Mit dem KI-Gesetz der EU kommen zum Jahresende neue Vorschriften auf Unternehmen zu. Sie haben zunächst bis zum Jahr 2027 Bestand und stützen einen abgestuften, risikobasierten Ansatz.
Konkret definiert das KI-Gesetz diverse Anforderungen für verschiedene Risikostufen, die sich am potenziellen Schaden für die Sicherheit und Grundrechte von in der EU lebenden Personen orientieren. Das Konzept unterteilt KI-Systeme deshalb grundsätzlich in vier Kategorien: KI-Systeme mit geringem Risiko, KI-Systeme mit hohem Risiko, KI-Systeme für allgemeine Zwecke und verbotene KI-Systeme. Folgende Abstufungen sind im Regelwerk festgeschrieben:
Diese Kategorie umfasst öffentlich verfügbare KI-Tools, die von Arbeitnehmern für arbeitsbezogene Zwecke verwendet werden, sei es mit Genehmigung oder anderweitig. Unternehmen sollten eine Liste der verwendeten Systeme erstellen und Mitarbeiter für diese Systeme schulen.
Hierbei handelt es sich um KI-Funktionen, die in Standardlösungen und SaaS-Angeboten integriert sind. Unternehmen müssen im Zusammenhang mit dieser Form der KI detaillierte Informationen von ihren Anbietern anfordern und ihre Risikomanagementprogramme für Drittanbieter ausbauen.
Diese Kategorie beinhaltet KI-Funktionen, die von Organisationen intern trainiert, getestet und entwickelt werden. Unternehmen, die solche eigenen KI-Modelle erstellen und pflegen, verfügen in der Regel bereits über einen Prozess, eigene KI-Technologien zu identifizieren und zu bewerten.
Hierbei handelt es sich um KI-Funktionen, die in Organisationen mit einem oder mehreren Standardmodellen aufgebaut und anschließend mit Unternehmensdaten ergänzt werden. Unternehmen, die diese Art der Technologie verwenden, müssen ihre Anbieter zu vorab trainierten Komponenten befragen und die mit hybrider KI verbundenen internen Daten bewerten.
Unabhängig davon, welcher Typ von KI zum Einsatz kommt, bleibt Unternehmen nicht mehr viel Zeit, die für Ende 2024 verabschiedeten Richtlinien in die Tat umzusetzen. Verantwortliche für die Themen Sicherheit und Risikomanagement sollten deshalb sofort damit beginnen, die im Unternehmen verwendeten KI-Technologien zu identifizieren und zu katalogisieren, bevor schließlich eine obligatorische Risikobewertung erfolgt.
Doch wo und wie sollten Unternehmen damit beginnen? Das Gros der im Gesetz beschriebenen Risiken bezieht sich auf die Verarbeitung besonderer Kategorien von personenbezogenen Daten. Folglich müssen zunächst diejenigen Geschäftsbereiche identifiziert werden, in denen solche Daten verarbeitet werden. Dazu zählen typischerweise Abteilungen wie Personal oder Marketing. Eine systematische Identifizierung und Kategorisierung von KI-Systemen sind hier wesentlich, um die Anforderungen des KI-Gesetzes erfüllen und somit die Compliance gewährleisten und das Risikomanagement verbessern zu können. Wie ernst es der EU mit dem KI-Gesetz ist, zeigen die Bußgelder für die Nichtachtung der Vorschriften. Das Bußgeld variiert je nach Risikostufe, wobei die höchste Bußgeldstufe bei Verstößen bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes einer Organisation betragen kann.
ist VP Analyst bei Gartner.
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…