoch ihre wesentliche Natur fest. Sie sollen auf einem dreistufigen System von Verstößen beruhen:

  • Stufe 1: Nichteinhaltung der Verbote der AI-Verordnung

Die höchsten Bußgelder werden für die Verwendung von verbotenen Systemen verhängt, da diese ein inakzeptables Risiko darstellen. In solchen Fällen drohen Geldbußen von bis zu 35 Millionen Euro oder bis zu 7 % des Jahresumsatzes des Unternehmens.

Beispiel: KI-Systeme, die unterschwellige, absichtlich manipulative oder täuschende Techniken anwenden, die das Verhalten einer Person wesentlich verzerren und sie zu einer Entscheidung veranlassen, die sie sonst nicht treffen würde, und zwar in einer Weise, die erheblichen Schaden verursachen könnte.

  • Stufe 2: Nichteinhaltung der geltenden Anforderungen des AI-Verordnung 2024

Die zweithöchste Strafe ist für die Nichteinhaltung bestimmter Verpflichtungen vorgesehen. Die Nichteinhaltung der einschlägigen Vorschriften kann mit Geldbußen von bis zu 15 Millionen Euro oder bis zu 3 % des Jahresumsatzes des Unternehmens geahndet werden.

Beispiel: Nichteinhaltung der Registrierungspflichten oder Nichtgewährleistung der Richtigkeit der übermittelten Informationen.

  • Stufe 3: Erteilung falscher, unvollständiger oder irreführender Auskünfte an Aufsichtsbehörden

Die Beantwortung von Anfragen nationaler Behörden oder Stellen mit unrichtigen, unvollständigen oder irreführenden Angaben wird mit einer Geldbuße von bis zu 7,5 Mio. EUR oder 1 % des Gesamtumsatzes des Unternehmens geahndet.

Beispiel: Bei der Festsetzung der Höhe der Geldbuße sind die Art, die Schwere, die Absicht und die Dauer des Verstoßes ausschlaggebend.

Wie können wir Ihrem Unternehmen helfen?

So können wir Ihr Unternehmen auf die neuen Anforderungen vorbereiten:

  • Wir analysieren, ob der genutzte Dienst oder das genutzte Werkzeug unter die Regelung der KI-Verordnung fällt und, falls ja, welche Rolle der Anbieter dieses Dienstes spielt und welche Pflichten er hat.
  • Wir führen ein rechtliches Audit der Werkzeuge, Dienstleistungen und Produkte durch, die künstliche Intelligenz in ihrem Betrieb nutzen.
  • Wir bereiten rechtliche Inhalte zum Thema KI vor – zur Verwendung in Dokumenten im Zusammenhang mit der Tätigkeit Ihres Unternehmens: Vorschriften, Vertragsvorlagen, Marketinginhalte, Websites und online verfügbare Tools.
  • Wir schulen Mitarbeiter in der praktischen Anwendung der Vorschriften der KI-Verordnung.

Autoren: Krzysztof Brant & Michał Pietrzyk