EU AI Act
08.08.2024, 09:10 Uhr
Wie man dem KI-Gesetz entgeht
Künstliche Intelligenz bietet viele Vorteile, bringt aber auch Gefahren mit sich. Die EU hat nicht lange gezögert und mit dem «AI Act» eine neue Gesetzgebung eingeführt. Was bedeutet das für Schweizer Unternehmen?
(Quelle: Shutterstock/CoreDESIGN)
Wer sich aktuell mit KI-Regulierung beschäftigt, kommt nicht um die Verordnung über künstliche Intelligenz («KI Gesetz») der EU herum. Sie soll spätestens im 3. Quartal 2024 in Kraft treten, mit Übergangsfristen für die Erfüllung der verschiedenen Anforderungen. Während sich die meisten Beiträge aktuell damit beschäftigen, was Unternehmen tun müssen, um rechtskonform zu bleiben, möchte ich mich der Frage widmen, wie man dem KI-Gesetz entgehen kann.
Worum geht es?
Kurz gesagt müssen Anbieter von Hochrisiko-KI-Systemen künftig zahlreiche Anforderungen erfüllen, von KI Governance bis KI-Qualität. Bei Verstössen drohen empfindliche Geldstrafen und sogar der Zwang, KI-Systeme vom Markt zu nehmen. Für Schweizer Unternehmen ist das KI-Gesetz insofern relevant, als es auch auf Anbieter und Betreiber von KI-Systemen Anwendung findet, die ausserhalb der EU domiziliert sind, sofern die von den KI-Systemen produzierten Ergebnisse zur Verwendung in der EU gedacht sind (1).
Wer ist betroffen?
Das KI-Gesetz gilt für Anbieter und Betreiber, aber auch für Händler und Importeure von KI-Systemen. Anbieter sind Personen oder Unternehmen, die KI-Systeme entwickeln (oder entwickeln lassen) und auf den Markt bringen (2). Als Importeure gelten Personen, die KI-Systeme von Anbietern ausserhalb der EU in der EU in Verkehr bringen (2). Betreiber schliesslich verwenden KI-Systeme eines Anbieters in eigener Verantwortung und zu gewerblichen Zwecken (2).
Was gilt als KI-System?
Es ist fast einfacher zu beschreiben, was nicht als KI-System gilt: nämlich Systeme, die nach Regeln, die ein Mensch festgelegt hat, automatisiert Prozesse ausführen. Solche regel-basierten Systeme sind berechenbar und verändern sich nicht autonom(3). Im Übrigen ist aber der Begriff KI-System im KI-Gesetz bewusst weit gefasst und umfasst alle Systeme, die mit einer oder mehreren Techniken und Konzepten gemäss Anhang I entwickelt wurden. Das KI-Gesetz findet sodann keine Anwendung auf KI-Systeme, die ausschliesslich für militärische bzw. Verteidigungszwecke genutzt werden, oder deren alleiniger Zweck wissenschaftliche Forschung und Entwicklung ist. Die Nutzung von KI-Systemen zu privaten (nicht-gewerblichen) Zwecken fällt ebenfalls nicht in den Anwendungsbereich des KI-Gesetzes (3).
Wie sind KI-Systeme reguliert?
KI-Systeme, die nur einen, spezifischen Verwendungszweck haben (Single-Purpose) gelten als minimal riskant und unterliegen keinen Vorgaben, wenn sie rein administrative oder interne Zwecke erfüllen, wie Spamfilter oder Predictive Maintenance Systeme (3). Begrenzt riskant sind KI-Systeme, die mit Menschen interagieren, z.B. Chatbots oder Empfehlungssysteme; sie unterliegen bestimmten Transparenzpflichten, wie Kennzeichnung von KI Chatbots und KI-generierten Inhalten oder von Deepfakes (3).
Sobald KI-Systeme Produkte betreffen, die EU Sicherheitsvorschriften unterliegen (wie Maschinen, Spielzeug, Luftfahrt- und Fahrzeugtechnik oder medizinische Geräte), oder Bereiche, die unter Anhang III des KI-Gesetzes fallen (z.B. Verwaltung, Bildung, Biometrik, kritische Infrastrukturen, Arbeitsverhältnis, Kreditprüfung), befindet man sich im Hochrisiko-Bereich mit strengeren Anforderungen, etwa mit Bezug auf die Datenqualität, Transparenz, Dokumentation, Sicherheit und menschliche Aufsicht (3).
KI-Systeme, die allgemeinen Verwendungszwecken dienen, wie zum Beispiel GPT-4 von Open AI, sind generell reguliert und unterliegen in jedem Fall Transparenzpflichten; wenn sie erhebliche Auswirkungen haben können (was anhand der für das Training erforderlichen Rechenleistung beurteilt wird), gelten zusätzliche Pflichten (3).
Zu den verbotenen KI-Systemen zählen Systeme zur biometrischen Kategorisierung, die auf besondere schützenswerten Personendaten basieren, oder Systeme, die ungezielt Gesichtsbilder für Gesichtserkennung erfassen. Aber auch Systeme, die am Arbeitsplatz oder in Bildungseinrichtungen Emotionen erkennen und Social Scoring-Systeme sind illegal. Verboten sind zudem Systeme, die das Verhalten von Menschen manipulieren, oder die Schwächen bestimmter Personengruppen ausnutzen (3).
Was sind die Schlussfolgerungen?
Die gute Nachricht vorab: Wer sich als Unternehmen mit seinen Angeboten auf das Gebiet der Schweiz beschränkt und auch den Output eines KI-Systems nicht in der EU nutzen lässt, entkommt dem Anwendungsbereich des KI-Gesetzes. Wenn sich ein Bezug zur EU nicht vermeiden lässt, ist der einfachste Weg dem KI-Gesetz zu entgehen, kein KI-System (sondern eben nur ein regelbasiertes System) anzubieten, oder es zumindest nicht für gewerbliche Zwecke zu betreiben. Unbescholten bleiben auch Anbieter von KI-Systemen im militärischen oder wissenschaftlichen Bereich.
Wer sich ausserhalb dieses Rahmens bewegt, kann zumindest versuchen, nur KI-Systeme mit minimalem oder begrenztem Risiko anzubieten und die entsprechenden Transparenzpflichten zu erfüllen. Auf jeden Fall ist es hilfreich, sich als KI-Anbieter in der EU einer Selbstregulierung anzuschliessen, zumal das KI-Gesetz solche explizit fördern möchte (3).
EU AI Act
Weitere Informationen
Das EU-Gesetz zur künstlichen Intelligenz (EU AI Act):
https://artificialintelligenceact.eu/de
https://artificialintelligenceact.eu/de
ISO-Norm für Managementsystem für künstliche Intelligenz (ISO/IEC 42001):
https://www.iso.org/standard/81230.html
Quellen:
(1) Meier, K., Spichiger, R. (2024). Das Gesetz über Künstliche Intelligenz der EU: Auswirkungen auf Unternehmen.
https://www.ey.com/de_ch/forensic-integrity-services/the-eu-ai-act-what-it-means-for-your-business
https://www.ey.com/de_ch/forensic-integrity-services/the-eu-ai-act-what-it-means-for-your-business
(2) Globocnik, Jure. (2024). Der europäische AI Act (KI-Verordnung). https://www.activemind.legal/de/guides/ai-act/
(3) Deloitte. (2024). EU AI Act: Das KI-Gesetz der Europäischen Union. https://www2.deloitte.com/de/de/pages/data/articles/european-ai-act.html
Autor(in)
Matthias
Ebneter
Kommentare
Es sind keine Kommentare vorhanden.