"Der AI-Act ist der erste Rechtsrahmen für KI überhaupt, der die Risiken von KI adressiert und Europa eine weltweit führende Rolle ermöglicht," so hätte es die EU nach eigener Aussage gerne für ihren AI-Act. Doch ob es mit der neuen Gesetzgebung und der gewollten globalen Führungsrolle wirklich funktioniert und was Unternehmen hierzulande bis zum Start dieser EU-Verordnung alles umsetzen müssen, war unter anderem Thema eines spannenden Digital-Workshops des CIO Leadership Excellence Program (LEP) mit rund 40 Teilnehmern.
Denn als außerordentlich mächtige Technologie muss der Einsatz von KI einer ganzen Reihe von ethischen und rechtlichen Grundsätzen genügen. Unternehmen müssen darauf achten, hier keine Grenzen zu überschreiten. Das betrifft nicht nur die Einbindung aller wichtigen Gremien wie Aufsichtsrat und Arbeitnehmervertretung, sondern auch zahlreiche rechtliche Herausforderungen und Haftungsfragen.
2026 geht es los
Fakt ist bisher: 2026 wird der AI-Act in Kraft treten, "und er wird Unternehmen deutlich mehr Arbeit machen als die Datenschutz-Grundverordnung, denn beim Thema Künstliche Intelligenz kommt eine große Menge personenbezogener Daten ins Spiel", so Lucas Mayr, Rechtsanwalt bei der Kanzlei Osborne Clarke als Keynote-Speaker des Workshops. Dies ist aber nur eine von vielen Hürden, die vor dem erfolgreichen Einsatz von KI genommen werden müssten, so der Experte für Informationstechnologie und Outsourcing.
Denn, so Mayr, bei vielen Anwendungsszenarien ist nicht per se überhaupt klar, ob sie unter den AI-Act fallen. So ist ein zentrales Unterscheidungskriterium, dass die betroffenen Prozesse nicht einfache regelbasierte Anwendungen sind, "sondern es müssen eigenständige autonome Prozesse des Schlussfolgerns und des Dazulernens vorhanden sein", so der Experte.
Für mehr spannende Hintergründe, News und Deep Dives, abonnieren Sie unsere CIO-Newsletter.
Ebenso ist es für Anwenderunternehmen wichtig zu wissen, welche Rolle sie konkret im Gesamtprozess der "KI-Lieferkette" einnehmen. Es müsse sorgfältig geprüft werden, ob sie Betreiber, Entwickler oder Anbieter von künstlicher Intelligenz im Sinne des AI-Acts sind.
Dies hat wiederum Einfluss auf beispielsweise den Umfang der Dokumentationspflichten und das Risikomanagement beim Einsatz von KI. Mayr wies in seinem Vortrag explizit darauf hin, dass die Klassifizierungen als Anbieter oder Betreiber völlig unabhängig von der Unternehmensgröße vorgenommen werden. Erleichterungen für KMUs gebe es zwar, jedoch nicht in Form eines Ausnahmetatbestands, sondern es werde nur vereinfachter Zugang zu sogenannten Reallaboren ("Sandboxes") sowie der Nutzung von Standard-Formularen bei der Erstellung der notwendigen Dokumentation gestattet.
Hochrisiko-Unterscheidung für Unternehmen essenziell
Ein weiterer Dreh- und Angelpunkt des KI-Aufwands wird laut Mayr auch Artikel 6 ("Klassifizierungsregeln für KI-Systeme mit hohem Risiko") des AI-Acts sein. Für KI-Anwendungen, welche als "Hochrisiko-KI" im Sinne dieses Artikels eingestuft würden, gelten verschärfte Regelungen. Als Beispiel nannte er Kreditwürdigkeitsprüfungen, wie sie etwa in der Finanz- und Versicherungsbranche von großer Relevanz sind und die schnell in diese Kategorie fallen. Auch sämtliche Einbindung biometrischer Verfahren könnten aus einem System sehr leicht ein Hochrisiko-KI-System machen.
Hier lohne es sich, unternehmensintern Klarheit zu schaffen. Jedenfalls sollte erwogen werden, ob die untersuchte KI-Lösung sogar ein verbotenes KI-System im Sinne des Artikels 5 des AI-Acts ist. Dies ist deshalb sehr wichtig, weil beim missbräuchlichen Einsatz ("Prohibited AI") von künstlicher Intelligenz hohe Strafen drohen. In diese Kategorie fallen zum Beispiel auch Social-Scoring-Ansätze, wie man sie bereits aus totalitären Staaten kennt.
Für Anwenderunternehmen gibt es also viele Details zu klären. Keynote-Speaker Mayr riet den LEP-Alumni daher zu einer klaren Agenda, um Risiken durch den AI-Act zu vermeiden. Im Detail sind folgende Fragen für einen AI-Act-konformen Einsatz deshalb unbedingt vorher zu beantworten und strukturiert anzugehen:
Ist der AI-Act anwendbar? Welche Rolle nimmt das Unternehmen ein? Lautet die Antwortet hier nein, sollten selbstverständlich noch die datenschutz- , arbeits- und urheberrechtlichen Risiken bewertet und adressiert werden.
Wer hat die operative Verantwortung? Das heißt, wer ist Prozessverantwortlicher für den Einsatz von KI im Unternehmen?
Wer bewertet die Risiken des KI-Einsatzes? Sowohl aus Compliance- als auch aus rechtlicher Sicht? Wer ist etwa für die Konformitätsbewertung eines Hochrisiko-KI-Systems verantwortlich?
Wer regelt das Monitoring der Prozesse und der eingesetzten KI-Tools?
Wer auditiert das KI-Tool?
Wer ist für die Dokumentation der KI-Prozesse gegenüber den Behörden verantwortlich?
Erst wenn diese Fragen ausreichend geklärt sind, könne man von einer adäquaten Vorbereitung auf den AI-Act sprechen, so Mayr. Er fügt hinzu, dass es dabei in jedem Fall ratsam sei, technisch versierte Mitarbeiter in alle Prozesse miteinzubinden.
Zahlreiche Unternehmens- und Einsatzbereiche betroffen
Wie wichtig diese sorgfältige Vorbereitung auf das Gesetz ist, bewiesen die Fragen und Interessensgebiete der LEP-Alumni. Diese reichten von der Wahrung von Urheberrechten und dem Einsatz von KI-gesteuerter Robotik in der Lebensmittelbranche über Personalprozesse bis hin zur Implementierung von KI in die eigenen Produkte.
Dabei zeigte sich auch, dass ein KI-System schneller die von Rechtsanwalt Lucas Mayr angesprochene Schwelle zur "Hochrisiko-KI" überschreiten kann als gemeinhin angenommen. So ist der Einsatz von generativer KI wie Chat-GPT eher risikoarm. "Das kann sich jedoch schnell ändern, wenn Chat-GPT beispielsweise dazu genutzt wird, um einen Chatbot zu erstellen, der medizinische Diagnosen abgibt."
Fazit
Der AI-Act soll - zumindest nach dem Willen der EU - nach der DSGVO der nächste rechtliche "Goldstandard" werden. Doch bis es so weit ist, gibt es für die betroffenen Unternehmen viel Arbeit. "Die Stimmung im Markt ist derzeit sehr aufgeregt, weil alle ihre Prozesse und Produkte compliant bekommen müssen", berichtet Lucas Mayr.
Wie man diese Herausforderungen strukturiert angehen kann, davon hat dieser Digital Workshop einen guten Eindruck vermittelt. "Mittels KI-Einsatz wollen Unternehmen ein tieferes Verständnis ihrer Geschäftsprozesse bekommen und einfacher fundierte Entscheidungen treffen. Hier bieten die LEP-Veranstaltungen für uns einen wertvollen Input zu entdecken, welche Wege die Anwender noch gehen müssen und wie wir sie dabei unterstützen können", urteilt Michael Sonne, CIO des langjährigen LEP-Partners Software AG über den Workshop.
Ihr Unternehmen muss sich auch intensiv mit dem AI-Act auseinandersetzen? Dann melden Sie sich doch hier für das IT-Strategietage Masterclass Summit am 13. Juni in Köln an. Hier bekommen Sie in einer dreistündigen Session intensiven, wertvollen Input von Topjurist Ulrich Bäumer, Osborne Clarke und anderen Experten für das richtige Vorgehen.
Und Sie wollen auch an Events wie dem beschriebenen Roundtable teilnehmen? Dann informieren Sie sich hier grundsätzlich über das Weiterbildungsprogramm für IT Executives, das Leadership Excellence Programm von CIO-Magazin, WHU - Otto Beisheim School of Management und der Software AG.
Der nächste LEP-Jahrgang startet mit einer Präsenzphase am Montag, 23. September bis Freitag, 27. September 2024.
Ansprechpartnerin für das LEP ist Mirja Wagner, Director Leadership Excellence Program & Community Events bei Foundry (Telefon: +49 152 089 46 305, Mirja.Wagner@foundryco.com).
Der Düsseldorfer Campus der WHU - Otto Beisheim School of Management Veranstaltungsort des CIO Leadership Excellence Programs sein.
Warum sollte man dabei sein: "Das Leadership Excellence Program ist seit nunmehr 13 Jahren ein exklusives Weiterbildungsprogramm für IT-Executives. Neben den erstklassigen Inhalten, die die Professoren der WHU vermitteln, zeichnet sich das Programm durch das mittlerweile über 250 IT-Entscheider umfassende LEP-Alumni-Netzwerk aus. Eine besondere Community", so Mirja Wagner, Projektleiterin LEP. (jd)