Die eu­ro­päi­sche KI-Ver­ord­nung – eine Zu­sam­men­fas­sung

INHALT:

• Europäische KI-Verordnung – warum?
• KI-Verordnung: Ein erster rechtlicher Rahmen
• Umsetzung der KI-Verordnung über ISO-Normen
• Fazit: Europäische KI-Verordnung als Chance begreifen

Europäische KI-Verordnung – warum?

Künstliche Intelligenz unterstützt heute bereits an vielen Stellen – oft mit hoher Reichweite und Wirkung hinein in Prozesse und Abläufe. Jeden Tag werden diverse KI-Tools für allgemeine Aufgaben wie Übersetzungen, das Strukturieren von Informationen oder die Erstellung von Textvorlagen verwendet. Im Marketing wird KI zur Personalisierung und Analyse eingesetzt. In der Logistik dient sie der Optimierung der Lieferketten. Spezifischer – und kritischer – wird es im Gesundheitswesen. Hier wird die künstliche Intelligenz vermehrt für das Patientenmanagement und Diagnostik genutzt. Im Bereich Cybersicherheit setzen Extended Detection and Response (XDR) Systeme verstärkt auf maschinelles Lernen. 

Für Unternehmen ist es entscheidend, frühzeitig eine strategische Annäherung an diese Regularien zu finden, um Haftungsrisiken zu minimieren und Wettbewerbsvorteile zu sichern. Auch muss eine Sensibilisierung für die Risiken, die mit der Nutzung künstlicher Intelligenz einhergehen, erfolgen. In Bezug auf Sicherheitsrisiken, wie zum Beispiel Datenschutzfragen, Manipulationen und Falschaussagen, muss die entsprechende Awareness geschult werden. Ebenso spielen ethische Fragestellungen, die Grundrechte berühren wie zum Beispiel die Verhinderung von Diskriminierung, oder die Einschränkung von Profiling eine Rolle.

Die KI-Verordnung: Ein erster rechtlicher Rahmen

Die Verordnung 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (kurz "AI-Act" oder auch "KI-VO") ist die weltweit erste umfassende gesetzliche Regelung für KI-Systeme und soll deren sichere und vertrauenswürdige Nutzung gewährleisten. Die Verordnung wurde im April 2021 von der Europäischen Kommission vorgeschlagen. Die meisten Vorschriften des KI-Gesetzes werden ab dem 2. August 2026 in den Mitgliedstaaten gelten. Die Frage einer nationalen Aufsichtsbehörde ist in Deutschland noch nicht abschließend geklärt. Wichtig zu wissen: Die KI-Verordnung ersetzt keine Datenschutzregelungen wie die Datenschutz-Grundverordnung; diese gilt weiterhin.

Die Verordnung klassifiziert KI-Anwendungen nach ihrem Risikopotenzial:

• Minimales Risiko: Anwendungen wie KI-gestützte Spamfilter oder Empfehlungssysteme unterliegen keiner besonderen Regulierung.
• Begrenztes Risiko: Hierunter fallen beispielsweise Chatbots, bei denen Transparenzpflichten gelten (Hinweise auf die Interaktion mit einer KI etc.).

Doch nicht nur das Risiko hat Einfluss auf die umzusetzenden Maßnahmen, es kommt auch darauf an, in welcher Weise Ihr Unternehmen mit KI . Der Anwendungsbereich des AI-Acts erstreckt sich über die folgenden Akteure: 

• Hohes Risiko: Betroffen sind unter anderem KI-Systeme für kritische Infrastrukturen, Personalentscheidungen oder Kreditbewertungen. Sie unterliegen strengen Auflagen hinsichtlich Transparenz, Sicherheit und Risikomanagement. Im Anhang III der KI-VO finden sich die Kriterien für ein hohes Risiko.
• Unzulässige KI: Anwendungen wie zum Beispiel manipulative KI-Technologien oder soziale Scoring-Systeme sind verboten.

Auch können besonders leistungsfähige KIs ein sogenanntes systemisches Risiko mit sich bringen, was weitere Maßnahmen erfordert.

Die Umsetzung des AI-Acts bringt besondere Aufwände mit sich, insbesondere wenn Systeme mit hohem Risiko eingesetzt werden. In diesem Fall müssen Unternehmen nachweisen, dass ihre Systeme sicher, transparent und diskriminierungsfrei sind. 

Doch nicht nur das Risiko hat Einfluss auf die umzusetzenden Maßnahmen, es kommt auch darauf an, in welcher Weise Ihr Unternehmen mit künstlicher Intelligenz umgeht. Der Anwendungsbereich des AI Acts erstreckt sich über die folgenden Akteure: 

• Sie gelten als Anbieter, wenn Sie eine KI entwickeln oder sie unter Ihrem Namen in den Verkehr bringen. Ein in der EU ansässiger Vertreter eines Anbieters gilt als Bevollmächtigter.
• Ein Betreiber verwendet eine KI für berufliche Zwecke in eigener Verantwortung. 
• Sind Sie der Inverkehrbringer (EU) einer KI, die von einem Anbieter in einem Drittland hergestellt wurde? Dann gelten Sie als Einführer.

Oder stellen Sie als Teil der Lieferkette eine KI in der EU zur Verfügung? In diesem Fall gelten Sie als Händler. 

Pflichten für Betreiber (Auszug)

Verwenden Sie künstliche Intelligenz für betriebliche Zwecke? Dann müssen Sie unter anderem ein Verzeichnis der KI-Anwendungen im Unternehmen erstellen und eine Risikoeinstufung vornehmen, Ihre Mitarbeiter schulen und Transparenzpflichten erfüllen. Das Verzeichnis ist genau genommen keine Anforderung des AI-Acts, allerdings wird sich der Nachweis der Risikobewertung und anderer Pflichten ohne ein Verzeichnis schwierig gestalten.

Ebenso sollten Sie einen Prozess etablieren, der die Einführung neuer KI-Systeme regelt und Leitplanken für deren Einsatz bietet.

Pflichten für Anbieter von Hochrisiko-Systemen (Auszug)

Sie entwickeln eine KI mit hohem Risikopotenzial oder bringen diese unter eigenem Namen in Verkehr? Dann beachten Sie bitte, dass Sie umfangreichen Dokumentations-, Registrierungs- und Kennzeichnungspflichten nachkommen und das Risikomanagement und die Informationssicherheit Ihrer Anwendung aufrechterhalten müssen. Die vollständige Liste Ihrer Pflichten als Anbieter finden Sie im Kapitel III, Abschnitt 3 ab Artikel 16 KI-VO. 

Hinweis: Kapitel I und II beinhalten Pflichten für Anbieter und Betreiber. Besonders wichtig hier ist der Artikel 4 im Kapitel I, wo es um die Schulung der Mitarbeitenden in KI-Kompetenz geht. Wenn Sie also KI in Ihrem Unternehmen einsetzen, sollten Sie aktiv werden!

Umsetzung der KI-Verordnung über ISO-Normen

Aus der Perspektive von Managementsystemen betrachtet eignen sich zwei internationale Normen, um sich an KI-Compliance zum Beispiel zur europäischen KI-Verordnung anzunähern bzw. diese zu erfüllen: ISO 42001 und ISO 27001. Beide Regelwerke folgen der einheitlichen Struktur der ISO-Managementsystemnormen (Harmonized Structure, HS) und lassen sich dadurch nahtlos in bestehende Systeme integrieren.

ISO/IEC 42001:2023 – Ein Managementsystem für KI

Mit der Norm ISO/IEC 42001:2023 existiert erstmals ein internationaler Standard für ein KI-Managementsystem (AIMS - Artificial Intelligence Management System). Ziel ist es, Unternehmen eine strukturierte Vorgehensweise zur Implementierung, Kontrolle und Verbesserung von KI-Systemen zu bieten. Die Norm umfasst unter anderem:

• Governance-Strukturen für KI: Verantwortung und Zuständigkeiten für KI-Projekte
• Risikomanagement: Identifikation, Bewertung und Reduzierung von KI-Risiken
• Transparenz und Nachvollziehbarkeit: Dokumentations- und Erklärungspflichten für KI-Modelle
• Ethik und Compliance: Sicherstellung von Fairness, Achtung von Menschenrechten und allgemeinen Grundrechten und Vermeidung von Diskriminierung

Die neue ISO/IEC 42001 ist zertifizierbar und kann sich somit als Mittel der Wahl erweisen. Die DQS bietet ab sofort weltweit Zertifizierungen nach ISO 42001 an und zählt damit zu den ersten Zertifizierungsstellen, die diese Norm im Portfolio haben. Grundsätzlich eignet sich ISO 42001 für Unternehmen als Orientierung, um KI-Prozesse zukunftssicher aufzustellen.

Annäherung an die KI-Compliance über ISO 27001

Zum einen ist jetzt eine Zertifizierung nach ISO 42001 möglich; zum anderen kann eine Annäherung auch über ISO/IEC 27001 (Informationssicherheitsmanagement) sinnvoll sein. Diese Norm ist etabliert und zertifizierbar, wodurch Unternehmen bereits einen soliden Rahmen für die sichere Verarbeitung von KI-Daten schaffen können. Folgende Maßnahmen könnten hilfreich sein:

1. Risikomanagement ausweiten: ISO 27001 verlangt eine Risikoanalyse für IT-Systeme. Diese kann auf KI-Modelle ausgeweitet werden, um Risiken frühzeitig zu erkennen.
2. Daten- und Modellschutz implementieren: Informationssicherheitsmaßnahmen aus ISO 27001 können genutzt werden, um KI-Trainingsdaten, Algorithmen und Modelle vor Manipulation zu schützen. Die KI-Systeme können wie jedes andere Softwaresystem auch durch Maßnahmen aus dem Anhang A geschützt werden. Ebenso lassen sich die Maßnahmen für die Softwareentwicklung zum großen Teil auch auf die Entwicklung von KI-Systemen übertragen (sichere Architektur, Lebenszyklus, Testing, usw), auch wenn die Ausgestaltung inhaltlich von der klassischen Entwicklung abweichen kann.
3. Governance etablieren: Verantwortlichkeiten und Compliance-Anforderungen für KI-gestützte Prozesse ähnlich wie bei einem Informationssicherheits-Managementsystem definieren.
4. Kontinuierliche Überwachung: Sicherheits- und Transparenzmechanismen aus ISO 27001 lassen sich auf KI-Modelle übertragen, um deren Performance und Risiken fortlaufend zu bewerten.

Fazit: Europäische KI-Verordnung als Chance begreifen

Regulatorische Anforderungen an KI werden weiter zunehmen. Unternehmen, die sich frühzeitig mit der KI-Verordnung der Europäischen Union und ISO 42001 beziehungsweise ISO 27001 beschäftigen, haben die Chance, KI-Systeme je nach Verwendungszweck sicher und rechtskonform einzusetzen. Durch eine strategische Annäherung an europäisches Recht etwa über anerkannte internationale Standards können Unternehmen nicht nur regulatorische Risiken minimieren und Anforderungen von Behörden nachkommen, sondern auch das Vertrauen von Kunden und Geschäftspartnern in ihre KI-Technologien stärken und sich somit einen Wettbewerbsvorteil verschaffen. 

Hinweis: Der Autor dieses Artikels ist kein Jurist, der Artikel stellt keine Rechtsberatung dar und erhebt keinen Anspruch auf Vollständigkeit.

DQS – weil Audit nicht gleich Audit ist 

So selbstständig jedes Unternehmen und jede Organisation künstliche Intelligenz einsetzt – so unterschiedlich sind auch die Ziele, die sie damit verfolgen. Um einen sicheren Umgang mit KI-Systemen zu gewährleisten, gibt es seit Ende 2023 eine neue internationale Ma­nage­ment­sys­tem­norm speziell für KI: ISO/IEC 42001. Die DQS ist eine der ersten Zertifizierungsstellen weltweit, die eine ISO 42001 Zertifizierung anbietet.

Nutzen Sie das Know-how unserer Experten. Informieren Sie sich über die wichtigsten Normanforderungen und die Bedeutung für Ihre Organisation. Wir stehen seit 40 Jahren für unparteiliche Audits und Zertifizierungen. Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden. Nehmen Sie uns beim Wort. Wir freuen uns auf den Kontakt mit Ihnen.

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: [email protected]

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.