Das europäische KI-Gesetz kommt: Was bedeutet der AI Act für Unternehmen?

Update – 15. April 2024

Der Weg ist frei für das wichtigste Technologiegesetz, das die EU in ihrer Geschichte bisher auf den Weg gebracht hat: den Artificial Intelligence Act, kurz AI Act.

Das Rahmenwerk zur Regulierung von Künstlicher Intelligenz inklusive Generativer KI ist gestern vom Europäischen Parlament abgesegnet worden. Die Zustimmung vom Europäischem Rat gilt nur noch als Formsache. Nach Ostern bereits könnte das Gesetz in Kraft treten. Nachdem es zuletzt viele Diskussionen um Risiken und Grenzen von KI gab, stellt sich die Frage: Was bedeutet der AI Act für Unternehmen? Unsere FAQs zum AI Act liefern Orientierung in 12 Fragen und Antworten:

1. Wie ist der AI Act für Unternehmen generell zu bewerten?

Das Gesetzeswerk ist viel kritisiert worden, weil eine zu starke KI-Regulierung die europäische Wirtschaft gegenüber dem Rest der Welt benachteilige. Es würde Innovationen ausbremsen, warnen Kritiker, und dazu führen, dass – wie bei früheren Technologiesprüngen – auch nun wieder die wichtigen Anwendungen allein von den großen IT-Konzernen aus den USA und China entwickelt würden.
Diese Argumentation ignoriert jedoch, dass Regulierung – in einem angemessenen Maße – kein Hemmschuh ist: Im Gegenteil gibt sie der Wirtschaft rechtliche Sicherheit und damit strategische Klarheit, wo es lohnt zu investieren und welche Geschäftsmodelle Zukunft haben. Das zu betonen, wird auch Ursula von der Leyen, die Präsidentin der Europäischen Kommission, nicht müde:

„Die Einigung konzentriert die Regulierung auf erkennbare Risiken, schafft Rechtssicherheit und ebnet den Weg für Innovationen im Bereich der vertrauenswürdigen Künstliche Intelligenz.“

Ursula von der Leyen, EU-Kommissionspräsidentin

Als es Anfang des Jahres nochmals so schien, als scheitere innerhalb der deutschen Ampel-Koalition eine Zustimmung zum AI Act, kamen auch aus der Wirtschaft warnende Worte: Bitkom-Präsident Dr. Ralf Wintergerst etwa wies auf die „dringend notwendige Rechtssicherheit bei dieser wohl wichtigsten Zukunftstechnologie“ hin.

Dazu kommt das moralische Gebot, KI zu kontrollieren: Zu viele „Deep Fakes“ haben gezeigt, wie die Technologie missbraucht werden kann – man denke an Olaf Scholz’ angebliche AfD-Beschimpfungen, die Fake-Explosion am Pentagon oder Präsident Selenskyjs scheinbarer Aufruf zur Kapitulation der Ukraine. Das Ziel, die Menschheit vor gefährlichen Auswüchsen von KI zu schützen, ist im Gesetzestext daher auch vielfach sichtbar.

Insgesamt ist der AI Act der EU für Unternehmen ein wichtiger Meilenstein, um die Weiterentwicklung von verlässlicher und vertrauenswürdiger KI-Technologie zu fördern – und das kann nur im Sinne der Wirtschaft sein. Auch Google-Chef Sundar Pichai hat das dieser Tage erst wieder in einem FT-Gastbeitrag betont:

„Europe’s AI Act is an important development in balancing innovation and risk.“

Sundar Pichai, Google-CEO

2. Welche KI-Anwendungen werden im KI-Gesetz der EU reguliert?

Eine einfache White- oder Blackliste existiert nicht, daher sollte man die Grundidee des Gesetzes verstehen. Es sortiert KI-Anwendungen nach Risikokategorien:

  1. unkritische Anwendungen, die keiner Regulierung unterliegen. Hierunter dürften die meisten KI-Anwendungen fallen, die wir im Alltag gar nicht als solche im Blick haben – etwa Spamfilter oder Speech-to-Text-Funktionen am Handy.
  2. Anwendungen mit Transparenz- und Kennzeichnungspflicht – darunter fallen alle Anwendungen, die zur unmittelbaren Interaktion mit Menschen gedacht sind – z. B. alle Arten von Chatbots und damit auch viele der gängigen GenAI-Tools. Mehr dazu unten.
  3. Hoch-Risiko-KI, für die sehr klare Dokumentationspflichten gelten – in Unternehmen dürfte dies bspw. relevant werden im Personalbereich (siehe unten)
  4. unzulässige Anwendungen, die vollständig verboten sind (Art. 5). Darunter fallen in der EU etwa Social-Scoring-Systeme oder Gesichtserkennung zur Fernüberwachung. Ebenfalls verboten wird „Predictive Policing“ auf Basis persönlicher Merkmale wie der Hautfarbe, also der Einsatz von KI, um abzuschätzen, ob eine Person eine Straftat zukünftig begehen wird oder nicht. Der letztgenannte Case ist aus Firmensicht sicherlich nicht realistisch, er bringt aber den Geist des AI Acts zum Ausdruck: Niemand soll aufgrund des eigenen Ausssehens oder persönlicher Eigenschaften diskriminiert werden dürfen.

3. Was für KI-Systeme mit hohem Risiko gibt es in Unternehmen?

Unter Hoch-Risiko-KI fallen laut AI Act (Art. 6) Anwendungen, deren Einsatz „Gesundheit, Sicherheit oder Grundrechte von Menschen gefährden“ könnten. Unternehmen sollten hier vor allem auf KI im Kundenservice und im HR-Bereich schauen:

  • Im Kundenservice könnten KI-Systeme z. B. Reklamationen vorsortieren und – abhängig vom Kundenprofil – bewerten. Dies könnte Grundrechte betreffen, weil die KI hier gewisse Personen bevorzugen oder benachteiligen könnte.
  • Im HR-Bereich gilt ähnliches – im Recruiting wie auch in der Personalentwicklung: Man denke an einen KI-Bot, der als erste Instanz alle Bewerbungen screent und nur Kandidat:innen an die menschlichen HR-Kolleg:innen weiterreicht, die das System als geeignet ansieht. Gleiches ist bei der Entscheidung über Beförderungen oder bei der Leistungskontrolle von Arbeitnehmer:innen denkbar – im schlechtesten Fall bis hin zu disziplinarischen Maßnahmen, wo der Bot zumindest Empfehlungen aussprechen könnte.

All diese Anwendungen sind nicht verboten, aber es gibt klare Transparenz- und Dokumentationspflichten für Unternehmen.

Bevor der oben beschriebene Recruiting-Bot im HR-Team also eine Bewerbung zu lesen bekäme, müsste die oder der Kandidat:in dies zuvor erfahren und dem vermutlich sogar zustimmen. Weitere Vorgaben für den Betrieb von Hochrisiko-KI sind im AI Act beschrieben – etwa, dass immer menschliche Aufsicht und Eingriffe möglich sind.

4. Welche Transparenzanforderungen betreffen laut AI Act Unternehmen?

Wichtig sind vor allem zwei Kategorien von KI-Anwendungen, die der AI Act in Art. 52 nennt

  • Anwendungen, die für die Interaktion mit natürlichen Personen bestimmt sind, wie z. B. KI-basierte Chatbots. Sie müssen fortan so konzipiert sein, dass die Nutzer:innen erfahren, dass sie mit einem KI-System interagieren.
  • Anwendung, die „Deep Fakes“ produzieren. „Deep Fakes“ sind künstlich generierte Inhalte, die realen Menschen, Orten oder Dingen so präzise nachempfunden sind, dass man sie von diesen nicht oder kaum unterscheiden kann. Dies gilt explizit auch für Textinhalte. Solche Inhalte müssen fortan gekennzeichnet sein – wobei die Art der Kennzeichnung noch offen ist.

5. Muss man fortan alle mit KI erzeugten Inhalte kennzeichnen?

Diese Frage treibt viele unserer Kunden um, und die Antwort laut AI Act ist eindeutig: nein. Solange ein mit GenAI erstellter Inhalt kein Deep Fake (siehe oben) ist, gibt es gemäß der neuen EU-Gesetzgebung keine Kennzeichnungspflicht. Egal, ob Sie einen LinkedIn-Post mit ChatGPT erstellen, mit Midjourney Kampagnen-Visuals gestalten oder mit HeyGen Avatar-Videos – generell ausweisen müssen Sie das nicht.

Wir empfehlen unseren Kunden:innen dennoch, bei GenAI-Produkten sehr transparent zu sein – und das aus zwei Gründen:

  • zum einen, weil viele Nutzer:innen dies erwarten
  • zum anderen, weil es auch ein Statement für die eigene Modernität und damit ein Beitrag zum Markenimage sein kann, wenn man KI in der Creation einsetzt.

Wichtig zu wissen: Neben dem KI-Gesetz gibt es noch andere Rechtsvorschriften, die GenAI beeinflussen. Dazu zählen Persönlichkeitsrechte oder Urheberrechte – diese gelten natürlich weiterhin.

Für Anbieter von KI-Modellen wie Large Language Models (LLMs) hat der AI Act sogar nochmals die Regeln verschärft. Sie müssen in Zukunft über Strategien verfügen, dass sie das Urheberrecht beim Trainieren ihrer Modelle einhalten. Bisher, so zumindest die Sicht vieler Verlage, Autoren und Content-Datenbanken, haben Anbieter wie OpenAI die Urheberrechte ignoriert.

Wichtig aber auch hier: Diese Verschärfung betrifft nicht die Nutzer, auch keine professionellen Nutzer, sondern nur die Anbieter selbst.

6. Was gilt laut AI Act für Unternehmen hinsichtlich ihrer KonzernGPTs?

Viele Unternehmen haben in den vergangenen Monaten eigene Chatbots, sogenannte KonzernGPTs, entwickelt. In den meisten Fällen basieren sie auf ChatGPT – mit dem Vorteil, dass eingegebene Daten nicht über US-Server laufen oder zum Training des LLMs genutzt werden. Das ermöglicht eine DSGVO-konforme Nutzung.

Der AI Act thematisiert KonzernGPTs nicht ausdrücklich. Es gibt jedoch bereits Diskussionen unter Expert:innen, dass es sich bei den Weiterentwicklungen des GPTs ja nicht um eigene KI-Anwendungen handelt, sondern dass nur die eingegebenen Daten anders (nämlich datenschutzkonform) verarbeitet werden. Demnach würden daraus keine besonderen Verpflichtungen laut AI Act erwachsen.

Wenn Unternehmen jedoch eigene KI-Anwendungen wie Chatbots im Kundenservice oder Bilddatenbanken entwickeln, dann fallen diese definitiv auch unter den AI Act.

7. Gibt es im AI-Act Sonderregeln für die großen KI-Chatbots?

Die gibt es tatsächlich – allerdings nur für Hersteller und Betreiber, nicht – und das ist für Unternehmen wichtig – für Nutzer. Im Laufe der Entwicklung des AI Acts hat die Politik, getrieben durch den Erfolg von KI-Chatbots in 2023, nochmals separate Anforderungen für sogenannte General Purpose AI (GPAI) definiert – damit wird die reine Risikoklassifizierung aufgeweicht.

GPAIs sind demnach KI-Systeme, die verschiedene Aufgaben bewältigen können. Während manche GenAI-Tools spezielle Zwecke erfüllen, bspw. die Übersetzung von Text, sind GPAIs breiter angelegt. Das bekannteste GPAI ist ChatGPT, das diverse Importe verarbeiten kann – von Text über Bilder und Code bis zu Sprache – und auch unterschiedliche Medien ausgibt.

KI-Modd-Bild, erstellt in Dall-E von OpenAI, zum Thema Europaparlament in Brüssel und AI Act
Deep-Fake-Faktor gleich null: So uniform stellt sich Dall-E von OpenAI das Europaparlament in Brüssel nach Verabschiedung des AI Acts vor. Und wer findet den handwerklichen Fehler, den die Bild-KI reingebaut hat?

Für ihre Betreiber gelten besonders strenge Regeln, was Transparenz und Dokumentation angeht. Hier gibt es zwei Abstufungen: die „normalen GPAIs“ und solche, deren Gesamtrechenleistung besonders hoch ist. Aktuell liegt die Grenze bei – das als Detail für IT-Professionals – 1025 FLOPs. Vereinfacht gesagt sind FLOPs Rechenschritte pro Sekunde. Sie werden noch stärker reguliert.

Diese Sonderregelung zeigt, wie unsicher sich selbst die Expert:innen noch sind hinsichtlich der Risiken von Hochleistungs-KI: Fähigkeiten von Modellen mit mehr als 1025 FLOPs nämlich würden wir Menschen schlichtweg noch nicht ausreichend verstehen, so die Argumentation. Aktuell zählen nur die modernsten GPAIs in die Kategorie, nämlich OpenAIs GPT-4 sowie Google Gemini. Mehr dazu steht hier bei der Europäischen Kommission.

8. Schafft der AI Act endlich Klarheit, wie KI mit Urheber- und Nutzungsrechten umzugehen hat?

Jein. Ein derart umfassendes Gesetzeswerk hat nicht die Aufgabe, die konkreten juristischen Auslegungen im Detail zu definieren, aber es soll einen Rahmen setzen, in dem sich künftig Rechtssprechung bewegt. Und das tut der AI Act, gerade mit Blick auf GPAIs, also leistungsfähige Sprachmodelle. Der Entwurf sieht vor, dass Betreiber nicht nur den Trainings- und Testprozess des Modells offenlegen, sondern auch „die Art und Herkunft der Daten“ sowie, „wie die Daten erhalten und ausgewählt wurden“. Zudem müssen KI-Firmen laut Art. 52c sicherstellen, dass sie die Urheberrechte in der EU einhalten und Daten, welche die Eigentümer nicht freigeben wollen, auch garantiert nicht in ihre Modelle einfließen lassen.

„Urheberrechte in der EU einhalten“ klingt sehr absolut. Allerdings krankt die Forderung daran, dass schlichtweg noch nicht geklärt ist, ob GenAI-Tools überhaupt einen Urheberrechtsverstoß begehen, da sie (in der Tat) urheberechtlich geschützte Inhalte ja nicht 1:1 wiedergeben, sondern die Informationen neu zusammenwürfeln

Auf dieser Basis werden Richter:innen in den nächsten Jahren entscheiden müssen, wie konkrete Fälle von Urheber- oder Nutzungsrechts-Streitigkeiten zu bewerten sind. Heißt: Die Rechtssprechung muss sich noch entwickeln. Und auch wenn sie zugunsten der Rechteinhaber ausfallen dürfe, heißt das noch lange nicht, dass die KI-Konzerne klein beigeben: Der seit Jahren schwele Rechtsstreit zwischen Google und Verlagen darüber, wie viel Tantieme der Suchmachinenbetreiber für die Nutzung der Inhalte zu zahlen habe („Leistungsschutzrecht“), taugt hier als Präzendenzfall.

Für Unternehmen dürfte in diesem Zusammenhang eine Frage interessant werden: Ob sie einen generellen Anspruch haben, von Mitarbeitenden erstellte Daten in eigene KonzernGPTs einzuspeisen. Setzt man sie mit den Anbietern von Sprachmodellen gleich, müssten sie sicherstellen, dass Inhalte einzelner Nutzern auf deren Wunsch entfernt bzw. nicht integriert werden. Auch hier gibt es aber noch keine belastbare Rechtsauslegung.

9. Müssen Unternehmen ihre Mitarbeiter:innen in puncto KI ausbilden?

Wenn Unternehmen selbst KI-Lösungen entwickeln und die Mitarbeitenden diese anwenden, dann sollten sie dies tun: Der AI Act legt in Art. 4b fest, dass Anbieter KI-Kompetenz („AI literacy“ genannt) beim eigenen Personal und bei Dienstleistern sicherstellen müssen. Uneinigkeit bei Juristen herrscht bei der Frage, ob bereits die Nutzung eines auf Copilot oder ChatGPT aufsetzenden „KonzernGPT“ als Eigenentwicklung zu bewerten ist.

10. Drohen Strafen, wenn Unternehmen die Regeln im KI-Gesetz nicht einhalten?

Ja, die EU hat sogar hohe Bußgelder angekündigt. Als Höchststrafe sind sieben Prozent des gesamten weltweiten Vorjahresumsatzes oder 35 Millionen Euro vorgesehen. Zum Vergleich: DSGVO-Verstöße kosten „nur“ maximal 4 Prozent des Umsatzes oder 20 Millionen Euro.

11. Reguliert der AI Act auch die private Nutzung?

Der AI Act gilt nur für professionelle Anwender – wer KI-Systemen zu privaten Zwecken einsetzt oder entwickelt, muss sich um diese EU-Gesetzgebung nicht kümmern. Dies gilt auch für die Nutzung von Generativer KI in Schule oder Universität. Je nach Bildungsinstanz gelten hier jedoch individuelle Regeln, was Transparenz oder den generellen Einsatz von KI-Tools angeht. Der AI-Act allerdings verbietet diesbezüglich nichts.

12. Was sollten Unternehmen jetzt tun?

Konsequenzen hat der AI Act der EU für Unternehmen, egal ob sie selbst KI entwickeln oder nicht. Denn er reguliert eben auch Nutzer:

  • Zunächst braucht es eine Bestandsaufnahme – welche KI-Systeme sind im Einsatz oder vorgesehen, und wie lassen sich sie entsprechend der Kategorisierung des AI Acts einsortieren?
  • Wenn Anwendungen als transparenz-/kennzeichnungspflichtig oder sogar als Hoch-Risiko-KI gelten können, dann sollten Unternehmen rasch reagieren und die EU-Vorgaben umsetzen. Um den Mitarbeiter:innen Sicherheit zu geben, braucht es entsprechende KI-Guidelines. Auch wenn die neuen Regeln in Summe erst nach 24 Monaten Übergangsfrist und damit 2026 gelten werden, so sollten laut EU bestimmte Verhaltenskodizes und allgemeine AI-Vorschriften bereits nach sechs bis zwölf Monaten in Kraft treten. Der genaue Zeitplan ist noch nicht bekannt.
    Spätestens mit dem AI Act wird für Unternehmen das Thema KI eines, das die Gesamtorganisation und das Management betreffen muss. Insofern ist jetzt der richtige Zeitpunkt – wenn nicht schon geschehen – um eine eigene KI-Strategie zu entwickeln.
  • Diese muss natürlich die Risiken der Technologie im Blick haben, sich vor allem aber den Chancen von Künstlicher Intelligenz/GenAI widmen. Denn mit dem AI Act als stabilem rechtlichen Fundament wird die KI-Entwicklung nochmals an Tempo zulegen – spätestens jetzt sollte jedes Unternehmen KI zur Chefsache machen.

Hinweis: Dieser Text über den AI Act für Unternehmen basiert auf gründlichen Recherchen und Gesprächen mit Expert:innen, ist aber keine belastbare juristische Bewertung. Wir übernehmen keine Haftung für eventuelle Fehleinschätzungen. Beachten Sie zudem, dass es sich beim AI Act um ein laufendes Gesetzgebungsverfahren handelt. Änderungen an den genannten Anforderungen sind möglich.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen