KI-Gesetz: EU macht ernst mit Risikomanagement und Compliance

Mit dem KI-Gesetz der EU kommen zum Jahresende neue Vorschriften auf Unternehmen zu. Sie haben zunächst bis zum Jahr 2027 Bestand und stützen einen abgestuften, risikobasierten Ansatz.

Unterschiedliche Risikostufen

Konkret definiert das KI-Gesetz diverse Anforderungen für verschiedene Risikostufen, die sich am potenziellen Schaden für die Sicherheit und Grundrechte von in der EU lebenden Personen orientieren. Das Konzept unterteilt KI-Systeme deshalb grundsätzlich in vier Kategorien: KI-Systeme mit geringem Risiko, KI-Systeme mit hohem Risiko, KI-Systeme für allgemeine Zwecke und verbotene KI-Systeme. Folgende Abstufungen sind im Regelwerk festgeschrieben:

Frei verfügbare KI

Diese Kategorie umfasst öffentlich verfügbare KI-Tools, die von Arbeitnehmern für arbeitsbezogene Zwecke verwendet werden, sei es mit Genehmigung oder anderweitig. Unternehmen sollten eine Liste der verwendeten Systeme erstellen und Mitarbeiter für diese Systeme schulen.

Eingebettete KI

Hierbei handelt es sich um KI-Funktionen, die in Standardlösungen und SaaS-Angeboten integriert sind. Unternehmen müssen im Zusammenhang mit dieser Form der KI detaillierte Informationen von ihren Anbietern anfordern und ihre Risikomanagementprogramme für Drittanbieter ausbauen.

Interne KI

Diese Kategorie beinhaltet KI-Funktionen, die von Organisationen intern trainiert, getestet und entwickelt werden. Unternehmen, die solche eigenen KI-Modelle erstellen und pflegen, verfügen in der Regel bereits über einen Prozess, eigene KI-Technologien zu identifizieren und zu bewerten.

Hybride KI

Hierbei handelt es sich um KI-Funktionen, die in Organisationen mit einem oder mehreren Standardmodellen aufgebaut und anschließend mit Unternehmensdaten ergänzt werden. Unternehmen, die diese Art der Technologie verwenden, müssen ihre Anbieter zu vorab trainierten Komponenten befragen und die mit hybrider KI verbundenen internen Daten bewerten.

Unabhängig davon, welcher Typ von KI zum Einsatz kommt, bleibt Unternehmen nicht mehr viel Zeit, die für Ende 2024 verabschiedeten Richtlinien in die Tat umzusetzen. Verantwortliche für die Themen Sicherheit und Risikomanagement sollten deshalb sofort damit beginnen, die im Unternehmen verwendeten KI-Technologien zu identifizieren und zu katalogisieren, bevor schließlich eine obligatorische Risikobewertung erfolgt.

Personenbezogene Daten im Fokus

Doch wo und wie sollten Unternehmen damit beginnen? Das Gros der im Gesetz beschriebenen Risiken bezieht sich auf die Verarbeitung besonderer Kategorien von personenbezogenen Daten. Folglich müssen zunächst diejenigen Geschäftsbereiche identifiziert werden, in denen solche Daten verarbeitet werden. Dazu zählen typischerweise Abteilungen wie Personal oder Marketing. Eine systematische Identifizierung und Kategorisierung von KI-Systemen sind hier wesentlich, um die Anforderungen des KI-Gesetzes erfüllen und somit die Compliance gewährleisten und das Risikomanagement verbessern zu können. Wie ernst es der EU mit dem KI-Gesetz ist, zeigen die Bußgelder für die Nichtachtung der Vorschriften. Das Bußgeld variiert je nach Risikostufe, wobei die höchste Bußgeldstufe bei Verstößen bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes einer Organisation betragen kann.

Nader Henein

ist VP Analyst bei Gartner.

Roger Homrich

Recent Posts

Podcast: Chancen und Risiken durch KI zum Schutz vor Hackerangriffen

Christoph Schuhwerk, CISO EMEA bei Zscaler, über den Einfluss von KI auf den permanenten Wettlauf…

10 Stunden ago

Außerplanmäßiges Update schließt Zero-Day-Lücke in Chrome

Von ihr geht ein hohes Risiko aus. Laut Google ist ein Exploit für die Chrome…

1 Tag ago

Hacker setzen neuartige Infostealer gegen Unternehmen ein

Kaspersky stellt eine hohe Nachfrage nach datenstehlender Malware in kriminellen Kreisen fest. Die Infostealer sind…

1 Tag ago

KI-gestützte Betrugserkennung

Neue Funktion in GoTo Resolve schützt Nutzer von Mobilgeräten vor Finanzbetrug, indem sie Support-Sitzungen überwacht…

1 Tag ago

Europäischer Smartphonemarkt wächst zehn Prozent im ersten Quartal

Es ist das erste Plus seit dem dritten Quartal 2021. Die Marktforscher von Counterpoint rechnen…

2 Tagen ago

Megawatt-Kühlung für KI

Rittal hat eine neue Kühllösung vorgestellt, die über 1 Megawatt Kühlleistung erbringt und den Weg…

2 Tagen ago