Die Nutzung von Künstlicher Intelligenz (KI) in Unternehmen ist längst keine Zukunftsvision mehr, sondern gelebte Realität. Mit dem AI-Act/der KI-Verordnung (Verordnung (EU) 2024/1689) hat die EU eine Verordnung geschaffen, die die Nutzung von KI europaweit regelt. Ziel ist es, Innovation zu fördern und Risiken für Verbraucher und Unternehmen zu minimieren. Aber welche Pflichten bringt der AI-Act konkret mit sich? In diesem Beitrag erklären wir, was Unternehmen beachten müssen, und geben praxisnahe Tipps, um rechtlich auf der sicheren Seite zu bleiben.

Was ist der AI-Act und warum ist er wichtig?

Der AI-Act ist die erste umfassende Regulierung für Künstliche Intelligenz weltweit. Er soll sicherstellen, dass KI-Systeme verantwortungsvoll eingesetzt werden, und schafft dafür einheitliche Standards innerhalb der EU. Die Verordnung unterscheidet zwischen vier Risikoklassen, die die Pflichten der Unternehmen bestimmen:

1. Unzulässige KI-Systeme: Systeme, die Grundrechte verletzen, wie z. B. manipulative Technologien oder Social Scoring.
2. Hochriskante KI-Systeme: Anwendungen in sicherheitskritischen Bereichen wie Medizin, Bildung oder Strafverfolgung.
3. Limitierte Risiken: Systeme mit geringen Auswirkungen, z. B. Chatbots oder KI-gestützte Empfehlungssysteme.
4. Minimale Risiken: Technologien, die keinen wesentlichen Risiken unterliegen, wie Spamfilter.

Grundsätzlich gilt: Je höher das Risiko, desto strenger sind die Anforderungen.

Pflichten bei hochriskanten KI-Systemen

Für hochriskante Systeme sind die Anforderungen am umfangreichsten:

• Risikomanagementsysteme: Unternehmen müssen potenzielle Gefahren analysieren und Maßnahmen ergreifen, um diese zu minimieren.
• Transparenzpflichten: Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren.
• Datensicherheit: Trainingsdaten müssen repräsentativ, korrekt und frei von Diskriminierungen sein.
• Überwachung und Dokumentation: Regelmäßige Kontrollen und Berichte über den Betrieb des Systems sind Pflicht.

Beispiel: Ein Krankenhaus setzt eine KI zur Diagnoseunterstützung ein. Es muss unter anderem sicherstellen, dass die zugrunde liegenden Daten frei von Vorurteilen sind und Ärzte die Entscheidungen der KI nachvollziehen können.

Pflichten bei KI-Systemen mit limitierten Risiken

Auch für Systeme mit begrenztem Risiko gelten gewisse Vorgaben:

• Hinweispflichten: Verbraucher müssen wissen, wenn sie mit einer KI interagieren, z. B. bei Chatbots.
• Ethische Grundsätze: Die Systeme dürfen nicht täuschen oder manipulieren.

Beispiel: Ein Online-Shop verwendet eine KI-basierte Produktempfehlung. Es reicht, den Einsatz der KI in den Allgemeinen Geschäftsbedingungen zu erwähnen.

Allgemeine Pflichten für alle KI-Systeme

Unabhängig von der Risikoklasse gelten allgemeine Vorgaben:

• Datenschutz: Unternehmen müssen die Datenschutz-Grundverordnung (DSGVO) einhalten.
• Verantwortlichkeit: Die Implementierung von KI-Systemen muss unter Berücksichtigung ethischer und rechtlicher Standards erfolgen.

Wie können sich Unternehmen vorbereiten?

Die neuen Regelungen des AI-Acts erfordern rechtzeitiges Handeln:

1. Bestandsaufnahme: Welche KI-Systeme nutzt Ihr Unternehmen bereits? Welche sind geplant?
2. Risikoklassen prüfen: Zu welcher Kategorie gehören Ihre Anwendungen?
3. Interne Prozesse anpassen: Implementieren Sie ein Risikomanagementsystem und schulen Sie Ihre Mitarbeitenden.
4. Rechtsberatung einholen: Rechtliche Unterstützung ist essenziell, um alle Anforderungen zu erfüllen.

Unser Themenschwerpunkt zum Thema „KI im Unternehmen“

Die Nutzung von KI eröffnet Unternehmen spannende Möglichkeiten, wirft jedoch auch viele rechtliche Fragen auf. Unsere Themenseite „KI im Unternehmen“ bietet Ihnen umfassende Informationen und praktische Tipps, wie Sie KI sicher und effektiv einsetzen können.