AI Act

Bereit für den AI Act? Auf diese Punkte müssen Unternehmen jetzt achten

, Varonis | Autor: Volker Sommer

Bereit für den AI Act? Auf diese Punkte müssen Unternehmen jetzt achten

Von Volker Sommer, Regional Sales Director DACH & EE von Varonis Systems

Wie schon beim Datenschutz mit der DSGVO, möchte die EU auch im Bereich der künstlichen Intelligenz durch den AI Act einen rechtlichen Rahmen zum Schutz ihrer Bürger schaffen. Das weltweit erste umfassende Regelwerk für KI soll dabei Vertrauen und Akzeptanz in die Technologie stärken und Innovation ermöglichen. Unternehmen, die KI einsetzen, sollten sich schon jetzt auf das neue Gesetz vorbereiten. Das EU-KI-Gesetz klassifiziert Systeme nach dem Risiko, das sie für die Anwender darstellen. Für jede der vier Risikostufen (inakzeptabel, hoch, begrenzt und minimal/kein Risiko) gilt eine eigene Regulierungsstufe. Der Schwerpunkt des EU-KI-Gesetzes liegt dabei auf inakzeptablen und hochriskanten KI-Systemen.

Inakzeptable Praktiken

KI-Systeme, die als inakzeptabel eingestuft werden, stellen eine eindeutige Bedrohung für Menschen dar und entsprechen nicht den Werten der EU. Hierunter fallen beispielsweise:

  • Kognitive Verhaltensmanipulation von Menschen oder bestimmten gefährdeten Gruppen: z. B. sprachgesteuertes Spielzeug, das gefährliches Verhalten bei Kindern fördert
  • Social Scoring: Klassifizierung von Menschen aufgrund von Verhalten, sozioökonomischem Status oder persönlichen Merkmalen
  • Biometrische Identifizierung und Kategorisierung von Personen
  • Biometrische Identifikationssysteme in Echtzeit und aus der Ferne, z. B. Gesichtserkennung

Diese inakzeptablen KI-Systeme werden innerhalb von sechs Monaten nach Inkrafttreten des EU-KI-Gesetzes verboten, mit einigen Ausnahmen für Strafverfolgungszwecke.

Hochriskante KI-Systeme

Hochrisiko-KI-Systeme haben negative Auswirkungen auf die Sicherheit oder die Grundrechte und werden in zwei Kategorien eingeteilt:

  1. KI-Systeme, die in Produkten verwendet werden, die unter die EU-Rechtsvorschriften zur Produktsicherheit fallen. Hierzu gehören beispielsweise Spielzeug, Autos und medizinische Geräte.
  2. KI-Systeme, die in bestimmten Bereichen eingesetzt werden, die in einer EU-Datenbank registriert werden müssen, z. B. Verwaltung und Betrieb kritischer Infrastrukturen, allgemeine und berufliche Bildung sowie Migrations-, Asyl- und Grenzkontrollmanagement.

KI-Systeme mit hohem Risiko müssen vor dem Markteintritt und während ihres gesamten Einsatzes bewertet werden. Die Bürger haben das Recht, Beschwerden über diese Systeme einzureichen. Diese Anforderungen und Verpflichtungen gelten 36 Monate nach dem Inkrafttreten des EU-KI-Gesetzes.

Generative KI-Systeme

Generative KI-Tools wie Microsoft Copilot und ChatGPT werden nicht als hohes Risiko eingestuft, erfordern aber die Einhaltung von Transparenzanforderungen und EU-Urheberrechtsgesetzen. Dies beinhaltet:

  • Eindeutige Offenlegung, wenn Inhalte durch KI generiert werden, damit die Endnutzer dies wissen
  • Gestaltung des Modells, damit es keine illegalen Inhalte erzeugen kann
  • Veröffentlichung von Zusammenfassungen der für das Training verwendeten urheberrechtlich geschützten Daten

KI-Modelle mit allgemeinem Verwendungszweck müssen zudem eine gründliche Bewertung bestehen. Darüber hinaus müssen schwerwiegende Vorfälle der Europäischen Kommission gemeldet werden. Diese Anforderungen gelten 12 Monate nach Inkrafttreten des EU-KI-Gesetzes.

6 Schritte zur sicheren KI-Nutzung

Fast jedes Unternehmen setzt mittlerweile in irgendeiner Form künstliche Intelligenz ein. Deshalb sollten Sie schon jetzt aktiv werden und die tatsächliche Nutzung identifizieren und sich auf die Umsetzung vorbereiten.

  1. Bewerten Sie Ihren KI-Einsatz: Verschaffen Sie sich zunächst einen Überblick über den Einsatz von KI in Ihrem Unternehmen. Welche KI-Systeme sind im Einsatz? Und wer nutzt sie wie?
  2. Schätzen Sie Ihr Risiko ein: Führen Sie eine Risikobewertung durch, um den Einsatz von KI in Ihrem Unternehmen zu beurteilen. Ordnen Sie dieses Risiko den Kategorien des EU-KI-Gesetzes zu: inakzeptables Risiko, hohes Risiko, begrenztes Risiko, minimales und kein Risiko.
  3. Schützen Sie die zugrunde liegenden Daten: Unabhängig von der Anwendung sind KI-Systeme auf Daten angewiesen. Stellen Sie sicher, dass die zugrunde liegenden Daten effektiv geschützt sind. Dies gilt insbesondere für sensitive Daten wie personenbezogene Informationen. Die Einhaltung der DSGVO und des EU-KI-Gesetzes sind eng miteinander verbunden.
  4. Gewinnen Sie vollen Einblick in die Nutzung von KI: Ohne eine umfassende Transparenz ist es unmöglich, Risiken zu minimieren. Implementieren Sie Prozesse, um vollständig zu verstehen, wie KI in Ihrem Unternehmen eingesetzt wird und was sie tatsächlich leistet.
  5. Überwachen Sie die Nutzung: Kontrollieren Sie kontinuierlich KI-bezogene Risiken. Überwachen Sie die Nutzung auf ungewöhnliche Verhaltensweisen, die darauf hindeuten, dass das KI-System oder die zugrunde liegenden Daten missbraucht oder ausgenutzt werden.
  6. Setzen Sie auf Automation im Bereich Sicherheit und Compliance: In komplexen Umgebungen mit einer wachsenden Anzahl von Benutzern und Daten können manuelle Sicherheits- und Compliance-Methoden nicht mithalten. Deshalb führt an einer intelligenten Automatisierung kein Weg vorbei.

Das KI-Gesetz scheint abstrakt und noch in weiter Ferne. Dennoch sollten sich Unternehmen schon jetzt damit auseinandersetzen und die nötigen Schritte einleiten. Nur auf diese Weise werden sie von den Vorteilen der künstlichen Intelligenz auch profitieren können – und das auf eine sichere Weise.