Illustrations of people going to parties at night

Das Gesetz über Künstliche Intelligenz der EU: Auswirkungen auf Unternehmen


Auf Englisch lesen, auf Französisch lesen

Die EU plant die weltweit erste Regulierung von künstlicher Intelligenz. Was bedeutet das für Sie und Ihr Unternehmen in der Schweiz?

Laden Sie die EY EU AI Act Broschüre herunter


In Kürze

  • Das Gesetz über Künstliche Intelligenz der EU stellt strenge Anforderungen, auch an Unternehmen, die sich bislang noch nicht mit Modellmanagement befassen mussten.
  • Unternehmen müssen sich in einem ersten Schritt eine Übersicht verschaffen, ein zentrales Verzeichnis zur Speicherung und Verwaltung aller Modelle anlegen und Modellmanagement einführen.
  • Das EU-AI-Gesetz soll im 2. bis 3. Quartal 2024 in Kraft treten, wobei die Übergangsfristen für die Erfüllung der verschiedenen Anforderungen zwischen 6 und 24 Monaten liegen.

Künstliche Intelligenz (KI) verändert unsere Welt auf beispiellose Weise. Von massgeschneiderter Gesundheitsversorgung bis zu selbstfahrenden Autos und virtuellen Assistenten: KI ist in unserem Alltag gegenwärtig. Der zunehmende Einsatz von KI hat jedoch zahlreiche Bedenken im Hinblick auf ihre Auswirkungen auf Grundrechte und -freiheiten hervorgerufen. Um diesen Bedenken Rechnung zu tragen, hat die Europäische Union (EU) einen bedeutenden Schritt zur Regulierung von KI unternommen.

Das Gesetz über künstliche Intelligenz der EU ist der weltweit erste konkrete Vorstoss zur Regulierung von KI. Damit verfolgt die EU das Ziel, Europa durch die Festlegung harmonisierter Regeln für die Entwicklung, Vermarktung und Nutzung von KI in ihrem Rechtsgebiet zu einem globalen Zentrum für vertrauenswürdige KI zu machen. Das Gesetz soll sicherstellen, dass die KI-Systeme in der EU sicher sind, sowie Grundrechte und -werte eingehalten werden. Darüber hinaus sollen Investitionen und Innovationen im Bereich KI gefördert, Governance und Durchsetzung verbessert und ein EU-Binnenmarkt für KI geschaffen werden.

Wer ist betroffen?

Das Gesetz über Künstliche Intelligenz enthält klare Definitionen für die verschiedenen an KI beteiligten Akteure: Anbieter, Anwender, Einführer, Händler und Produkthersteller. Das heisst, alle an Entwicklung, Nutzung, Einführung, Vertrieb oder Herstellung von KI-Systemen Beteiligten sind rechenschaftspflichtig. Darüber hinaus findet das Gesetz über Künstliche Intelligenz auf alle Anbieter und Nutzer von KI-Systemen Anwendung, die ausserhalb der EU – also auch in der Schweiz – domiziliert sind, wenn die von den jeweiligen KI-Systemen produzierten Ergebnisse zur Verwendung in der EU gedacht sind.

Was ist zu tun?

Schritt 1: Bestandsaufnahme: Übersicht über vorhandene KI-Modelle

Zur Ermittlung der Auswirkungen des Gesetzes über Künstliche Intelligenz sollten Unternehmen zunächst prüfen, ob und welche KI-Systeme bei ihnen im Einsatz oder in Entwicklung sind oder von externen Anbietern bezogen werden. Anschliessend sollten sie die identifizierten KI-Modelle in einem Verzeichnis auflisten. Viele Finanzdienstleister können bestehende Modellverzeichnisse und die damit zusammenhängende Modell-Governance nutzen und müssen KI lediglich als Zusatzthema behandeln.

War bisher kein Modellverzeichnis vorhanden, sollten Unternehmen mit einer Bestandsaufnahme des Status quo beginnen, um die (potenziellen) Risiken zu verstehen, denen sie ausgesetzt sind. Selbst wenn derzeit noch keine KI eingesetzt wird, dürfte sich dies bald ändern. Die Identifizierung von KI-Modellen kann ausgehend von einem bestehenden Softwarekatalog oder – falls nicht verfügbar – mit Umfragen in den verschiedenen Geschäftsbereichen beginnen.

Schritt 2: Risikoeinstufung der Systeme

Ausgehend vom Modellverzeichnis kann eine Risikoeinstufung der Systeme erfolgen. Das Gesetz über Künstliche Intelligenz der EU unterscheidet zwischen mehreren Risikokategorien:

Anwendungen von KI, die ein unannehmbares Risiko darstellen, sind verboten. Beispiele hierfür sind der Einsatz von biometrischen Echtzeit-Fernidentifizierungssystemen in öffentlich zugänglichen Räumen, von Systemen zur Bewertung des sozialen Verhaltens («Social Scoring») sowie von Techniken zur unterschwelligen Beeinflussung von Personen oder bestimmten schutzbedürftigen Gruppen.
 

Hochrisiko-KI-Systeme sind zugelassen, müssen aber bestimmte Anforderungen erfüllen und einer Konformitätsprüfung unterzogen werden. Diese Prüfung muss vor der Markteinführung abgeschlossen sein. Diese Systeme müssen ferner in eine EU-Datenbank eingetragen werden, die noch eingerichtet wird. Der Betrieb von Hochrisiko-KI-Systemen erfordert ein angemessenes Risikomanagementsystem, Protokollierungsfunktionen und menschliche Aufsicht bzw. Verantwortung. Für Trainings-, Validierungs- und Testdatensätze müssen geeignete Daten-Governance-Verfahren umgesetzt werden. Ferner sind Kontrollen vorzusehen, welche die Cybersicherheit, Robustheit und Nicht-Diskriminierung des jeweiligen KI-Systems sicherstellen.
 

Beispiele für Hochrisiko-KI-Systeme sind Modelle für den Betrieb von kritischen Infrastrukturen sowie Systeme, die für Rekrutierung oder Mitarbeiterbewertungen, Kreditwürdigkeitprüfungen, die automatische Schadensabwicklung bei Versicherungen oder die Festlegung von Risikoprämien für Kunden verwendet werden.
 

Bei den übrigen Systemen gelten die Risiken als begrenzt oder minimal. Beim Einsatz solcher Systeme besteht eine Transparenzpflicht, das heisst, die Nutzer müssen darüber informiert werden, dass sie mit von KI erzeugten Inhalten interagieren. Beispiele hierfür sind Chatbots oder Deepfakes, die nicht als Hochrisiko-Systeme gelten, bei denen die Benutzer aber wissen müssen, dass sie KI-gestützt sind.
 

Es wird empfohlen, dass alle Betreiber von KI-Systemen einen Verhaltenskodex für ethische KI einführen und anwenden. Insbesondere für KI-Modelle für allgemeine Zwecke (General-purpose AI models - GPAI), einschließlich Grundlagenmodelle und generative KI-Systeme, gilt ein gesonderter Klassifizierungsrahmen. Das KI-Gesetz verfolgt einen abgestuften Ansatz bei den Compliance-Verpflichtungen und unterscheidet zwischen GPAI-Modellen mit hoher Auswirkung und systemischem Risiko und anderen GPAI-Modellen.
 

Schritt 3: Vorbereitung 

Als Anbieter, Nutzer, Einführer, Händler oder Betroffener von KI-Systemen müssen Sie sicherstellen, dass Ihre KI-Praktiken mit der neuen Regulierung übereinstimmen. Zur vollständigen Einhaltung aller Bestimmungen sollten Sie folgende Schritte unternehmen: (1) mit Ihren KI-Systemen verbundene Risiken beurteilen, (2) Bewusstsein schaffen, (3) ethische Systeme entwickeln, (4) Verantwortung zuweisen, (5) auf dem Laufenden bleiben und (6) eine formelle Governance etablieren. Wenn Sie jetzt proaktiv handeln, verhindern Sie potenziell erhebliche Sanktionen für Ihr Unternehmen, sobald das Gesetz in Kraft tritt.
 

Das KI-Gesetz soll nach der Veröffentlichung im Amtsblatt der Europäischen Union im zweiten bis dritten Quartal 2024 in Kraft treten. In der Folge werden Übergangsfristen für die Einhaltung der Vorschriften festgelegt: Unternehmen haben sechs Monate Zeit, um die Anforderungen für verbotene KI-Systeme zu erfüllen, zwölf Monate für bestimmte KI-Anforderungen für allgemeine Zwecke und 24 Monate, um die vollständige Einhaltung der Vorschriften zu erreichen.
 

Welche Sanktionen sind bei Nichteinhaltung des Gesetzes zu erwarten?

Die Nichteinhaltung des Gesetz über Künstliche Intelligenzes kann erhebliche Sanktionen nach sich ziehen und schwerwiegende Auswirkungen auf das Geschäft des Anbieters oder Anwenders haben. Abhängig von der Schwere des Verstosses bewegen sie sich zwischen 7.5 und 35 Millionen Euro oder 1 bis 7 Prozent des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr. Daher ist es für alle Beteiligten von grösster Bedeutung, dass sie das Gesetz über Künstliche Intelligenz vollständig verstehen und seine Bestimmungen einhalten.
 

Welche Auswirkungen hat das Gesetz auf die Finanzdienstleistungsbranche?

Die Finanzdienstleistungsbranche wurde als einer der Sektoren identifiziert, auf den KI potenziell die grössten Auswirkungen hat. Das Gesetz über Künstliche Intelligenz der EU sieht ein dreistufiges Risikoklassifizierungsmodell vor, das KI-Systeme nach dem Grad des Risikos einstuft, das sie für die Grundrechte und die Sicherheit der Nutzer darstellen. Die Finanzdienstleistungsbranche setzt eine Vielzahl von Modellen und datengestützten Prozessen ein, die in Zukunft verstärkt auf KI basieren werden. Prozesse und KI-Systeme, die zur Bonitätsprüfung oder zur Bewertung der Risikoprämien von Kunden eingesetzt werden, fallen nach dem KI-Gesetz in die Hochrisiko-Kategorie. Darüber hinaus fallen auch KI-Systeme, die für den Betrieb und die Wartung von als kritisch eingestuften Finanzinfrastrukturen verwendet werden, in den Anwendungsbereich von KI-Systemen mit hohem Risiko, ebenso wie KI-Systeme, die für die biometrische Identifizierung und Kategorisierung natürlicher Personen oder die Beschäftigungs- und Mitarbeiterverwaltung verwendet werden.

EU AI Act Broschüre

Laden Sie das PDF-Dokument herunter, um einen Überblick über das KI-Gesetz der EU und seine Auswirkungen auf die Märkte zu erhalten.

Illustrations of people going to parties at night

Fazit

Das Gesetz über Künstliche Intelligenz der EU wird ein wichtiger Meilenstein auf dem Gebiet der KI-Regulierung und -Innovation sein. Für Unternehmen ist es wichtig, jetzt zu handeln, die für sie entstehenden Risiken zu beurteilen und sich auf die Veränderungen vorzubereiten, die mit dem Gesetz einhergehen. Nur so können sie die Vorteile der KI in vollem Umfang nutzen und zugleich die Grundrechte schützen sowie die Sicherheit der Nutzer gewährleisten. Auf diese Weise können Unternehmen eine sicherere und vertrauenswürdigere KI-Umgebung aufbauen und optimal von dieser transformativen Technologie profitieren.

Danksagung:

Wir danken Ava Dossi und Konrad Schwenke für Ihre Beiträge zu diesem Artikel.

Über diesen Artikel

Autoren