Praxisleitfaden zur KI-Verordnung: Teil 1 von 2

Heute, am 2. Februar 2024, haben die Mitgliedstaaten der EU dem Entwurf der KI-Verordnung (KI-VO) zugestimmt. Die nun noch ausstehende Abstimmung im Parlament gilt als reine Formsache. Erwartet wird, dass die KI-Verordnung im Mai oder Juni in Kraft tritt. Erste Vorschriften entfalten bereits Ende dieses Jahres Wirkung.

Höchste Zeit für Unternehmen, sich mit den wichtigsten Regelungen vertraut zu machen. Mit diesem zweiteiligen Praxis-Leitfaden möchten wir Ihnen den Einstieg in die KI-VO erleichtern.

In Teil 1 beschäftigen wir uns mit der Anwendbarkeit der KI-Verordnung anhand der Begriffe „KI-System“ und „KI-Modell“.

In Teil 2 werden wir einen Überblick über die Risikoklassifizierung der KI-Verordnung geben. Daneben werden wir auch auf die grundlegenden und umfassenden Transparenz- und Kennzeichnungserfordernisse eingehen.

1.    KI-System und KI-Modell

Die KI-Verordnung regelt die Zulässigkeit von und die Anforderung an KI-Systeme sowie KI-Modelle (mit allgemeinem Verwendungszweck). Erfasst werden sowohl die Entwicklung solcher Systeme als auch deren Nutzung, Vertrieb, Import sowie die Bereitstellung an Dritte.  

Nach der KI-Verordnung ist ein KI-System:

„a machine-based system designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments”.

Danach ist ein KI-System ein System, das in gewissem Umfang autonom agiert, anpassungsfähig ist und aus den erhaltenen Eingaben ableiten kann, wie Ergebnisse erzeugt werden sollen. Typische Beispiele für KI-Systeme sind Anwendungen wie ChatGPT und Bard. Daneben fallen aber auch andere, weniger offensichtliche Systeme unter den Begriff des KI-Systems. Nachfolgend finden Sie eine exemplarische Auflistung potenzieller Anwendungsfälle, die den Bestimmungen der KI-Verordnung unterfallen können:

• Digitale Bildbearbeitung: Bildgenerierung mit Midjourney, Stable Diffusion und Dall-E sowie Bildbearbeitungsfunktionen wie „Generative Füllung“
• Marketing: Chatbots, welche auf Sprachmodelle (OpenAIs GPT, Metas LLAMA oder Aleph Alpha) zurückgreifen; Systeme, die zur Schaltung personalisierter Werbung Daten aus verschiedenen Quellen miteinander verknüpfen
• HR, Buchhaltung und Unternehmensmanagement: Von der automatisierten Datenanalyse, der Erkennung von Markttrends bis hin zur Vorsortierung und Vorauswahl geeigneter Bewerbungen, finden KI-Systeme bereits seit Jahren Anwendung in Unternehmen, ohne dass bisher über die DSGVO hinaus spezielle Anforderungen in Bezug auf das KI-System galten
• Gesundheitswesen: Systeme der bildgebenden Diagnostik, Terminkalender und andere Patientensoftware, die aufgrund eingegebener Daten Termine bei geeigneten Ärzten vorschlagen, Patientendaten vorauswerten oder filtern, Dokumente vorsortieren und dem Arzt bereitstellen
• Industrie: Qualitäts- und Arbeitssicherheit, wie zum Beispiel die Erkennung von Fremdkörpern und Menschen in einem Gefahrenbereich und die Überprüfung der Einhaltung von Qualitätsvorgaben durch Softwareanwendungen. Eine immer höhere Bedeutung hat auch das sogenannte Predictive Maintenance, mit welchem eine proaktive und kosteneffizientere Wartung ermöglicht werden soll
• Gewerbe: Systeme, die beim Abschluss von Verträgen und der damit einhergehenden Verifizierung des Vertragspartners eingesetzt werden (bspw. Betrugsprävention im Rahmen automatisierter Bestellprozesse oder zur Echtzeitidentifizierung einer natürlichen Person)
• Cybersicherheit: Systeme zur Abwehr von Cybersicherheitsbedrohungen wie zum Beispiel dem Abfluss von Unternehmensdaten, der ungewollten Vervielfältigung von Geschäftsgeheimnissen durch einen Mitarbeiter, der Erkennung unbekannter Bedrohungen durch Malware unter Zuhilfenahme von maschinellem Lernen
• Discovery: Softwareanwendungen zum Auffinden von Mustern abseits der zuvor festgelegten Regeln

Wenn Sie ähnlich gelagerte Systeme in Ihrem Unternehmen einsetzen, sollten Sie näher beleuchten, welche Anforderungen sich diesbezüglich aus der KI-Verordnung ergeben.

Neben dem KI-System sind auch KI-Modelle mit allgemeinem Verwendungszweck von der KI-Verordnung erfasst. KI-Modelle in diesem Sinne sind beispielsweise das Sprachmodell GPT von OpenAI, welches in andere KI-Systeme (bspw. ChatGPT, Copilot) integriert wird. Sollte Ihr Unternehmen bspw. ein für Ihren Bereich spezialisiertes Large Language Model (LLM) trainieren, wäre die KI-Verordnung ebenfalls anwendbar.

Schon die bloße Einbindung eines bestehenden KI-Modells (z. B. per API) in Ihre Anwendung führt in der Regel dazu, dass die Anwendung zum KI-System wird.

2.    Fazit und Ausblick

Die KI-Verordnung umfasst eine Vielzahl von Anwendungen in unterschiedlichsten Bereichen. Smarte Vorsortierungen in der HR, Chatbots und generative KI im Marketing sowie optische Auswertungen in der Industrie und Medizin werden bereits seit Jahren zunehmend von Unternehmen genutzt. Die weite Definition der KI-Verordnung könnte dazu führen, dass ein Großteil dieser Systeme zukünftig dem Anwendungsbereich der KI-Verordnung unterfallen.

Timeline: Die Regelungen zu verbotenen KI-Praktiken gelten voraussichtlich bereits ab Q4 2024. Die übrigen Bestimmungen der KI-Verordnung gelten gestaffelt (12 Monate, 24 Monate, 36 Monate) nach Inkrafttreten der KI-Verordnung.

Risiken: Bei Nichteinhaltung der Vorschriften der KI-Verordnung drohen insbesondere Bußgelder von bis zu 7 % des jährlichen weltweiten Umsatzes des Unternehmens bzw. bis zu 35 Millionen Euro.

To-dos: Unternehmen sollten zeitnah identifizieren, wo sie KI-Systeme oder KI-Modelle einsetzen. Im nächsten Schritt sind die daraus resultierenden Verpflichtungen zu ermitteln und umzusetzen. Eine Hilfestellung dafür werden wir in Teil 2 unseres Praxisleitfadens liefern.