IT-Recht. Die EU-Verordnung zu Künstlicher Intelligenz (KI) ist noch nicht in Kraft, aber ihre allgemeine Stoßrichtung ist bereits bekannt, so der Thinktank Unit8, der erste Empfehlungen für Unternehmen gibt.
Um betroffenen Unternehmen eine proaktive Vorbereitung auf die KI-Verordnung zu ermöglichen, hat der Schweizer KI- und Analytics-Beratungsdienstleister Unit8 mit Niederlassungen in Zürich, Lausanne und Krakau nun Richtlinien veröffentlicht, heißt es in einer Aussendung.
Der Entwurf
„Upcoming European AI Regulation: What to expect & how to prepare“ (Die geplante EU-Verordnung zu KI: Was auf Sie zukommt und wie Sie sich vorbereiten) ist der Titel eines achtseitigen Whitepapers von Unit8. Darin erkläre man die wichtigsten Punkte der Verordnung und wie sich Unternehmen darauf vorbereiten können. Weiters wird eine Reihe von Massnahmen empfohlen, die vorbeugend umgesetzt werden sollten. Eine proaktive Haltung könne auch Mehrwert für die Unternehmen ergeben, heißt es.
Die vorgeschlagene EU-Verordnung ist zwar noch nicht in Kraft, doch der aktuelle Verordnungsentwurf liefere bereits Einblicke in die Zukunft der Regulierung von KI in der EU. Da es sich dabei um eine der weltweit umfassendsten Verordnungen zu Künstlicher Intelligenz handelt, die für alle Branchen gilt, könne sie potenziell zum Vorbild für Gesetzgeber auf der ganzen Welt werden. Unternehmen aus dem Finanzsektor werden laut Unit8 besonders betroffen sein, da Anwendungen zur Kreditwürdigkeitsprüfung von der Regulierungsbehörde ausdrücklich als Hochrisiko-Anwendungen eingestuft wurden und daher stark reguliert werden sollen.
Die Verordnung gilt nicht nur für Unternehmen mit Sitz in der EU, sondern für alle Unternehmen, die in der EU tätig sind oder dort KI-Systeme vertreiben oder nutzen. Somit sind z.B. auch Schweizer, britische oder US-Unternehmen, die KI-Systeme entwickeln oder einsetzen, stark von der Verordnung betroffen. In Anbetracht ihrer oft komplexen, grenzüberschreitenden rechtlichen Strukturen müssen sich international tätige Unternehmen aus dem Finanzsektor frühzeitig mit diesen komplexen Auflagen auseinandersetzen, heißt es.
Risikobasierter Ansatz
Die EU-Verordnung verfolgt einen risikobasierten Ansatz, nach dem KI-Systeme in vier Risikoklassen unterteilt werden:
- Klasse 1 (inakzeptables Risiko): Der Einsatz von KI ist verboten, allerdings soll es Ausnahmen geben. Als Beispiele genannt werden die permanente Erfassung biometrischer Daten in öffentlichen Räumen oder auch „Social Scoring“.
- Klasse 2 (hohes Risiko): Es werden komplexe rechtliche Anforderungen zu erfüllen sein. Beispiele sind Credit Scoring, Exam Scoring, oder auch automatische Recruiting-Systeme.
- Klasse 3 (geringes Risiko): Es werden diverse „Disclaimer“ gesetzt werden müssen, so das Whitepaper. Insbesondere müssen Personen in der EU erkennen können, dass sie es mit einem KI-Einsatz zu tun haben, z.B. bei Chatbots.
- Klasse 4 (minimales Risiko): Keine Maßnahmen erforderlich. Beispiele sind Spam-Filter oder KI-aufbereitetes Audio/Video (aber nicht weitreichende Kreationen ähnlich „Deep Fakes“, die sind Klasse 3).
Was zu tun ist
Handlungsbedarf wird von Unit8 insbesondere für die beiden ersten Klassen geortet. Es gelte, sich mit den Anforderungen auseinanderzusetzen, die vor und nach der Markteinführung oder Inbetriebnahme eines KI-Systems erfüllt werden müssen. Vorgeschlagene Maßnahmen sind Prüfung der Rechtskonformität, technische Dokumentation, Transparenz, Herstellung der nötigen Cybersicherheit, Schutz gegen KI-Schwachstellen etc. Bei Nichteinhaltung drohen Bußgelder, die bis zu 6% des weltweiten Unternehmensumsatzes erreichen können, wodurch diese im Extremfall kostspieliger ausfallen könnten als die Strafen bei Verstößen gegen die DSGVO.
Das Statement
Andreas Blum, Head of Digital & AI Consulting Practice bei Unit8: „Da in absehbarer Zukunft weltweit mehr KI-Verordnungen eingeführt werden sollen, müssen sich Unternehmen auf die regulatorischen Anforderungen vorbereiten.“ Marcin Pietrzyk, CEO von Unit8, empfiehlt, bereits jetzt die erforderlichen Compliance-Checks, Fähigkeiten und Partnerschaften aufzubauen, um von den Vorteilen von KI zu profitieren ohne dabei das Risiko geschäfts- oder reputationsgefährdender Strafen durch die Regulierungsbehörden einzugehen.