Das Gesetz über künstliche Intelligenz (KI-Gesetz) ist eine bahnbrechende Regelung, die von der Europäischen Union eingeführt wurde, um die Entwicklung und Nutzung von Technologien der künstlichen Intelligenz zu regeln.
Inhaltsverzeichnis
Sicher und konform handeln
Das KI-Gesetz trat am 1. August 2024 in Kraft, mit vollständiger Anwendung ab dem 2. August 2026. Verbotene Praktiken wurden seit dem 2. Februar 2025 untersagt. Das Gesetz fördert Innovationen und schützt gleichzeitig Gesundheit, Sicherheit und Grundrechte.
Es gilt sowohl für Anbieter als auch für Anwender von KI-Systemen, wobei Anbieter umfangreichere Verpflichtungen haben. Das Gesetz verwendet einen risikobasierten Ansatz:
- Verbotene Praktiken: Dazu gehören kognitive Verhaltensmanipulation, soziales Scoring, Scraping von Gesichtsbildern und biometrische Inferenz sensibler Attribute.
- Hochrisiko-KI-Systeme: Werden in kritischer Infrastruktur, HR, Kreditbewertung oder Gerichten eingesetzt. Müssen strenge Anforderungen wie Risikomanagement, CE-Kennzeichnung und menschliche Aufsicht erfüllen.
- Allgemeine KI-Modelle (GPAI): Dazu gehören LLMs wie ChatGPT. Anbieter müssen Transparenz, Urheberrechtskonformität und Cybersicherheit gewährleisten.
- KI-Systeme mit begrenztem Risiko: Unterliegen Transparenzpflichten wie der Kennzeichnung von KI-generierten Inhalten und Deep Fakes.
- Minimales oder kein Risiko: Dazu gehören KI-gestützte Videospiele und Spamfilter, die nicht unter das KI-Gesetz fallen.
Verstöße gegen das KI-Gesetz können zu Geldstrafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist.
KI-Kompetenz
Seit dem 2. Februar 2025 müssen Anbieter und Anwender sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen. Schulungen werden empfohlen, sind aber nicht verpflichtend.
Wichtige Überlegungen umfassen die Rolle des Unternehmens, allgemeines Verständnis von KI, verbundene Risiken und maßgeschneiderte Kompetenzmaßnahmen basierend auf technischem Wissen und Kontext.
Umsetzung in Unternehmen
Das KI-Gesetz umfasst 113 Artikel und 13 Anhänge, was eine gründliche Planung und Ressourcen für die Umsetzung erfordert. Unternehmen sollten Audits durchführen, um zu bewerten:
- Existenz und Kategorisierung von KI-Systemen
- Betreiberart und beabsichtigter Zweck
- Verarbeitete Daten und erzeugte Ausgaben
- Einhaltung verbotener Praktiken und Hochrisikoanforderungen
- Transparenz-, Cybersicherheits- und Aufsichtspflichten
Was ist künstliche Intelligenz (KI)?
Künstliche Intelligenz (KI) ist ein Bereich der Informatik, der menschliche kognitive Fähigkeiten nachahmt, indem Eingabedaten identifiziert und sortiert werden. Diese Intelligenz kann auf programmierten Workflows basieren oder mit maschinellem Lernen erstellt werden.
Beim maschinellen Lernen werden Trainingsdaten verwendet, um der KI beizubringen, Muster zu erkennen und Vorhersagen zu treffen. Das KI-Gesetz definiert ein KI-System als ein maschinenbasiertes System, das mit unterschiedlichen Autonomiegraden arbeitet und Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert.
Beispiele für KI-Systeme unter dem KI-Gesetz umfassen Emotionserkennung, Gesichtserkennung, Kandidatenauswahl, Justizverwaltung, Gesundheitswesen (z.B. Symptomanalyse), Kundendienst, Chatbots und generative KI.
Generative KI, wie ChatGPT, bezieht sich auf KI-Systeme, die autonom Ergebnisse basierend auf Eingabedaten mithilfe von maschinellem Lernen und großen Sprachmodellen (LLMs) erzeugen. Diese Systeme können Fehler machen und "halluzinieren" – wahrscheinliche, aber ungenaue Aussagen erfinden.
Datenschutz
Die Nutzung von KI-Systemen, die personenbezogene Daten verarbeiten, muss der DSGVO entsprechen. Bußgelder bei Verstößen können bis zu 4 % des weltweiten Umsatzes oder 20 Millionen Euro betragen.
Unternehmen müssen eine rechtmäßige Verarbeitung sicherstellen, das Prinzip der Datenminimierung, Genauigkeit und Vertraulichkeit respektieren und Informationspflichten erfüllen.
Automatisierte Entscheidungen mit rechtlichen Auswirkungen müssen menschliches Ermessen einbeziehen. Technische und organisatorische Maßnahmen (TOM) wie Verschlüsselung und Pseudonymisierung sind unerlässlich.
Eine Datenschutz-Folgenabschätzung ist für risikoreiche Verarbeitungen erforderlich.
Schutz von Geschäftsgeheimnissen
Geschäftsgeheimnisse müssen vor unrechtmäßiger Aneignung und Offenlegung geschützt werden. Anforderungen umfassen Vertraulichkeitsmaßnahmen, Zugriffsbeschränkungen und NDAs.
KI-Systeme, Trainingsdaten und Ausgaben können Geschäftsgeheimnisse darstellen. Unternehmen müssen die Nutzung von Eingaben regeln und Drittanbieterbedingungen überprüfen, um Offenlegungsrisiken zu vermeiden.
Was sind die urheberrechtlichen Implikationen von KI?
Urheberrechtsfragen entstehen sowohl auf der Eingabe- als auch auf der Ausgabeseite von KI-Systemen. Die Nutzung geschützten Inhalts für das Training steht unter rechtlicher Prüfung.
KI-generierte Werke genießen nach geltendem Recht keinen Urheberrechtsschutz, da sie keine menschlichen Schöpfungen sind. Dies bedeutet, dass solche Ausgaben gemeinfrei sind.
Wer haftet für KI-bezogene Mängel?
Unternehmen haften für Mängel an Produkten und Dienstleistungen, einschließlich der durch KI verursachten.
Die reformierte EU-Produkthaftungsrichtlinie sieht eine verschuldensunabhängige Haftung für fehlerhafte KI-Systeme und -Komponenten vor, die Personenschäden, Sachschäden und Datenkorruption abdecken.
Was sollte in den Nutzungsbedingungen von KI-Systemen überprüft werden?
Unternehmen müssen die Nutzungsbedingungen von Drittanbieter-KI-Systemen überprüfen, wobei der Fokus auf folgenden Punkten liegt:
- Anwendbares Recht und Gerichtsstand
- Speicherung und Nutzung von Eingaben für das Training
- Rechte an Ausgaben
- Schadloshaltung gegen Urheberrechtsansprüche
- Gewährleistung und Haftungsbeschränkungen
Welche Richtlinien sollten Unternehmen für die Nutzung von KI befolgen?
Interne KI-Richtlinien helfen, die Nutzung von KI-Systemen durch Mitarbeiter zu regeln. Diese können umfassen:
- Beschreibungen und Genehmigungen von KI-Systemen
- Anweisungen für den Umgang mit Eingaben und Ausgaben
- Einhaltung von Vertraulichkeit und Datenschutz
- Cybersicherheitsmaßnahmen und Transparenzpflichten
Zusammenfassung des EU KI-Gesetzes
Das EU KI-Gesetz wird ab dem 2. August 2026 weitgehend angewendet und muss von Unternehmen, die KI nutzen, umgesetzt werden. Es regelt KI-Anbieter und -Anwender durch einen risikobasierten Ansatz: Je höher das gesellschaftliche Schadensrisiko, desto strenger die Regeln.
- Die Einhaltung der DSGVO ist bei der Verarbeitung personenbezogener Daten mit KI-Systemen obligatorisch.
- KI-Systeme müssen vor unbefugtem Zugriff und Cyberangriffen geschützt werden.
- Geschäftsgeheimnisse müssen bei der Nutzung von KI-Systemen geschützt werden.
- Urheberrechtsfragen auf der Eingabe- und Ausgabeseite unterliegen rechtlicher Prüfung.
- Unternehmen haften für Mängel an Produkten und Dienstleistungen, die durch KI verursacht werden.
- Die Nutzungsbedingungen von Drittanbieter-KI-Systemen müssen sorgfältig überprüft werden.
- Die KI-Kompetenz der Mitarbeiter sollte durch interne Richtlinien gefördert werden.
Wie unterstützt Trend Micro die Einhaltung des KI-Gesetzes?
Die Einhaltung des EU KI-Gesetzes erfordert mehr als nur das Verständnis der Regeln – es erfordert aktive Governance, Risikomanagement und klare Verantwortlichkeit über Ihre KI-Systeme hinweg. Von Urheberrecht und Haftung bis hin zu Nutzungsbedingungen und internen Richtlinien müssen Unternehmen sicherstellen, dass jeder Aspekt des KI-Einsatzes den sich entwickelnden gesetzlichen Standards entspricht.
Um dies zu unterstützen, können Unternehmen fortschrittliche Tools nutzen, die die Einhaltung vereinfachen und das Risiko von Cyberbedrohungen verringern, indem sie die Cyber Risk Exposure Management-Plattform von Trend Micro verwenden, die Ihnen hilft, Schwachstellen zu identifizieren, KI-bezogene Risiken zu managen und Vertrauen in Ihre digitalen Operationen zu bewahren.
Häufig gestellte Fragen (FAQs)
Was ist das EU KI-Gesetz?
Das EU KI-Gesetz ist eine Regelung zur Steuerung von künstlichen Intelligenzsystemen, um Sicherheit, Transparenz und Schutz der Grundrechte zu gewährleisten.
Wann tritt das EU KI-Gesetz in Kraft?
Das EU KI-Gesetz tritt 2024 in Kraft, mit vollständiger Anwendung ab 2026 in allen EU-Mitgliedstaaten.
Auf wen findet das EU KI-Gesetz Anwendung?
Das EU KI-Gesetz tritt 2024 in Kraft, mit vollständiger Anwendung ab 2026 in allen EU-Mitgliedstaaten.
Wann wurde das EU KI-Gesetz verabschiedet?
Das EU KI-Gesetz wurde 2024 vom Europäischen Parlament nach umfangreichen Verhandlungen und Konsultationen mit den Interessengruppen verabschiedet.
Wie kann man das EU KI-Gesetz einhalten?
Um das Gesetz einzuhalten, müssen Organisationen KI-Systeme nach Risiko klassifizieren, Transparenz gewährleisten, Konformitätsbewertungen durchführen und Dokumentationen aufrechterhalten.