Aufsicht und Durchsetzung
Der EU AI Act etabliert ein mehrstufiges System für Aufsicht und Durchsetzung, an dem sowohl Mitgliedstaaten als auch EU-Institutionen beteiligt sind. Auf Ebene der Mitgliedstaaten muss jedes Land mindestens eine „Meldestelle“ benennen, die für die Bewertung und Benennung von Konformitätsbewertungsstellen zuständig ist, sowie mindestens eine Marktüberwachungsbehörde (MÜB), die die Gesamtkonformität überwacht. Diese nationalen zuständigen Behörden müssen mit angemessenen Ressourcen ausgestattet sein, um ihre Aufgaben zu erfüllen, zu denen die Bereitstellung von Leitlinien, die Durchführung von Untersuchungen und die Durchsetzung der Bestimmungen des AI Act gehören. Insbesondere die MÜB verfügen im Rahmen der Marktüberwachungsverordnung über weitreichende Befugnisse, darunter die Befugnis, Informationen anzufordern, Inspektionen durchzuführen, Abhilfebefehle zu erlassen und letztendlich Sanktionen für Verstöße zu verhängen.
Auf EU-Ebene dient das AI Office als zentrale Stelle für die Entwicklung von Fachwissen, die Koordinierung der Umsetzung und die Überwachung von KI-Modellen für den allgemeinen Gebrauch. Das AI Office spielt eine Schlüsselrolle bei der Bereitstellung von Anleitungen und Unterstützung und fungiert als Aufsichtsbehörde für KI-Modelle für den allgemeinen Gebrauch und deren Anbieter. Es arbeitet daran, die Einhaltung des AI Act zu fördern, indem es Richtlinien entwirft und Unternehmen eine Möglichkeit bietet, ihre Verpflichtungen besser zu verstehen. Ein neues KI-Gremium, das sich aus Vertretern der einzelnen Mitgliedstaaten zusammensetzt, berät und unterstützt die EU-Kommission und die Mitgliedstaaten bei der Gewährleistung einer einheitlichen und wirksamen Anwendung des AI Act in der gesamten Union. Die EU-Kommission selbst behält sich Zuständigkeiten vor, wie z. B. die Erstellung von Dokumentationen, den Erlass delegierter Rechtsakte und die Führung der Datenbank für KI-Systeme mit hohem Risiko.
Durchsetzungsbefugnisse und Sanktionen
Der im AI Act dargelegte Sanktionsrahmen sieht je nach Schwere und Art des Verstoßes erhebliche Geldbußen vor. Die Nichteinhaltung von Vorschriften im Zusammenhang mit verbotenen KI-Praktiken kann zu Geldbußen von bis zu 35 Millionen Euro oder 7 % des gesamten weltweiten Jahresumsatzes führen. Andere Verstöße können mit Geldbußen von bis zu 15 Millionen Euro oder 3 % des Umsatzes geahndet werden, während die Bereitstellung falscher oder irreführender Informationen zu Geldbußen von 7,5 Millionen Euro oder 1 % des Umsatzes führen kann. Diese Strafen können in bestimmten Fällen angewendet werden, so dass sie einheitlich bleiben. Es ist wichtig zu beachten, dass diese Geldbußen zusätzlich zu allen anderen von den Gesetzen der Mitgliedstaaten vorgeschriebenen Strafen oder Sanktionen verhängt werden können. Der zweischichtige Ansatz bei den Strafen kann den Erfolgsdruck erhöhen, und Unternehmen müssen sich nicht nur der allgemeinen EU-Verordnung bewusst sein, sondern auch der potenziellen Strafen, die zu den Strafen der einzelnen Mitgliedstaaten hinzukommen.
Die Verwendung des EU KI-Gesetz Leitfadens kann Juristen unterstützen.
Dieser Leitfaden ist als praktische Ressource für interne Juristen konzipiert, die sich in der Komplexität des EU KI-Gesetzes zurechtfinden müssen. Er konzentriert sich auf die Bereitstellung von leicht anwendbaren Informationen und Strategien, um Unternehmen dabei zu helfen, die neuen Vorschriften zu verstehen und einzuhalten. Der Leitfaden umreißt die Schlüsselbereiche des KI-Gesetzes, die Unternehmen am wahrscheinlichsten betreffen, und konzentriert sich dabei auf die unterschiedlichen Verpflichtungen, die KI-Anbietern und -Anwendern auferlegt werden. Durch die Strukturierung seiner Inhalte anhand der praktischen Compliance-Schritte, die Unternehmen in Betracht ziehen sollten, ermöglicht er es Juristen, die Anforderungen des KI-Gesetzes effizient in umsetzbare interne Richtlinien und Verfahren zu übersetzen.
Innerhalb jedes Abschnitts erläutert der Leitfaden nicht nur die rechtlichen Anforderungen des KI-Gesetzes, sondern untersucht auch die praktischen Auswirkungen für Unternehmen. Ein zentrales Merkmal des Leitfadens ist seine Detailgenauigkeit bei der Umreißung von Compliance-Maßnahmen, die Unternehmen in Betracht ziehen können, wodurch die Kluft zwischen rechtlichem Verständnis und praktischer Umsetzung überbrückt wird. Darüber hinaus, in Anbetracht der komplexen Beziehung zwischen dem KI-Gesetz und der DSGVO, enthält der Leitfaden eine spezifische Erörterung ihres Zusammenspiels, die es Juristen ermöglicht, bestehende Compliance-Programme zu nutzen und den Compliance-Prozess möglicherweise zu rationalisieren.
Praktische Compliance-Schritte und DSGVO-Zusammenspiel
Jeder Abschnitt bietet spezielle „Praktische Compliance-Schritte“-Boxen, die konkrete Maßnahmen aufzeigen, die Unternehmen ergreifen können, um ihren Verpflichtungen nachzukommen. Darüber hinaus heben „Zusammenspiel“-Boxen die Beziehung zwischen dem KI-Gesetz und der DSGVO hervor und bieten Einblicke in bestehende DSGVO-Compliance-Programme, die für die KI-Gesetz-Compliance angepasst werden können. Es werden Symbole verwendet, um den Grad der Überschneidung visuell darzustellen, einschließlich substanzieller Überschneidung (die minimalen zusätzlichen Aufwand erfordert), moderater Überschneidung (die als Ausgangspunkt dient) und keiner Überschneidung (die völlig neue Maßnahmen erfordert). Dieser Ansatz ermöglicht es Juristen, die Auswirkungen des KI-Gesetzes auf ihre Organisationen effizient zu beurteilen und geeignete Compliance-Strategien zu entwickeln.
Das EU-KI-Gesetz schlägt bedeutende regulatorische Änderungen für Unternehmen vor.
Das EU-KI-Gesetz führt wesentliche regulatorische Änderungen ein, die Unternehmen betreffen, die innerhalb der Europäischen Union tätig sind, sowie solche, die KI-Systeme oder -Modelle auf dem EU-Markt einsetzen oder anbieten, unabhängig von ihrem physischen Standort. Das Gesetz legt Verpflichtungen für verschiedene Akteure im KI-Ökosystem fest, einschließlich Anbieter, Anwender, Importeure und Händler von KI-Systemen. Je nach Art des eingesetzten KI-Systems legt das Gesetz Fristen für die Einhaltung fest, die zwischen 6 und 36 Monaten nach seinem Inkrafttreten liegen, was interne Rechtsabteilungen dazu zwingt, die potenziellen Auswirkungen des Gesetzes rasch zu bewerten und wirksame Umsetzungsstrategien zu entwickeln. Das Versäumnis, diese neuen Verpflichtungen proaktiv anzugehen, kann dazu führen, dass Unternehmen unvorbereitet sind, was möglicherweise zu Ressourcenengpässen während der Compliance-Implementierungsphase führt.
Die Auswirkungen auf Unternehmen hängen von ihrer Rolle als Anbieter oder Anwender bestimmter Arten von KI-Systemen und/oder Allzweck-KI-Modellen ab. Bestimmte KI-Systeme werden aufgrund ihrer inhärenten Risiken für grundlegende Rechte nunmehr als gänzlich verboten angesehen. Andere KI-Systeme, wie z. B. solche, die in kritischer Infrastruktur, im Beschäftigungsbereich oder im öffentlichen Dienst eingesetzt werden, werden als risikoreich eingestuft und unterliegen daher strengen Anforderungen, die im KI-Gesetz detailliert beschrieben sind. Darüber hinaus enthält das Gesetz spezifische Vorschriften für Allzweck-KI-Modelle, je nachdem, ob sie als systemisches Risiko eingestuft werden. Unternehmen müssen daher eine gründliche Analyse ihrer KI-Systeme durchführen, um festzustellen, ob diese den Vorschriften unterliegen. Dies umfasst die Durchführung angemessener Risikobeurteilungen, die Implementierung technischer Schutzmaßnahmen, die Gewährleistung der menschlichen Aufsicht und die Aufrechterhaltung einer transparenten Dokumentation.
Praktische Verpflichtungen für alle Unternehmen
Über die sektor- und risikospezifischen Anforderungen hinaus schreibt das EU-KI-Gesetz eine grundlegende Änderung für alle Unternehmen vor, unabhängig von ihrer spezifischen Beteiligung an der KI-Entwicklung oder -Anwendung, indem es KI-Kompetenzverpflichtungen festlegt. Artikel 4 legt fest, dass sowohl Anbieter als auch Anwender von KI-Systemen ein angemessenes Maß an KI-Kompetenz bei ihrem Personal gewährleisten müssen, wobei ihre jeweiligen Rollen und die beabsichtigte Nutzung von KI-Systemen zu berücksichtigen sind. Dies umfasst unter anderem die laufende Aus- und Weiterbildung der Mitarbeiter. Ziel ist es, ein Verständnis für KI-Technologien, ihre potenziellen Risiken und die regulatorischen Anforderungen des KI-Gesetzes zu fördern. Dies gewährleistet eine verantwortungsvolle Entwicklung, Anwendung und Nutzung von KI-Systemen und schützt Gesundheit, Sicherheit und Grundrechte.
Wichtige Meilensteine des KI-Gesetzes sind klar definiert.
Der Weg des EU-KI-Gesetzes vom Vorschlag bis zur Durchsetzung war von klar definierten Meilensteinen geprägt. Die erste öffentliche Konsultation wurde am 6. August 2021 abgeschlossen und bereitete die Bühne für legislative Maßnahmen. Die Europäische Kommission veröffentlichte am 21. April 2021 formell den Vorschlag für das KI-Gesetz und legte damit den Rahmen für die KI-Regulierung fest. Das EU-Parlament verabschiedete seine Verhandlungsposition am 14. Juni 2023 und signalisierte damit seine Prioritäten für das Gesetz. Der Rat verabschiedete seinen gemeinsamen Standpunkt/allgemeinen Ansatz am 6. Dezember 2022, was auf eine Übereinstimmung unter den Mitgliedstaaten hindeutet. Entscheidend war, dass das EU-Parlament und der Rat am 9. Dezember 2023 eine vorläufige Einigung erzielten. Diese Benchmarks zeigen den kollaborativen und iterativen Charakter der EU-Gesetzgebung und garantieren allen Beteiligten eine strukturierte Strategie für die KI-Governance.
Implementierungs- und Durchsetzungstermine
Nach der politischen Einigung umfassten die formellen Schritte zur Umsetzung die Gründung des KI-Büros am 21. Februar 2024. Das EU-Parlament gab am 13. März 2024 seine endgültige Zustimmung, gefolgt von der Billigung des Rates am 24. Mai 2024. Das KI-Gesetz wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht, bevor es am 1. August 2024 formell in Kraft trat. Die verschiedenen KI-Systemkategorien haben gestaffelte Durchsetzungstermine, die es Unternehmen ermöglichen, sich strategisch anzupassen. Systeme, die als verboten identifiziert wurden, und KI-Alphabetisierungsprogramme traten am 2. Februar 2025 in Kraft. Die Verpflichtungen für Allzweck-KI-Modelle traten am 2. August 2025 in Kraft, gefolgt von den meisten zusätzlichen Verpflichtungen (einschließlich der hochriskanten KI-Systeme gemäß Anhang III) zwei Jahre nach Inkrafttreten des Gesetzes, am 2. August 2026. Hochriskante KI-Systeme, die in Anhang I aufgenommen werden, treten am 2. August 2027 in Kraft. Diese Fristen bieten eine schrittweise Strategie, die auf Anbieter und Anwender zugeschnitten ist, je nach Art des KI-Systems.
Das Verständnis des Anwendungsbereichs des KI-Gesetzes ist für Unternehmen unerlässlich.
Der territoriale Geltungsbereich des KI-Gesetzes geht über die physischen Grenzen der EU hinaus und betrifft Unternehmen weltweit. Die territoriale Anwendbarkeit wird durch drei Hauptkriterien bestimmt: den Standort der Einheit, die Inverkehrbringung des KI-Systems oder -Modells und die geografische Nutzung der Ausgabe des KI-Systems. Wenn ein Unternehmen innerhalb der EU gegründet wurde oder sich dort befindet und ein KI-System einsetzt, findet das KI-Gesetz Anwendung. Darüber hinaus umfasst das Gesetz Anbieter – unabhängig von ihrem Standort –, die KI-Systeme auf dem EU-Markt in Verkehr bringen oder innerhalb der EU in Betrieb nehmen. Dies schließt KI-Systeme ein, die von Produktherstellern unter ihrer eigenen Marke eingesetzt werden. Entscheidend ist, dass das KI-Gesetz auch auf Anbieter und Anwender abzielt, deren KI-Systemausgaben innerhalb der EU verwendet werden, unabhängig von ihrem Niederlassungsort, und schützt Personen innerhalb der EU, die von der Nutzung von KI-Systemen betroffen sind. Dieser weite Geltungsbereich macht es erforderlich, dass Unternehmen, unabhängig von ihrem geografischen Standort, ihre Verpflichtungen gemäß dem KI-Gesetz sorgfältig prüfen, um die Einhaltung sicherzustellen, mögliche Strafen zu vermeiden und die betriebliche Integrität innerhalb des EU-Marktes zu erhalten.
Über den territorialen Geltungsbereich hinaus ist das Verständnis des persönlichen und sachlichen Geltungsbereichs des KI-Gesetzes von entscheidender Bedeutung. Die Hauptzielgruppen des Gesetzes sind Anbieter und Anwender von KI-Systemen, die jeweils unterschiedliche Verantwortlichkeiten tragen. Die Definition von „Anbieter“ kann sich jedoch unter bestimmten Bedingungen auf Importeure, Händler und sogar Produkthersteller erstrecken. Insbesondere wenn diese Unternehmen ihre Marke an einem risikoreichen KI-System anbringen, es wesentlich verändern oder seinen Verwendungszweck so ändern, dass es als risikoreich eingestuft wird, übernehmen sie die Pflichten eines Anbieters. Dennoch enthält das Gesetz mehrere Ausnahmen, z. B. für Anwender, die natürliche Personen sind und KI-Systeme für rein persönliche, nicht-berufliche Tätigkeiten nutzen, und für KI-Systeme, die ausschließlich für wissenschaftliche Forschung und Entwicklung entwickelt werden. Ein gestaffelter zeitlicher Geltungsbereich wirkt sich ebenfalls auf das Verständnis des KI-Gesetzes aus. Die Compliance-Pflichten werden schrittweise eingeführt, und zwar sechs bis sechsunddreißig Monate nach Inkrafttreten des Gesetzes, je nach Art des KI-Systems. Risikoreiche KI-Systeme, die sich bereits vor dem 2. August 2026 auf dem Markt befinden, fallen erst nach wesentlichen Designänderungen unter das Gesetz. Diese Komplexität unterstreicht die Notwendigkeit für Unternehmen, ihre Rollen und anwendbaren Zeitpläne sorgfältig zu prüfen, um eine umfassende Compliance-Planung zu gewährleisten.
Definition der zentralen Konzepte im KI-Gesetz wird bereitgestellt.
Das KI-Gesetz stützt sich auf eine Reihe präzise definierter Konzepte, die seinen Anwendungsbereich und seine Anwendung bestimmen. Der Begriff „KI-System“ selbst ist sorgfältig als ein maschinengestütztes System definiert, das mit unterschiedlichem Autonomiegrad arbeitet und sich nach der Bereitstellung anpassen kann. Dieses System leitet aus seinen Eingaben ab, wie Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert werden können, die physische oder virtuelle Umgebungen explizit oder implizit beeinflussen können. Diese breite Definition erfasst ein breites Spektrum an Technologien und erfordert eine sorgfältige Analyse, um festzustellen, ob ein bestimmtes System in den Geltungsbereich des Gesetzes fällt. „Bestimmungsgemäße Verwendung“ ist ebenfalls von entscheidender Bedeutung; sie bezieht sich auf die Verwendung, für die ein KI-System vom Anbieter konzipiert wurde, einschliesslich des spezifischen Kontexts und der Nutzungsbedingungen, wie sie in der Gebrauchsanweisung, den Werbematerialien und der technischen Dokumentation detailliert beschrieben sind. Diese Definition betont die Rolle des Anbieters bei der Definition des Umfangs der akzeptablen Verwendung und unterstreicht die Bedeutung einer klaren und genauen Kommunikation mit den Anwendern. Das Verständnis des „vernünftigerweise vorhersehbaren Missbrauchs“ eines KI-Systems, der als eine Verwendung definiert wird, die nicht mit seiner bestimmungsgemässen Verwendung übereinstimmt, sondern sich aus dem erwarteten menschlichen Verhalten oder der Interaktion mit anderen Systemen ergibt, ist ebenfalls ein entscheidendes Element, das das Risikomanagement und die Haftungsfragen umrahmt.
Weitere Präzisierungen der Rechtslandschaft sind Konzepte im Zusammenhang mit der Marktverfügbarkeit. „Bereitstellung auf dem Markt“ bezieht sich auf die Lieferung eines KI-Systems zur Verteilung oder Nutzung innerhalb der EU, ob entgeltlich oder unentgeltlich, im Rahmen einer gewerblichen Tätigkeit. „Inverkehrbringen“ bezeichnet das erste Mal, dass ein KI-System innerhalb der EU bereitgestellt wird. „Inbetriebnahme“ bezeichnet die Lieferung eines KI-Systems für seine erstmalige Verwendung direkt an den Anwender oder für den eigenen Gebrauch des Anbieters innerhalb der EU, entsprechend seiner bestimmungsgemässen Zweckbestimmung. Diese Definitionen verdeutlichen, wann verschiedene Verpflichtungen aus dem KI-Gesetz ausgelöst werden, insbesondere für Anbieter und Importeure. Schliesslich definiert das Gesetz sorgfältig, was einen erheblichen Vorfall darstellt, der bestimmten Meldepflichten unterliegt. Ein „schwerwiegender Vorfall“ umfasst Ereignisse wie Tod, schwere Gesundheitsschäden, grössere Infrastrukturstörungen, Verletzungen von Grundrechten oder erhebliche Sach- oder Umweltschäden, die durch eine Fehlfunktion des KI-Systems verursacht werden. Diese Definitionen schaffen einen hierarchischen Rahmen für die Bewertung von Risiken und die Festlegung entsprechender regulatorischer Verpflichtungen innerhalb des KI-Ökosystems.
Praktische Anwendungen für Unternehmen sind etabliert.
Das EU-KI-Gesetz führt ein neues Paradigma für Unternehmen ein, die KI-Systeme entwickeln, einsetzen oder nutzen. Das Verständnis der Verpflichtungen, die sich aus dieser Gesetzgebung ergeben, ist entscheidend für die strategische Planung und Risikominderung. Durch die Anerkennung der spezifischen Rollen und Verantwortlichkeiten, die Anbietern und Anwendern von KI zugewiesen werden, können Unternehmen Compliance-Anforderungen proaktiv angehen und in ihre bestehenden Rahmenwerke integrieren. Dieser Abschnitt bietet einen detaillierten Überblick über praktische Anwendungen für Unternehmen und eine systematische Aufschlüsselung von Maßnahmen, die für die praktische Einhaltung ergriffen werden können.
Unternehmen sollten zunächst ein umfassendes KI-Audit durchführen, um alle verwendeten KI-Systeme zu identifizieren und diese anhand ihres Risikograds zu klassifizieren. Dies beinhaltet die Feststellung, ob das KI-System verboten ist, ein hohes Risiko birgt oder einfachen Transparenzanforderungen unterliegt. Als Nächstes sollten KI-Systeme weiter danach klassifiziert werden, ob das Unternehmen gemäß des Risikorahmens als KI-Anbieter oder KI-Anwender gilt. Das Verständnis des Zusammenspiels zwischen den Verantwortlichkeiten von Anbietern und Anwendern ist von wesentlicher Bedeutung, da Organisationen möglicherweise beide Rollen übernehmen. Diese sorgfältige Klassifizierung grenzt die genauen Verpflichtungen ab und informiert über die spezifischen Strategien, die für ihren jeweiligen Kontext erforderlich sind.
Anbieterpflichten
Anbieter von KI-Systemen mit hohem Risiko müssen einen proaktiven und ganzheitlichen Ansatz verfolgen. Sie müssen ein umfassendes Risikomanagementsystem einrichten, um während des gesamten Lebenszyklus der KI vernünftigerweise vorhersehbare Risiken zu identifizieren und zu mindern, einschließlich der Verwaltung von Datenqualität, technischer Dokumentation, Aufzeichnungen und Korrekturmaßnahmen. Sie sollten auch die Transparenz gegenüber den Anwendern gewährleisten und Maßnahmen zur menschlichen Aufsicht festlegen. Für Systemanbieter sind die Überwachung nach dem Inverkehrbringen und das Vorfallmanagement von wesentlicher Bedeutung. Die Transparenzanforderungen erstrecken sich auf die Information von Personen über die Interaktion mit einem KI-System und die entsprechende Kennzeichnung von KI-generierten Inhalten. Für KI-Anbieter von KI-Modellen für allgemeine Zwecke muss diese Richtlinie den strengen Anforderungen des EU-Urheberrechtsgesetzes entsprechen. Die Einhaltung harmonisierter Normen hilft, die Einhaltung der Anforderungen des KI-Gesetzes nachzuweisen.
Anwenderpflichten
Anwender müssen die Übereinstimmung mit den Nutzungsanweisungen des Anbieters sicherstellen und eine kompetente menschliche Aufsicht zuweisen. Wenn ein Anwender die Kontrolle über die Eingabedaten hat, muss er sicherstellen, dass die Daten angemessen sind. Sie müssen KI-Systeme überwachen und Vorfälle angemessen melden. Bei der Bereitstellung von KI-Systemen am Arbeitsplatz ist Transparenz gegenüber den Mitarbeitern vorgeschrieben. Darüber hinaus erstrecken sich die Transparenzanforderungen auf die Information von Personen über die Interaktion mit einem KI-System und die Information, wenn dieses bei Entscheidungen mitwirkt, die die betreffende Person betreffen. In einigen Fällen müssen Anwender Folgenabschätzungen zu den Grundrechten durchführen oder die KI-Richtlinien im Zusammenhang mit der Datenverarbeitung auf andere Weise klarstellen.
Praktische Richtlinien für alle Unternehmen zur Einhaltung des Gesetzes werden angeboten.
Das EU-KI-Gesetz schreibt mehrere praktische Schritte für alle Unternehmen vor, unabhängig von ihrer spezifischen Rolle als Anbieter oder Anwender von KI-Systemen. Eine grundlegende Anforderung ist das Erreichen eines ausreichenden KI-Wissensstandes bei den Mitarbeitern und dem relevanten Personal. Dies erfordert Maßnahmen, um sicherzustellen, dass Personen, die am Betrieb und der Nutzung von KI-Systemen beteiligt sind, über die notwendigen technischen Kenntnisse, Erfahrungen, Ausbildungen und Schulungen verfügen. Das angemessene Maß an Wissen hängt vom Kontext ab, in dem die KI-Systeme eingesetzt werden, sowie von den potenziellen Auswirkungen auf Einzelpersonen oder Gruppen. Daher müssen Unternehmen aktiv in KI-Wissensprogramme investieren, die auf verschiedene Rollen und Verantwortlichkeiten innerhalb der Organisation zugeschnitten sind, und ein Verständnis sowohl für die potenziellen Vorteile als auch für die inhärenten Risiken der KI-Technologien fördern.
Unternehmen sollten bewerten, welche KI-Systeme sie bereitstellen oder einsetzen, und sicherstellen, dass ihre Mitarbeiter ausreichend auf die Arbeit mit diesen Systemen vorbereitet sind. Ein robustes KI-Schulungsprogramm, das auf dem neuesten Stand gehalten wird, ist für die Einhaltung dieser Bestimmung unerlässlich. GDPR-Schulungs- und Weiterbildungsprogramme können genutzt werden, erfordern aber wahrscheinlich Aktualisierungen oder neue Prozesse (teilweise technischer Natur), um die Einhaltung der spezifischen Datenqualitätskriterien des KI-Gesetzes für Trainings-, Validierungs- und Testdaten im Zusammenhang mit der Entwicklung von KI-Systemen zu gewährleisten. Unternehmen können bestimmte GDPR-Rechenschaftspflicht-Bemühungen bei der Erstellung technischer Dokumentationen nutzen, z. B. für die Beschreibung der anwendbaren Cybersicherheitsmaßnahmen. Die Protokollierungsanforderungen überschneiden sich teilweise mit den Datensicherheitsanforderungen und Best Practices gemäß der GDPR, sind aber spezifischer und erfordern eine technische Umsetzung. Es wird erwartet, dass Organisationen technische Fähigkeiten und spezifische Prozesse entwickeln und implementieren, um diese Anforderung zu erfüllen. Anbieter müssen auch die Aufbewahrungsfrist für Protokolle in ihren Datensicherheits-Aufbewahrungsplänen berücksichtigen.
Praktische Verpflichtungen für Unternehmen, die Anbieter im Sinne des KI-Gesetzes sind, werden vorgestellt.
Das EU-KI-Gesetz legt Unternehmen, die als „Anbieter“ von KI-Systemen gelten, erhebliche praktische Verpflichtungen auf. Diese Verpflichtungen variieren je nach Risikograd des KI-Systems, wobei die strengsten Anforderungen an hochriskante KI-Systeme gestellt werden. Anbieter sind dafür verantwortlich, dass ihre KI-Systeme die Anforderungen des KI-Gesetzes erfüllen, bevor sie auf den Markt gebracht oder in Betrieb genommen werden. Die Verpflichtungen umfassen ein breites Spektrum, darunter Risikomanagement, Data Governance, technische Dokumentation, Transparenz, menschliche Aufsicht und Cybersicherheit. Ein zentrales Thema ist die Implementierung robuster Qualitätsmanagementsysteme (QMS), um die kontinuierliche Einhaltung der Vorschriften während des gesamten Lebenszyklus des KI-Systems zu gewährleisten. Die Nichterfüllung dieser Verpflichtungen kann zu erheblichen Geldstrafen und Reputationsschäden führen, was die Notwendigkeit eines proaktiven und umfassenden Ansatzes zur KI-Governance unterstreicht.
Für hochriskante KI-Systeme müssen Anbieter ein Risikomanagementsystem einrichten, um potenzielle Risiken für Gesundheit, Sicherheit und Grundrechte zu identifizieren, zu analysieren und zu mindern. Dies beinhaltet Datenqualitätskontrollen, rigorose Tests und Cybersicherheitsmaßnahmen. Das KI-Gesetz schreibt die Erstellung einer technischen Dokumentation vor, die das Design, die Funktionalität und die Leistung des Systems detailliert beschreibt. Die Dokumentation muss umfassend sein und kontinuierlich aktualisiert werden, um Änderungen oder Modifikationen am KI-System widerzuspiegeln. Die Anbieter müssen auch für angemessene Transparenz sorgen, indem sie den Nutzern klare und verständliche Anleitungen zur Verfügung stellen, die die Eigenschaften, Einschränkungen und potenziellen Risiken des KI-Systems detailliert beschreiben. Um das Vertrauen und die Zuverlässigkeit der Nutzer weiter zu erhöhen, muss der Anbieter ein angemessenes Maß an menschlicher Aufsicht über das System gewährleisten, das es den Betreibern ermöglicht, bei Bedarf einzugreifen.
Allgemeine KI-Modelle
Für allgemeine KI-Modelle müssen sich die Anbieter an die in Artikel 53 festgelegten Schlüsselbedingungen halten. Erstens müssen diejenigen, die die Modelle entwickeln, die Systemdokumentation vollständig und aktuell halten, einschließlich relevanter Schulungen, Bewertungen und Tests. Die Dokumentation und die Details müssen an andere KI-Systeme weitergegeben werden, die das allgemeine KI-Modell integrieren wollen. Unternehmen, die KI entwickeln, müssen Richtlinien zur Einhaltung des Urheberrechts sowie Zusammenfassungen der Inhalte, die für das Training des KI-Modells verwendet werden, implementieren. Allgemeine KI-Modelle, die auch ein systemisches Risiko bergen, unterliegen strengeren Verpflichtungen, einschließlich Bewertungen potenzieller systemischer Risiken auf EU-Ebene, Aufrechterhaltung der Cybersicherheit in Bezug auf das Modell und unverzügliche Meldung relevanter Informationen über schwerwiegende Vorfälle und potenziell Korrekturmaßnahmen.
Praktische Pflichten für Unternehmen im Zusammenhang mit den Anwendern des KI-Gesetzes werden beschrieben.
Das KI-Gesetz legt den Anwendern von KI-Systemen, insbesondere solchen, die als Hochrisikosysteme eingestuft werden, mehrere praktische Pflichten auf. Eine der wichtigsten Anforderungen ist die Einhaltung der Gebrauchsanweisung des Anbieters. Die Anwender müssen geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass Hochrisiko-KI-Systeme gemäß den Anweisungen des Systemanbieters betrieben werden. Dies setzt ein gründliches Verständnis der Fähigkeiten, Einschränkungen und des beabsichtigten Zwecks des Systems sowie die Implementierung von Kontrollen voraus, um Missbrauch oder Abweichungen von den vorgeschriebenen Betriebsparametern zu verhindern. Um die Einhaltung zu erleichtern, sollten die Anwender ein Verzeichnis der verwendeten Hochrisikosysteme zusammen mit den entsprechenden Anweisungen führen. Die Zuweisung der Verantwortlichkeit für die Überwachung der Einhaltung innerhalb der Organisation kann die Rechenschaftspflicht ebenfalls erheblich stärken. Darüber hinaus ist es für die Anwender von entscheidender Bedeutung, über etablierte Kommunikationskanäle mit den Anbietern von KI-Systemen über Aktualisierungen oder Änderungen der Anweisungen auf dem Laufenden zu bleiben.
Über die Einhaltung der Anweisungen des Anbieters hinaus sind die Anwender verpflichtet, eine menschliche Aufsicht zu implementieren. Dies beinhaltet die Zuweisung von Personen mit den erforderlichen Kompetenzen, Schulungen, Befugnissen und Unterstützung, um die Verwendung von Hochrisiko-KI-Systemen zu überwachen. Diese Personen müssen ein umfassendes Verständnis der Fähigkeiten und Einschränkungen des Systems besitzen, wachsam gegenüber Automatisierungsverzerrungen sein, die Ausgaben des Systems genau interpretieren und befugt sein, die Eingaben des Systems bei Bedarf zu ignorieren, aufzuheben oder rückgängig zu machen. Darüber hinaus müssen die Anwender, die die Eingabedaten für Hochrisiko-KI-Systeme kontrollieren, sicherstellen, dass die Daten relevant und hinreichend repräsentativ für den beabsichtigten Zweck des Systems sind. Dies erfordert einen Vorscreening-Prozess, um die Eignung der Daten zu beurteilen, einschließlich ihrer Richtigkeit und Freiheit von Verzerrungen, um sicherzustellen, dass das System effektiv und fair arbeitet. Zu den fortlaufenden Pflichten der Anwender gehören die kontinuierliche Überwachung der KI-Systeme und in einigen Fällen die Durchführung von Folgenabschätzungen in Bezug auf die Grundrechte.
Spezifische Transparenzanforderungen
Das Gesetz enthält auch Transparenzanforderungen für Anwender von Systemen wie Emotionserkennung und biometrische Kategorisierung sowie für solche, die Bilder, Audio, Video und Text erzeugen oder manipulieren. Transparenzanforderungen, wie sie in Artikel 50 Absatz 5 des KI-Gesetzes enthalten sind, schaffen zusätzliche Anforderungen für die Anwender, um sicherzustellen, dass spätestens bei der ersten Interaktion das KI-System transparent eingesetzt wird.
Der Rahmen für die Aufsicht und Durchsetzung des KI-Gesetzes steht fest.
Die Aufsicht und Durchsetzung des KI-Gesetzes wird sowohl auf Ebene der Mitgliedstaaten als auch auf EU-Ebene verwaltet, wobei verschiedenen Behörden unterschiedliche Rollen und Verantwortlichkeiten zugewiesen werden. Auf Ebene der Mitgliedstaaten ist jedes Land verpflichtet, mindestens eine „meldende Behörde“ zu benennen, die für die Bewertung und Überwachung von Konformitätsbewertungsstellen zuständig ist, sowie mindestens eine „Marktüberwachungsbehörde“ (MÜB), die die Einhaltung durch Anbieter, Anwender und andere Akteure in der KI-Wertschöpfungskette überwacht. Die MÜB haben weitreichende Befugnisse zur Marktüberwachung, Untersuchung und Durchsetzung, einschließlich der Befugnis, Informationen anzufordern, Vor-Ort-Inspektionen durchzuführen, Anordnungen zur Einhaltung zu erlassen, korrigierende Maßnahmen zu ergreifen und Sanktionen zu verhängen. Die Mitgliedstaaten sind außerdem verpflichtet, eine zentrale Anlaufstelle für das KI-Gesetz einzurichten, um die Kommunikation und Koordination zu erleichtern. Alle Unternehmen, die dem KI-Gesetz unterliegen, müssen uneingeschränkt mit diesen nationalen zuständigen Behörden zusammenarbeiten.
Auf EU-Ebene spielt das von der EU-Kommission eingerichtete KI-Büro eine Schlüsselrolle bei der Entwicklung von Fachwissen, der Mitwirkung bei der Umsetzung des EU-Rechts im Bereich KI und der Überwachung der Einhaltung in Bezug auf Allzweck-KI-Modelle. Der KI-Ausschuss, der sich aus Vertretern der einzelnen Mitgliedstaaten zusammensetzt, berät und unterstützt die EU-Kommission und die Mitgliedstaaten, um eine einheitliche und wirksame Anwendung des KI-Gesetzes zu gewährleisten. Die EU-Kommission hat auch eine Reihe von Aufgaben, wie z. B. die Erstellung von Dokumentationen, den Erlass delegierter Rechtsakte und die Verwaltung der Datenbank für KI-Systeme mit hohem Risiko. Zu den den MÜB zur Verfügung stehenden Durchsetzungsbefugnissen gehören erhebliche Geldbußen bei Nichteinhaltung, die je nach Schwere des Verstoßes gestaffelt sind, wobei die höchsten Strafen für verbotene KI-Praktiken gelten. Darüber hinaus haben Einzelpersonen und Organisationen das Recht, bei ihrer nationalen MÜB Beschwerden einzureichen, wenn sie der Ansicht sind, dass ein Verstoß gegen das KI-Gesetz vorliegt, wodurch die Rechenschaftspflichtmechanismen des Gesetzes weiter gestärkt werden.
Ein Glossar der im KI-Gesetz verwendeten Begriffe wird erstellt.
Das EU-KI-Gesetz führt zahlreiche technische und rechtliche Begriffe ein. Das Verständnis dieser Definitionen ist für Unternehmen entscheidend, um die Bestimmungen des Gesetzes einzuhalten. Obwohl ein vollständiges Glossar den Rahmen dieses Abschnitts sprengen würde, sind Schlüsselbegriffe wie „KI-System“, „Allzweck-KI-Modell“, „bestimmungsgemäße Verwendung“, „vernünftigerweise vorhersehbarer Missbrauch“, „Bereitstellung auf dem Markt“, „Inverkehrbringen“, „Inbetriebnahme“ und „schwerwiegender Vorfall“ von zentraler Bedeutung für die Auslegung und Anwendung der Anforderungen des Gesetzes. Diese Definitionen, wie sie in Artikel 3 des KI-Gesetzes dargelegt sind, grenzen den Geltungsbereich des Gesetzes und die Pflichten der verschiedenen Akteure ab. Eine einheitliche Auslegung dieser Begriffe in der gesamten EU ist für eine einheitliche Anwendung und Durchsetzung des KI-Gesetzes erforderlich, um einen harmonisierten Markt für KI-Technologien zu gewährleisten.
Auch die Unterscheidung zwischen Schlüsselakteuren wie „Anbietern“ und „Anwendern“ ist von wesentlicher Bedeutung, da jede Rolle unterschiedliche Verantwortlichkeiten gemäß dem KI-Gesetz mit sich bringt. Ein Anbieter ist im Allgemeinen das Unternehmen, das ein KI-System entwickelt oder auf dem Markt in Verkehr bringt, während ein Anwender das KI-System in seinem Betrieb einsetzt. Die Verantwortlichkeiten der einzelnen Parteien, die im gesamten Gesetz dargelegt sind, sind untrennbar miteinander verbunden. So ist beispielsweise eine klare Kommunikation des Verwendungszwecks eines KI-Systems vom Anbieter an den Anwender von entscheidender Bedeutung, damit der Anwender das System in Übereinstimmung mit den Anweisungen des Anbieters und den umfassenderen Anforderungen des Gesetzes einsetzen kann. Darüber hinaus ist der Begriff „bestimmungsgemäße Verwendung“ selbst ein definierter Begriff, der die Bedeutung der Auslegung von KI-Systemen und ihrer Verwendung in Übereinstimmung mit den vom Anbieter bereitgestellten Informationen hervorhebt.
Schlüsseldefinitionen und Konzepte
Um die KI-Kompetenz zu fördern und für weitere Klarheit zu sorgen, hat die EU-Kommission Leitlinien veröffentlicht, die die Definition von „KI-System“ im Rahmen des KI-Gesetzes weiter konkretisieren. Zusätzlich zu der präzisen Abgrenzung, die diese Definitionen bieten, ist ein umfassenderes Verständnis der zugrunde liegenden Konzepte – wie des risikobasierten Ansatzes, der Transparenz und der menschlichen Aufsicht – wichtig. Ohne ein fundiertes Verständnis dieser kritischen Definitionen und Konzepte bleibt die Einhaltung des KI-Gesetzes ein schwer erreichbares Ziel. Die regelmäßige Überprüfung und das Verständnis der sich entwickelnden Leitlinien der EU-Kommission, des KI-Büros und des KI-Ausschusses werden entscheidend sein, um eine genaue Auslegung der Begriffe und Definitionen des Gesetzes aufrechtzuerhalten.
Wichtige Kontaktbereiche sind für verschiedene Führungsmitglieder und EU-/UK-Teams aufgeführt.
Dieses Dokument gipfelt in umfassenden Kontaktbereichen, die sowohl für Führungskräfte als auch für Mitglieder der EU-/UK-Teams bestimmt sind. Diese Bereiche dienen als wesentliche Ressourcen für Personen, die spezifisches Fachwissen oder Unterstützung im Zusammenhang mit der KI-Verordnung suchen. Durch die Bereitstellung eines direkten Zugangs zu Schlüsselpersonen innerhalb der jeweiligen Teams zielt das Dokument darauf ab, eine klare und effiziente Kommunikation zu ermöglichen, sodass Interessengruppen die Komplexität der KI-Regulierung leichter bewältigen können. Angemessene Kommunikation ist in dieser frühen Phase der regulatorischen Anwendung von größter Bedeutung, da sowohl Behörden als auch Organisationen beginnen, sich mit den praktischen Auswirkungen des EU-KI-Gesetzes auseinanderzusetzen.
Die Aufnahme detaillierter Kontaktinformationen für Führungskräfte unterstreicht die Bedeutung der Aufsicht durch das Führungsteam im Zusammenhang mit der Einhaltung der KI-Verordnung. Diese Personen verfügen oft über die strategische Vision und Entscheidungsbefugnis, die erforderlich sind, um Organisationen durch die regulatorische Landschaft zu führen. Gleichzeitig würdigt die Auflistung der EU-/UK-Teammitglieder die unterschiedlichen regionalen Nuancen der KI-Regulierung und erkennt an, dass Compliance-Strategien möglicherweise auf bestimmte Gerichtsbarkeiten zugeschnitten werden müssen. Diese Dualität stellt sicher, dass Stakeholder sowohl Zugang zu strategischer Beratung auf hoher Ebene als auch zu praktischem Fachwissen haben, das für ihre besonderen Umstände relevant ist. Zusammengenommen priorisieren diese Abschnitte sowohl hochrangige als auch praktische Informationen, um Benutzer bei ihren rechtlichen Fragen und Fragen zur Umsetzung der Verordnung zu unterstützen.
