Compliance mit dem EU AI Act
Die Einführung des EU AI Act markiert einen bedeutenden Schritt in der Regulierung von Künstlicher Intelligenz (KI) in Europa. Am 2. Februar 2025 traten die ersten fünf Artikel des Gesetzes in Kraft, was bedeutet, dass Unternehmen, die KI verwenden oder entwickeln, nun regulatorischen Anforderungen unterliegen.
Artikel 4 des EU AI Act
Artikel 4 legt fest, dass alle Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen müssen, um ein ausreichendes Niveau an KI-Kompetenz bei ihren Mitarbeitern zu gewährleisten. Dies umfasst die Berücksichtigung ihrer technischen Kenntnisse, Erfahrungen, Ausbildungen und des Kontextes, in dem die KI-Systeme eingesetzt werden.
Die Definition von „KI-Kompetenz“ besagt, dass es sich um Fähigkeiten und Kenntnisse handelt, die es den Beteiligten ermöglichen, KI-Systeme informierte einzusetzen, sowie die Chancen und Risiken der KI zu verstehen.
Unternehmen müssen sicherstellen, dass ihre Mitarbeiter die Risiken, die von KI ausgehen können, verstehen. Dies stellt zahlreiche praktische Herausforderungen dar, da die Integration von KI in den Arbeitsalltag immer einfacher wird.
Governance der KI
Ein zentrales Problem ist, dass Unternehmen die notwendige KI-Kompetenz nicht entwickeln können, wenn sie nicht wissen, wie KI eingesetzt wird. Ein Beispiel ist die chinesische App DeepSeek, die plötzlich populär wurde. Die damit verbundenen Datenschutzrisiken und Cybersecurity-Bedrohungen sind oft unbekannt.
Unternehmen sollten ein „AI Usage Board“ einrichten, um Regeln für die Nutzung von KI durch Mitarbeiter festzulegen. Ethik und Unternehmenskultur sollten dabei eine zentrale Rolle spielen, um eine verantwortungsvolle Nutzung von KI zu fördern.
Artikel 5 des EU AI Act
Artikel 5 führt verbotene KI-Praktiken ein und definiert verschiedene Risikostufen für den Einsatz von KI. Zu den verbotenen Anwendungen gehören:
- KIs, die subtil manipulativ oder täuschend wirken, um das Verhalten von Personen zu beeinflussen.
- Überwachungen, die vorhersagen, ob eine Person ein Verbrechen begehen könnte, basierend auf Profiling.
- Emotionserkennung am Arbeitsplatz oder in Schulen, es sei denn, es liegt ein medizinischer oder sicherheitsrelevanter Grund vor.
Organisationen benötigen klare Richtlinien darüber, welche KI-Nutzungen sie nicht akzeptieren. Dazu gehört auch das Management von Verträgen und die Überwachung von Drittanbietern, um sicherzustellen, dass keine verbotenen Praktiken auf ihre Kosten durchgeführt werden.
Der EU AI Act wird weitere Stufen der KI-Nutzung einführen, wobei weniger risikobehaftete Anwendungen weniger Aufsicht erfordern. Das stellt Anforderungen an die Ethik- und Compliance-Abteilungen in Unternehmen, um Prozesse zur Risikobewertung und Kontrolle zu entwickeln.
Insgesamt wird das KI-Compliance-Programm auf den Grundlagen eines starken Ethik- und Compliance-Programms basieren, gleichzeitig jedoch neue Herausforderungen mit sich bringen. Die Welt der KI-Regulierung ist hier, und Unternehmen müssen sich darauf vorbereiten.
