Mit dem KI-Gesetz der EU kommen zum Jahresende neue Vorschriften auf Unternehmen zu. Sie haben zunächst bis zum Jahr 2027 Bestand und stützen einen abgestuften, risikobasierten Ansatz.

Unterschiedliche Risikostufen

Konkret definiert das KI-Gesetz diverse Anforderungen für verschiedene Risikostufen, die sich am potenziellen Schaden für die Sicherheit und Grundrechte von in der EU lebenden Personen orientieren. Das Konzept unterteilt KI-Systeme deshalb grundsätzlich in vier Kategorien: KI-Systeme mit geringem Risiko, KI-Systeme mit hohem Risiko, KI-Systeme für allgemeine Zwecke und verbotene KI-Systeme. Folgende Abstufungen sind im Regelwerk festgeschrieben:

Frei verfügbare KI

Diese Kategorie umfasst öffentlich verfügbare KI-Tools, die von Arbeitnehmern für arbeitsbezogene Zwecke verwendet werden, sei es mit Genehmigung oder anderweitig. Unternehmen sollten eine Liste der verwendeten Systeme erstellen und Mitarbeiter für diese Systeme schulen.

Eingebettete KI

Hierbei handelt es sich um KI-Funktionen, die in Standardlösungen und SaaS-Angeboten integriert sind. Unternehmen müssen im Zusammenhang mit dieser Form der KI detaillierte Informationen von ihren Anbietern anfordern und ihre Risikomanagementprogramme für Drittanbieter ausbauen.

Interne KI

Diese Kategorie beinhaltet KI-Funktionen, die von Organisationen intern trainiert, getestet und entwickelt werden. Unternehmen, die solche eigenen KI-Modelle erstellen und pflegen, verfügen in der Regel bereits über einen Prozess, eigene KI-Technologien zu identifizieren und zu bewerten.

Hybride KI

Hierbei handelt es sich um KI-Funktionen, die in Organisationen mit einem oder mehreren Standardmodellen aufgebaut und anschließend mit Unternehmensdaten ergänzt werden. Unternehmen, die diese Art der Technologie verwenden, müssen ihre Anbieter zu vorab trainierten Komponenten befragen und die mit hybrider KI verbundenen internen Daten bewerten.

Unabhängig davon, welcher Typ von KI zum Einsatz kommt, bleibt Unternehmen nicht mehr viel Zeit, die für Ende 2024 verabschiedeten Richtlinien in die Tat umzusetzen. Verantwortliche für die Themen Sicherheit und Risikomanagement sollten deshalb sofort damit beginnen, die im Unternehmen verwendeten KI-Technologien zu identifizieren und zu katalogisieren, bevor schließlich eine obligatorische Risikobewertung erfolgt.

Personenbezogene Daten im Fokus

Doch wo und wie sollten Unternehmen damit beginnen? Das Gros der im Gesetz beschriebenen Risiken bezieht sich auf die Verarbeitung besonderer Kategorien von personenbezogenen Daten. Folglich müssen zunächst diejenigen Geschäftsbereiche identifiziert werden, in denen solche Daten verarbeitet werden. Dazu zählen typischerweise Abteilungen wie Personal oder Marketing. Eine systematische Identifizierung und Kategorisierung von KI-Systemen sind hier wesentlich, um die Anforderungen des KI-Gesetzes erfüllen und somit die Compliance gewährleisten und das Risikomanagement verbessern zu können. Wie ernst es der EU mit dem KI-Gesetz ist, zeigen die Bußgelder für die Nichtachtung der Vorschriften. Das Bußgeld variiert je nach Risikostufe, wobei die höchste Bußgeldstufe bei Verstößen bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes einer Organisation betragen kann.

Nadar Henein

ist VP Analyst bei Gartner.