GeschäftssoftwareMaßgeschneiderte Unternehmenssoftware, die sich Ihren Prozessen anpasst, nicht umgekehrt. Automatisierung, Kontrolle, keine Kompromisse.
E-CommerceE-Commerce-Plattformen, die wirklich verkaufen. Performance, UX und Konversionen im Mittelpunkt jeder technischen Entscheidung.
AILösungen für künstliche Intelligenz, die konkrete Probleme lösen. Messbare Ergebnisse ab dem ersten Monat.
Mobile AppsNative und Cross-Plattform iOS- und Android-Apps, die Nutzer lieben. Design, Performance und Retention im Fokus.
BlockchainBlockchain-Lösungen für Rückverfolgbarkeit, Zertifizierung und Transparenz. Konkrete Technologie für reale Vertrauensprobleme.
BeratungStrategische Technologieberatung für fundierte Entscheidungen. Wir helfen Ihnen zu verstehen, was Sie brauchen, bevor Sie es entwickeln.
SaaSSkalierbare, mandantenfähige und marktreife SaaS-Plattformen. Von der Idee bis zum ersten zahlenden Kunden.
Nicht sicher, wo Sie anfangen sollen?Sprechen wir über Ihr Projekt →
Kostenlos & unverbindlichJetzt mit Paolo sprechen
Anruf buchen →
Blog
Künstliche IntelligenzAI Act

Der AI Act verabschiedet: Was bedeutet das für Innovation und digitale Sicherheit

Simone Bersani
Simone Bersani
5 min
Der AI Act verabschiedet: Was bedeutet das für Innovation und digitale Sicherheit

Der AI Act verabschiedet: Was bedeutet das für Innovation und digitale Sicherheit

Der Rat der EU hat den Artificial Intelligence Act (AI Act) verabschiedet – die erste umfassende KI-Regulierung der Welt.

Diese Gesetzgebung legt einheitliche Regeln für den Einsatz von KI-Systemen in der Union fest und verfolgt dabei einen risikobasierten Ansatz.

Der Gesetzgebungsprozess des AI Act hatte sich im Dezember 2022 infolge der Einführung von ChatGPT verzögert.

Daraufhin wurde der Textentwurf überarbeitet, um spezifische Regeln für generative KI einzuschließen. Es wird erwartet, dass das Gesetz in einer Plenarsitzung am 10. und 11. April 2024 finalisiert und abgestimmt wird.

Hier sind die wichtigsten Punkte:

1. Erweiterte Definition der KI: Fokus auf Autonomie und Anpassungsfähigkeit in physischen und virtuellen Umgebungen

Der Anwendungsbereich der KI-Systeme wurde weit gefasst und konzentriert sich auf Autonomie und Anpassungsfähigkeit.

Die Definition umfasst jedes maschinenbasierte System, das verschiedene Grade von Autonomie aufweist, sich nach der Implementierung anpassen kann und physische oder virtuelle Umgebungen beeinflusst.

2. Es gibt eine abgeschlossene Liste verbotener KI-Praktiken, darunter:

  • Einsatz unterschwelliger oder manipulativer Techniken zur erheblichen Verzerrung des Verhaltens.

  • Ausnutzung von Schwächen von Einzelpersonen oder Gruppen, die zu erheblichem Schaden führt.

  • Biometrische Kategorisierungssysteme, die Personen auf der Grundlage sensibler Informationen klassifizieren, mit Ausnahme von Strafverfolgungszwecken.

  • Soziale Bewertungssysteme (Social Scoring).

  • Echtzeit-Fernbiometrie-Identifikationssysteme, die in öffentlichen Räumen für Strafverfolgungszwecke eingesetzt werden.

  • Vorhersagebasierte Polizeiarbeit, die ausschließlich auf Profiling oder Persönlichkeitsmerkmalen basiert, es sei denn, sie unterstützt menschliche Bewertungen auf der Grundlage objektiver Fakten im Zusammenhang mit Kriminalität.

  • Gesichtserkennungsdatenbanken, die durch ungezielte Scraping-Methoden erstellt wurden.

  • Ableitung von Emotionen am Arbeitsplatz oder in Bildungseinrichtungen, mit Ausnahme medizinischer oder sicherheitsbezogener Gründe.

  • Das Gesetz führt eine doppelte Definition für KI-Systeme mit hohem Risiko ein, die in zwei Kategorien unterteilt werden:

  • Künstliche Intelligenz, die als Produkt oder Sicherheitskomponente eingesetzt werden soll, das durch spezifische EU-Rechtsvorschriften geregelt wird.

3. Doppelte Definition von KI-Systemen mit hohem Risiko

Ein wichtiger Teil des KI-Gesetzes sieht eine strenge und umfangreiche Regulierung von KI-Systemen mit hohem Risiko vor.

In der Praxis wird es daher für ein Unternehmen, das im KI-Bereich tätig ist, von höchster Bedeutung sein festzustellen, ob das KI-System, das es entwickelt, importiert, vertreibt oder einsetzt, ein KI-System mit hohem Risiko darstellt.

Das KI-Gesetz unterscheidet zwei Arten von KI-Systemen, die als hohes Risiko eingestuft werden:

Künstliche Intelligenz, die als Produkt (oder als Sicherheitskomponente eines Produkts) eingesetzt werden soll, das durch spezifische EU-Vorschriften geregelt wird, wie z. B. Zivilluftfahrt, Fahrzeugsicherheit, Meeresausrüstung, Spielzeug, Aufzüge, Druckgeräte und persönliche Schutzausrüstung.

KI-Systeme, die in Anhang III aufgeführt sind, wie z. B. biometrische Fernidentifizierungssysteme, KI als Sicherheitskomponente in kritischen Infrastrukturen sowie KI in den Bereichen Bildung, Beschäftigung, Kreditvergabe, Strafverfolgung, Migration und demokratischer Prozess.

Wir können Leitlinien erwarten, die die praktische Umsetzung der Klassifizierung von KI-Systemen spezifizieren, ergänzt durch eine umfassende Liste praktischer Beispiele für Anwendungsfälle mit hohem und nicht hohem Risiko bei KI-Systemen – und zwar spätestens 18 Monate nach Inkrafttreten des KI-Gesetzes.

4. Es gibt eine wichtige Ausnahme zur zweiten Kategorie von KI-Systemen mit hohem Risiko.

Wenn das System darauf ausgelegt ist, eine begrenzte Verfahrensaufgabe auszuführen, die Ergebnisse früherer menschlicher Aktivitäten zu verbessern oder Entscheidungsmuster zu erkennen, ohne die menschliche Beurteilung zu ersetzen, wird es nicht als hohes Risiko eingestuft.

5. Anbieter von KI-Systemen mit hohem Risiko müssen sicherstellen, dass ihre Systeme zuverlässig, transparent und verantwortungsbewusst sind.

Sie sind verpflichtet, Risikobewertungen durchzuführen, qualitativ hochwertige Daten zu verwenden, ihre Entscheidungen zu dokumentieren, Systemprotokolle zu führen, Nutzer zu informieren, menschliche Aufsicht zu ermöglichen sowie Genauigkeit, Robustheit und Cybersicherheit zu gewährleisten.

6. Die Verpflichtungen erstrecken sich über die gesamte Wertschöpfungskette, einschließlich „Importeure", „Händler" und „Vertreiber" von KI-Systemen mit hohem Risiko.

Importeure und Händler müssen die Konformität dieser Systeme überprüfen. Vertreiber sind verpflichtet, die Anweisungen des Anbieters einzuhalten und menschliche Aufsicht und Eingriffsmöglichkeiten zu gewährleisten.

7. Die Notwendigkeit von Folgenabschätzungen zu Grundrechten für die Implementierung von KI-Systemen mit hohem Risiko im öffentlichen und privaten Sektor

Einrichtungen des öffentlichen Sektors und private Einrichtungen, die öffentliche Dienste erbringen, sind verpflichtet, vor der Implementierung von KI-Systemen mit hohem Risiko eine Folgenabschätzung zu Grundrechten durchzuführen.

Diese Bewertung betrifft Risiken, Aufsichtsmaßnahmen, betroffene Personen und die Nutzungshäufigkeit.

8. Die Verantwortung entlang der Wertschöpfungskette kann sich ändern.

Wenn eine andere Stelle als der Anbieter das KI-System modifiziert oder seinen vorgesehenen Zweck ändert und es dadurch zu einem Hochrisiko-System macht, kann sie als Anbieter betrachtet werden und den damit verbundenen Verpflichtungen unterliegen.

9. KI-Systeme mit hohem Risiko

Bei KI-Systemen mit hohem Risiko haben Personen das Recht auf eine Erklärung der Rolle des Systems in Entscheidungsprozessen.

Dies könnte zu Konflikten mit Anbietern führen, die Geschäftsgeheimnisse schützen.

10. Rechte der Einzelpersonen

Einzelpersonen haben ein weitreichendes Recht, mögliche Verstöße gegen das KI-Gesetz bei den Marktüberwachungsbehörden zu melden, ohne die Notwendigkeit, ihre Klagebefugnis nachzuweisen.

11. General Purpose AI (GPAI)-Modelle werden separat reguliert.

GPAI-Modelle, die systemische Risiken aufweisen, unterliegen zusätzlichen Verpflichtungen, wie der Durchführung von Modellbewertungen und der Behebung von Cybersicherheitsproblemen.

12. Transparenz- und Kennzeichnungspflichten für KI-Systeme und GPAI-Modelle bei der Mensch-Maschine-Interaktion und der Generierung synthetischer Inhalte

Bestimmte KI-Systeme und GPAI-Modelle unterliegen besonderen Transparenzpflichten, einschließlich Systemen, die für die Interaktion mit Menschen bestimmt sind, und solchen, die synthetische Inhalte generieren.

In diesen Fällen müssen Nutzer informiert werden, und es kann erforderlich sein, den Inhalt als künstlich generiert zu kennzeichnen.

13. Governance-Struktur und Rollen bei der Durchsetzung des KI-Gesetzes: KI-Büro, nationale Behörden und Marktüberwachungsbehörden

Das KI-Gesetz ist mit einer komplexen Governance-Struktur verbunden, die mehrere Stellen umfasst, wie das KI-Büro, die zuständigen nationalen Behörden und die Marktüberwachungsbehörden.

Diese Stellen werden die Regeln durchsetzen, Beschwerden prüfen und Sanktionen verhängen.

14. Hohe Strafen bei KI-Verstößen: Bußgelder bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes

Die Sanktionen bei Nichtkonformität sind erheblich und belaufen sich auf bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes des Unternehmens. Bei KI-Systemen mit hohem Risiko kann die Sanktion bis zu 15 Millionen Euro oder 3 % des Umsatzes betragen.

15. Der AI Act und seine Integration mit bestehenden Gesetzen zu geistigem Eigentum, Datenschutz und Cybersicherheit

Der AI Act wird zusammen mit anderen Gesetzen und Vorschriften angewandt, die KI regeln, einschließlich derjenigen zu geistigem Eigentum, Datenschutz, Verträgen und Cybersicherheit.

Das KI-Gesetz soll Mitte 2024 veröffentlicht werden, mit unterschiedlichen Zeitplänen für die Einhaltungspflichten.

Während die Regeln zu verbotenen KI-Praktiken nach sechs Monaten in Kraft treten, werden die meisten anderen Verpflichtungen nach 24 Monaten wirksam.

In der Zwischenzeit werden die Regeln für KI-Systeme mit hohem Risiko nach 36 Monaten eingeführt, während diejenigen für Hochrisiko-Systeme, die von öffentlichen Behörden eingesetzt werden, nach 48 Monaten in Kraft treten.