Riskante KI-Systeme: Was sind sie und was müssen betroffene Arbeitgeber tun?
Der EU KI-Act (das Gesetz) ist das erste Gesetz weltweit, das KI reguliert. Das Gesetz schafft Verpflichtungen basierend auf dem Risiko, das mit bestimmten Anwendungen von KI-Systemen verbunden ist. Die Bestimmungen, die sich auf die „riskantesten“ Anwendungen von KI beziehen, traten am 2. Februar 2025 in Kraft, und das gesamte Gesetz wird bis zum 1. August 2026 vollständig in Kraft sein. Die Absicht des Europäischen Parlaments ist es, die Regulierung und Klassifizierung von KI-Systemen auf diese Weise zu gestalten, um Sicherheit, Transparenz und Nachhaltigkeit zu erhöhen und diskriminierende KI-Praktiken zu verhindern.
Es ist von entscheidender Bedeutung, dass Arbeitgeber proaktive Schritte unternehmen, um die Einhaltung des Gesetzes sicherzustellen, um erhebliche Geldstrafen, rechtliche oder regulatorische Maßnahmen und Reputationsschäden zu vermeiden.
Anwendbarkeit des Gesetzes
Das Gesetz gilt für Anbieter von KI-Systemen, die auf dem EU-Markt tätig sind, unabhängig davon, wo sie ansässig sind. Es betrifft auch Anbieter und Benutzer von KI-Systemen, die außerhalb der EU ansässig sind, wenn die Ausgaben des KI-Systems in der EU verwendet werden. Beispielsweise fällt die Nutzung eines KI-Rekrutierungstools im Vereinigten Königreich für Rekrutierungen in einem Unternehmen in der EU unter den Anwendungsbereich des Gesetzes.
Risikokategorien
Das Gesetz versucht, KI-Anwendungen in verschiedene Risikokategorien zu klassifizieren, die sich in ihrer Schwere von „minimalem Risiko“ und „begrenztem Risiko“ bis hin zu „hohem Risiko“ und „inakzeptablem Risiko“ steigern. Unter dem Gesetz bleiben „minimale Risiko“-KI-Systeme (die die meisten derzeit auf dem EU-Markt verfügbaren KI-Systeme umfassen) unreguliert. „Begrenzte Risiko“-Systeme unterliegen leichten Verpflichtungen, um sicherzustellen, dass die Benutzer wissen und verstehen, dass sie mit KI interagieren.
Für „hohe Risiko“- und „inakzeptable Risiko“-Systeme gelten jedoch viel strengere Vorschriften. Die maximale Geldstrafe für die Nichteinhaltung beträgt entweder 35 Millionen Euro oder bis zu 7 % des weltweiten Jahresumsatzes eines Unternehmens des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
Hohe Risiko-KI-Systeme
Zu den hohen Risiko-KI-Systemen gehören solche, die zur Kategorisierung von Personen basierend auf ihren biometrischen Daten verwendet werden (z. B. KI, die in der Videoüberwachung eingesetzt wird); für Bildung und Schulung (z. B. KI, die erratisches Verhalten von Schülern während Prüfungen erkennt); im Beschäftigungsbereich (z. B. KI, die in HR-Entscheidungen oder während des Onboardings oder Rekrutierungsprozessen verwendet wird); und zur Verwaltung der Justiz (z. B. KI, die in alternativen Streitbeilegungsverfahren verwendet wird).
Ein System qualifiziert sich nur dann als hochriskant, wenn es ein signifikantes Risiko für Gesundheit, Sicherheit oder grundlegende Rechte darstellt. Systeme, die lediglich eine enge Verfahrensaufgabe ausführen oder zur Verbesserung des Ergebnisses einer zuvor abgeschlossenen menschlichen Aktivität bestimmt sind, fallen nicht unter die hohe Risikoklassifikation.
Inakzeptable Risiko-KI-Systeme
Das Gesetz hat inakzeptable Risiko-KI-Systeme seit dem 2. Februar 2025 verboten. Es gibt acht KI-Systeme, die aufgrund ihrer erheblichen Bedrohung für Benutzer und die Gesellschaft insgesamt verboten sind. Dazu gehören Systeme, die sozial bewerten (z. B. Nutzer oder Gruppen von Nutzern basierend auf Persönlichkeitsmerkmalen und in der Folge nachteilige oder ungünstige Behandlung bewirken), die Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen sowie die Verwendung biometrischer Informationen für Kategorisierungssysteme, die sensible Attribute ableiten (z. B. Geschlecht, Religion, Ethnie).
Was müssen Arbeitgeber tun?
Wenn Ihr Unternehmen oder ein Teil davon in den Anwendungsbereich des Gesetzes fällt, sollten Sie jetzt Maßnahmen ergreifen, um Ihre Verpflichtungen gemäß dem Gesetz zu erfüllen:
- Audits: Erwägen Sie die Durchführung eines Audits der KI-Systeme, die Sie derzeit verwenden, um festzustellen, ob sie in die Kategorien „inakzeptables Risiko“ oder „hohes Risiko“ fallen. Wenn KI-Systeme in diesen Kategorien identifiziert werden, sollten Sie diese umgehend abbauen oder ändern, um die Konsequenzen der Nichteinhaltung zu vermeiden.
- Richtlinien: Implementieren Sie KI-Governance-Richtlinien, um klar zu umreißen, wie Mitarbeiter KI verantwortungsbewusst nutzen sollten, um die Vorgaben des Gesetzes einzuhalten.
- Schulung: Erwägen Sie Schulungen zur Nutzung von KI, um Mitarbeitern die Herausforderungen, Risiken und Chancen, die KI mit sich bringt, sowie ihre Rolle und Verantwortung näherzubringen.
- Lieferantenkonformität: Wenn Sie Drittanbieter für Ihre KI-Systeme nutzen (z. B. für KI im Recruiting), stellen Sie sicher, dass der KI-Anbieter die Vorgaben des Gesetzes einhält, und überprüfen Sie Ihre Lieferantenverträge, um sicherzustellen, dass die Haftung für die Nichteinhaltung bei ihnen liegt.
Indem Arbeitgeber jetzt positive Maßnahmen ergreifen, um die Einhaltung des Gesetzes sicherzustellen, können sie eine menschenzentrierte Unternehmenskultur aufrechterhalten und erhebliche Geldstrafen sowie Reputationsschäden vermeiden.
