KI-Verordnung der EU (AI Act) : EU AI Act: Welche Compliance-Vorgaben muss Künstliche Intelligenz erfüllen?

Die Panne sorgte für weltweite Aufmerksamkeit. 2018 musste Amazon ein KI-Tool außer Betrieb nehmen, mit dem das Unternehmen eigentlich einen großen Schritt die digitale Zukunft machen wollte. Das System sollte interne Bewerbungen sichten, sie transparenter reihen und für mehr Effizienz sorgen. Es hatte allerdings ein verhängnisvolles Bias: Es benachteiligte systematisch weibliche Bewerberinnen. Rückblickend sehen viele den damaligen Vorfall bei Amazon als jenen Moment, in dem auch der breiteren Öffentlichkeit bewusst wurde, dass Künstliche Intelligenz auch ein Compliance-Thema ist.

>>> Sepp Hochreiter: „Ich möchte Open AI vom Markt fegen“

Inzwischen hat sich die Diskussion weiter gedreht. Mitte Juni dieses Jahres hat das Europäische Parlament den Artificial Intelligence Act, manchmal auch als KI-Gesetz bezeichnet, angenommen. Seine endgültige Form wird die Regelungen allerdings erst nach den Verhandlungen mit den Mitgliedstaaten finden.

„Der neue EU AI Act steht vor der Tür. Es ist Europas erster Versuch, Künstliche Intelligenz zu regulieren und Grundlagen zu schaffen, damit diese Technologie verantwortungsvoll eingesetzt wird“, kommentiert Sandra Wachter, die aktuelle Entwicklung. Wachter, die in Wien Rechtswissenschaften studierte und seit 2022 eine Professur für Technologie und Regulierung am Internet Institute der Universität Oxford bekleidet, zählt heute zu den profiliertesten Forscherinnen, die sich mit ethisch-juristischen Themen rund um Robotik und Künstliche Intelligenz beschäftigen.

>>> Wittmann Battenfeld: Warum AI zum Effizienzbooster des Maschinenbaus wird

Eine Möglichkeit, direkt von ihrer Expertise zu profitieren, bietet der Compliance Solution Day von LexisNexis, der am 21. September in der Orangerie Schönbrunn stattfindet. Als Keynote-Speakerin wird sich Wachter dort der Frage widmen, ob eine faire, transparente und verantwortliche Regelung von KI-Einsatz möglich ist und wie sie aussehen könnte.

Aus heutiger Sicht spricht vieles dafür, dass der vom Europäischen Parlament angenommene Entwurf in manchen Bereichen unter-, in anderen aber überreguliert. So beklagen zum Beispiel Kritiker, dass nicht genug Druck erzeugt wird, damit Unternehmen wirklich effektiv und von unabhängiger Stelle kontrolliert werden können. Auf der Seite der Unternehmen ist man wiederum angesichts der Höhe der möglichen Strafen irritiert.

• Bis zu 30 Millionen Euro oder 6 Prozent des weltweiten Jahresumsatzes (je nachdem welche Summe größer ist), sollen anfallen, wenn ein vom Artificial Intelligence Act verbotenes KI-System eingesetzt wird.
• 20 Millionen oder 4 Prozent, des weltweiten Umsatzes, wenn das System in Sachen Genauigkeit, Cybersicherheit und Robustheit nicht den rechtlichen Vorgaben entspricht und
• immer noch 10 Millionen oder 2 Prozent des weltweiten Umsatzes bei Verstößen gegen die Auskunftspflicht an Behörden.

Ambitioniert ist auch der Umfang der angestrebten Regelungen. So definiert der Artificial Intelligence Act, welche KI-Anwendungen als Bedrohung für die Menschen gelten und daher als unannehmbares Risiko verboten werden sollen. Dazu gehören laut dem Entwurf unter anderem Tools, die Soziales Scoring ermöglichen, also die Klassifizierung von Menschen auf der Grundlage ihres Verhaltens, ihres sozioökonomischen Status oder ihrer persönlichen Merkmale.

Ebenso als KI-Bedrohung für den Menschen definiert werden Systeme, die bei bestimmten Personen zu gefährlichem Verhalten führen, aber auch die automatisierte Echtzeit- Fernidentifizierungssysteme, wobei es hier Ausnahmen geben soll.

Eine Reihe weiterer Anwendungen definiert das europäische KI-Gesetz als hochriskant und will ihre Nutzung mit strengen Regeln versehen. Die Festlegung dieser Anlegungen ist lang und umfasst unter anderem den Einsatz von KI bei der Verwaltung von Arbeitnehmer-Daten oder bei der Auslegung und Verwendung von Gesetzen. Allein diese zwei Beispiele zeigen, dass Unternehmen schnell in einen Bereich kommen können, in dem KI-Anwendung rechtlich durchaus heikel wird.

>>> Das lernen wir von den AI-Pionieren der österreichischen Industrie

Für Susanne Mortimore, Geschäftsführerin von LexisNexis Österreich sind Ausbildung und Know-how daher einer der wichtigsten Hebel, um dieser Herausforderungen zu begegnen. „Gut ausgebildete Compliance Officer sind der beste Schutz für Unternehmen. Unser Compliance Solutions Day bietet die besten Voraussetzungen, sich spezifisch weiterzubilden, zu netzwerken und sich mit anderen auszutauschen. Die Compliance Praxis bietet im Zusatz dazu die optimale Grundlage“, erklärt sie.

Eine Beschäftigung mit dem KI-Thema ist für Unternehmen auch deshalb so wichtig, weil viele Unternehmen schon jetzt KI einsetzen. Wenn solche bereits in Anwendung stehenden Systeme nicht in Einklang mit den bestehenden Regelungen gebracht werden, kann es schnell problematisch werden. Nicht minder wichtig ist die Kenntnis der bevorstehenden Gesetze aber auch für jene Firmen, die KI gerade erst implementieren. Für sie ist es auf jeden Fall sinnvoll, Systeme aufzusetzen, die schon jetzt möglichst im Einklang mit dem Artificial Intelligence Act stehen. Ansonsten drohen bei dessen Inkrafttreten umfangreiche Umbauten, die man so verhindern kann.

>>> Industrie 4.0: AI und das Problem fehlerhafter Daten

Eine Reihe von Beiträgen am Compliance Solutions Day widmet sich diesem Themenkreis. So werden Christoph Haid und Günther Leissler von Schönherr Rechtsanwälte darüber sprechen, was bei der Implementierung noch unregulierter Systeme rechtlich zu beachten ist und Dirk Hagemann von Hagemann Consulting über Genehmigungspflichten von Softwareanwendungen und entsprechender Hardware. Der Frage, ob Compliance-relevante Regulierungen immer ganzheitlicher werden, wird sich indessen Moritz Homann von der EQS-Group widmen.

>>> Kann Industrial AI seine Versprechen halten?

Bei allen regulatorischen Vorgaben bleibt Künstliche Intelligenz freilich dennoch ein Tool, das für Unternehmen viel Mehrwert bringt, auch im Compliance Bereich. So können KI-Systeme – ein Beispiel, das am Compliance Solutions Day Oliver Werner von CMS Reich-Rohrwig Hainz Rechtsanwälte aufgreifen wird, dazu genützt werden, besonders tückische Risikosituationen, etwa solche mit zwar geringem Eintrittsrisiko, aber hohem Schadenspotential zu identifizieren. Oder sie können, wie Alexander Schneider und Kerstin Farkas von PwC Österreich zeigen werden, dazu genützt werden Verträge besser und sicherer zu gestalten: „Durch die Unterstützung von Künstlicher Intelligenz und Contract Analytics können Unternehmen wieder die Oberhand über ihr Vertragswerk erlangen können, um so ihr Risiko minimal zu halten.“ Und das sind nur zwei Beispiele von vielen