AI Act, Leitfaden für Unternehmen / Einhaltung des AI Act: Ein Leitfaden für Unternehmen

Was ist der AI Act?

Der Artificial Intelligence Act (AI Act) ist eine EU-Verordnung, die darauf abzielt, harmonisierte Vorschriften für den Einsatz von Künstlicher Intelligenz (KI) in der Europäischen Union zu schaffen. Der AI Act wurde am 12.7.2024 im Amtsblatt der EU veröffentlicht und tritt am 1.8.2024 in Kraft. Die meisten Regeln sind nach 2 Jahren anwendbar, einige schon früher.

Was ist das Ziel des AI Act?

Das Hauptziel des AI Act ist es, ein hohes Maß an Sicherheit und Schutz der Grundrechte bei der Nutzung von KI-Systemen zu gewährleisten. Dies soll erreicht werden durch:

• Risikobasierter Ansatz: KI-Systeme werden nach ihrem Risiko für die Grundrechte, Sicherheit und Gesundheit natürlicher Personen kategorisiert.
• Transparenz und Überwachung: Sicherstellung der Transparenz und Nachvollziehbarkeit von KI-Systemen.
• Innovationsförderung: Förderung der Entwicklung und Nutzung von KI durch klare und einheitliche Regeln.

Welche Unternehmen betrifft der AI Act?

Der AI Act betrifft eine Vielzahl von Akteuren, darunter:

• Anbieter: Juristische Personen, Behörden, Einrichtungen oder sonstige Stellen, die KI-Systeme entwickeln oder entwickeln lassen, um sie in der EU in Verkehr zu bringen oder in Betrieb zu nehmen.
• Nutzer:innen: Natürliche oder juristische Personen, die KI-Systeme innerhalb der EU verwenden.
• Importierende (Unternehmen) und Händler: Subjekte, die KI-Systeme in die EU einführen oder auf dem EU-Markt bereitstellen.

Die Verordnung gilt auch für Unternehmen außerhalb der EU, wenn ihre KI-Systeme auf den EU-Markt ausgerichtet sind.

Risikoklassen von KI-Anwendungen

Der AI Act klassifiziert KI-Systeme basierend auf ihrem Risiko für die Sicherheit, Gesundheit und Grundrechte von Personen. Die Risikoklassen sind:

1. Unannehmbare Risiken

   • Beschreibung: KI-Systeme, die ein unannehmbares Risiko darstellen, sind verboten.
   • Beispiele: Systeme, die soziale Bewertung durch Behörden ermöglichen, oder Systeme, die Menschen manipulieren oder ausnutzen.

2. Hochrisiko-KI-Systeme

   • Beschreibung: Diese Systeme haben ein hohes Risiko und unterliegen strengen Anforderungen.
   • Beispiele: KI-Systeme in kritischen Infrastrukturen, Bildung, Beschäftigung, Strafverfolgung, Migration, Asyl und Grenzkontrolle, Verwaltung von Justiz und demokratischen Prozessen.

   Anforderungen:

   • Risikomanagementsysteme
   • Hohe Qualität der Datensätze
   • Transparenz und Dokumentation
   • Menschliche Aufsicht
   • Robustheit, Genauigkeit und Cybersicherheit

3. Begrenzte Risiken

   • Beschreibung: Systeme mit begrenztem Risiko müssen Transparenzanforderungen erfüllen.
   • Beispiele: Chatbots, die als solche identifiziert werden müssen.

   Anforderungen:

   • Transparenzpflichten (z.B. Benutzer:innen müssen informiert werden, dass sie mit einem KI-System interagieren)

4. Minimale oder keine Risiken

   • Beschreibung: Systeme mit minimalem Risiko unterliegen keinen spezifischen Anforderungen:
   • Beispiele: KI-gestützte Videospiele oder Spamfilter.

Checkliste zur Einhaltung des AI Act

1. Kategorisierung und Risikobewertung

   • Identifikation von KI-Systemen

     • Frage: Haben Sie alle KI-Systeme in Ihrem Unternehmen identifiziert?
     • To Do: Führen Sie eine vollständige Inventarisierung aller eingesetzten KI-Systeme durch.

   • Risikoklassifizierung

     • Frage: Haben Sie Ihre KI-Systeme nach den Risikokategorien des AI Act klassifiziert (unannehmbar, hoch, begrenzt, minimal)?
     • To Do: Bestimmen Sie das Risiko jedes KI-Systems gemäß den Vorgaben des AI Act. Eine Möglichkeit der Kategorisierung besteht in dem "Compliance Checker" der EU.

2. Technische und organisatorische Maßnahmen

   • Risikomanagementsystem

     • Frage: Haben Sie ein Risikomanagementsystem für Ihre KI-Systeme implementiert?
     • To Do: Entwickeln und implementieren Sie ein System zur Identifikation, Bewertung und Minderung von Risiken.

   • Daten-Governance

     • Frage: Haben Sie Verfahren zur Daten-Governance und Qualitätskontrolle für Trainings-, Validierungs- und Testdatensätze etabliert?
     • To Do: Stellen Sie sicher, dass Ihre Datensätze den Anforderungen an Qualität und Integrität entsprechen.

   • Transparenz und Dokumentation

     • Frage: Haben Sie angemessene technische Dokumentation für Ihre KI-Systeme erstellt?
     • To Do: Dokumentieren Sie die Funktionsweise, Entscheidungsprozesse und Sicherheitsmaßnahmen Ihrer KI-Systeme.

   • Protokollierung und Überwachung

     • Frage: Haben Sie Mechanismen zur automatischen Protokollierung von Vorgängen und Ereignissen implementiert?
     • To Do: Implementieren Sie Systeme zur Überwachung und Protokollierung der Aktivitäten Ihrer KI-Systeme.

3. Compliance und rechtliche Anforderungen

   • Regelmäßige Audits

     • Frage: Führen Sie regelmäßige Audits zur Überprüfung der Einhaltung des AI Act durch?
     • To Do: Planen und führen Sie interne und externe Audits durch, um die Compliance sicherzustellen.

   • Meldung von Vorfällen

     • Frage: Haben Sie Verfahren zur Meldung von Sicherheitsvorfällen an die zuständigen Behörden etabliert?
     • To Do: Entwickeln Sie Prozesse zur schnellen und effektiven Meldung von Vorfällen.

   Tipp:

   Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentra...