Zum Hauptinhalt springen

EU-Gesetz zur künstlichen Intelligenz

Was bedeutet diese bahnbrechende Verordnung für Schweizer Unternehmen?

 

Das EU-KI-Gesetz, das erste umfassende KI-Gesetz der Welt, wird 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU am 12. Juli 2024, also am 1. August 2024, in Kraft treten. Das Gesetz wird schrittweise umgesetzt, und Unternehmen, auch in der Schweiz, werden mit umfangreichen neuen Compliance-Anforderungen konfrontiert. Dieses Gesetz wird sich erheblich darauf auswirken, wie Unternehmen KI-Systeme entwickeln, einsetzen und verwalten und sicherstellen, dass sie den strengen regulatorischen Standards entsprechen. Dieser Artikel bietet einen detaillierten Überblick darüber, was Unternehmen wissen müssen und wie sie sich vorbereiten können.

Das EU-KI-Gesetz legt einen umfassenden Rahmen fest, um die potenziellen Risiken von KI-Systemen anzugehen. Unter Verwendung einer weit gefassten Definition von KI legt die Gesetzgebung umfangreiche Anforderungen fest und sieht erhebliche Strafen für die Nichteinhaltung vor.

Definition eines KI-Systems

 

Das EU-KI-Gesetz definiert ein KI-System als "ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operiert und das nach dem Einsatz Anpassungsfähigkeit zeigen kann, und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generieren kann, die physische oder virtuelle Umgebungen beeinflussen können". Die weit gefasste Definition soll ein breites Spektrum von KI-Technologien und -Anwendungen abdecken, von einfachen automatisierten Systemen bis hin zu komplexeren, selbstlernenden Algorithmen.
 

Das Gesetz führt einen risikobasierten Ansatz ein, der KI-Systeme auf der Grundlage ihres Anwendungsfalls kategorisiert und je nach Risikokategorie Anforderungen festlegt. Das Gesetz grenzt KI-Modelle für allgemeine Zwecke ab, für die andere Regeln gelten.

Der risikobasierte Ansatz

 

  1. Inakzeptables Risiko - verbotene Praktiken: Diese KI-Systeme sind aufgrund der Bedrohung, die sie für die Gesellschaft, die Sicherheit der Menschen oder die Grundrechte darstellen, verboten. Beispiele hierfür sind soziale Bewertungssysteme, kognitive Verhaltensmanipulationen von gefährdeten Gruppen oder biometrische Echtzeit-Identifikationssysteme im öffentlichen Raum (mit einigen begrenzten Ausnahmen für die Strafverfolgung).
  2. Hochriskante KI-Systeme: Diese KI-Systeme stellen ein erhebliches Risiko für die Gesundheit, die Sicherheit oder die Grundrechte dar, zum Beispiel: viele Anwendungen in der Rekrutierung, der Strafverfolgung oder der kritischen Infrastruktur. Sie unterliegen strengen Anforderungen und müssen vor der Markteinführung Konformitätsbewertungen durchlaufen.
  3. Begrenztes Risiko - Transparenzpflichten: Diese KI-Systeme unterliegen nur den Transparenzpflichten. Die Nutzer müssen darauf hingewiesen werden, dass sie mit KI interagieren, zum Beispiel mit Chatbots oder Deepfakes.
  4. Andere Risiken: Diese KI-Systeme fallen nicht unter die Verpflichtungen des Gesetzes. Beispiele für solche Systeme sind Spam-Filter, Inventarverwaltungssysteme oder KI-gesteuerte Videospiele.

KI-Modelle und -Systeme für allgemeine Zwecke

 

General-Purpose Artificial Intelligence (GPAI) bezieht sich auf KI, die in der Lage ist, mit signifikanter Allgemeinheit zu operieren und ein breites Spektrum an unterschiedlichen Aufgaben auszuführen. Das EU-KI-Gesetz unterscheidet zwischen GPAI-Modellen, wie dem GPT-4 von OpenAI, und GPAI-Systemen , die diese Modelle nutzen. Beispiele für GPAI-Systeme sind virtuelle persönliche Assistenten wie Apple Siri oder Übersetzungsdienste wie Google Translate. Das KI-Gesetz erlegt den Anbietern von GPAI-Modellen mit systemischem Risiko aufgrund ihrer hochwirksamen Fähigkeiten, wie OpenAI für GPT-4, Verpflichtungen auf. GPAI-Systeme, die auf einem GPAI-Modell aufbauen, werden separat bewertet und können in jede Risikokategorie fallen. Ein Assistenz-Chatbot, der auf GPT-4 aufbaut, fällt zum Beispiel in die Kategorie "begrenztes Risiko" und muss nur die Transparenzanforderungen erfüllen.

Kategorien von Einrichtungen, die das AI-Gesetz einhalten müssen

 

Das Gesetz definiert verschiedene Arten von Einrichtungen wie Anbieter, Bereitsteller, Importeure, Händler, Produkthersteller und Bevollmächtigte, die unterschiedliche Anforderungen erfüllen müssen. Die Anbieter, die KI-Systeme entwickeln und auf dem EU-Markt platzieren, sind in erster Linie für die Einhaltung der Vorschriften verantwortlich. Bereitsteller, die KI-Systeme in ihren Betrieben einsetzen, müssen besondere Verpflichtungen einhalten, insbesondere für KI-Systeme mit hohem Risiko und mit begrenztem Risiko.

Extraterritoriale Auswirkungen des EU-KI-Gesetzes: Wie wirkt es sich auf Schweizer Unternehmen aus?

 

Für Unternehmen mit Sitz ausserhalb der EU, einschliesslich der Schweiz, gilt das EU AI-Gesetz, wenn sie:

  • Entwicklung oder Bereitstellung von KI-Systemen, die innerhalb der EU verwendet werden
  • Verwendung von KI-Systemen, die in der EU produziert werden oder sich auf Personen in der EU auswirken
  • KI-Systeme in den EU-Markt exportieren

Strafen - Je höher die Risikokategorie, desto höher die Strafe

Die Strafregelung des AI-Gesetzes basiert auf der Art des Verstosses, wobei die Geldbussen je nach Risikokategorie steigen. Einfach ausgedrückt: Je höher die Risikokategorie, desto höher die Geldstrafe. Das Gesetz sieht ein dreistufiges System von Strafen vor, die sich nach der Schwere des Verstosses richten:

Hier sind sechs Schritte, die wir identifiziert haben, um Ihr Unternehmen für das KI-Gesetz fit zu machen

Wenn Sie mehr über das EU-KI-Gesetz und seine Auswirkungen auf Schweizer Unternehmen erfahren möchten, zögern Sie bitte nicht, uns zu kontaktieren.

Fanden Sie dies hilfreich?

Vielen Dank für Ihr Feedback