Teil 4: Verant­wort­lich­keiten, Auswir­kungen auf Unter­nehmen und Vorbereitung

1. Verant­wort­lich­keiten von Anbietern und Nutzern

Die EU-KI-Verordnung definiert die Pflichten aller Betei­ligten klar und unmiss­ver­ständlich. Die Verant­wortung für die Einhaltung der gesetz­lichen Anfor­de­rungen liegt primär bei den Anbietern von KI-Systemen. Sie sind dafür verant­wortlich, die Konfor­mität ihrer Produkte sicher­zu­stellen und poten­zielle Risiken für die Nutzer zu vermeiden.

Beispiel: Ein Unter­nehmen, das eine KI-basierte Gesund­heits-App entwi­ckelt, muss sicher­stellen, dass alle Daten­schutz­be­stim­mungen einge­halten werden und die App sicher für die Nutzer ist, inklusive Schutz sensibler Gesundheitsdaten.

Unter­nehmen und Organi­sa­tionen, die KI-Systeme nutzen, sind verpflichtet, die Systeme gemäß den Anwei­sungen zu verwenden und auftre­tende Risiken oder Probleme unver­züglich zu melden. Auch Impor­teure und Händler haben spezi­fische Pflichten, um die Einhaltung der Vorschriften sicherzustellen.

2. Wer muss die KI-Verordnung beachten?

Die EU-KI-Verordnung richtet sich an eine Vielzahl von Akteuren, die in den Entwick­lungs- und Einsatz­prozess von Künst­licher Intel­ligenz invol­viert sind. Es ist entscheidend, die Anfor­de­rungen und Verpflich­tungen zu verstehen, um die Vorschriften zu erfüllen und recht­liche Konse­quenzen zu vermeiden.

  • Anbieter von KI-Systemen: Sie tragen die Haupt­ver­ant­wortung für die Konfor­mität des KI-Systems mit der Verordnung.
  • Beispiel: Ein Software­un­ter­nehmen in Deutschland, das ein KI-basiertes Diagno­setool entwi­ckelt, muss sicher­stellen, dass es alle Anfor­de­rungen der Verordnung erfüllt.
  • Nutzer von KI-Systemen: Nutzer sind verpflichtet, das System gemäß den Anwei­sungen des Anbieters zu verwenden und Risiken zu melden.
  • Beispiel: Eine Bank, die ein externes KI-System zur Kredit­wür­dig­keits­prüfung nutzt, muss Mitar­beiter entspre­chend schulen und Unregel­mä­ßig­keiten melden.
  • Impor­teure und Händler: Diese müssen sicher­stellen, dass die impor­tierten oder verkauften KI-Systeme den EU-Vorschriften entsprechen.
  • Beispiel: Ein Unter­nehmen impor­tiert Haushalts­geräte mit KI aus Asien und muss sicher­stellen, dass sie den Anfor­de­rungen der KI-Verordnung entsprechen.
  • Dienst­leister und Integra­toren: Wenn wesent­liche Änderungen vorge­nommen werden, müssen sie die Verordnung einhalten.
  • Beispiel: Ein IT-Dienst­leister, der ein KI-System anpasst, übernimmt die Pflichten eines Anbieters und muss Konfor­mität sicherstellen.
  • Entwickler von Open-Source-KI: Wenn Open-Source-KI-Systeme kommer­ziell genutzt werden, muss das Unter­nehmen die Vorschriften einhalten.
  • Beispiel: Ein Start-up, das einen Open-Source-Algorithmus für Gesichts­er­kennung nutzt, muss sicher­stellen, dass die Anwendung die Verordnung erfüllt.
  • Unter­nehmen außerhalb der EU: Unter­nehmen, die KI-Systeme auf dem EU-Markt anbieten, müssen die Verordnung beachten.
  • Beispiel: Ein US-Unter­nehmen, das eine KI-basierte Perso­nal­re­kru­tie­rungs­plattform in der EU anbietet, muss die Anfor­de­rungen erfüllen.
  • KMU und Start-ups: Auch kleine Unter­nehmen müssen die Verordnung erfüllen, wenn sie KI-Systeme entwi­ckeln oder einsetzen.
  • Beispiel: Ein kleines Tech-Unter­nehmen, das eine KI-App für Gesund­heits­be­ratung entwi­ckelt, muss die Anfor­de­rungen hinsichtlich Daten­qua­lität und Sicherheit erfüllen.
  • Behörden und öffent­liche Einrich­tungen: Öffent­liche Stellen, die KI-Systeme einsetzen, müssen die Verordnung ebenfalls beachten.
  • Beispiel: Eine Verwaltung, die ein KI-System zur Zuweisung von Sozial­woh­nungen einsetzt, muss sicher­stellen, dass das System trans­parent ist.

3. Auswir­kungen auf Unternehmen

Unter­nehmen sind dazu verpflichtet, proaktiv zu handeln, um die Anfor­de­rungen der Verordnung zu erfüllen. Im ersten Schritt ist eine Risiko­be­wertung erfor­derlich, um die bestehenden KI-Systeme gemäß den Risiko­ka­te­gorien der Verordnung zu klassifizieren.

Beispiel: Ein Software­un­ter­nehmen analy­siert seine Produkte, um festzu­stellen, welche Anwen­dungen als “hohes Risiko” einge­stuft werden müssen.

Im Anschluss sind Compliance-Maßnahmen zu entwi­ckeln und umzusetzen, einschließlich interner Prozesse zur Einhaltung der gesetz­lichen Vorgaben.

Beispiel: Ein Unter­nehmen könnte ein internes Audit­system imple­men­tieren, das die Konfor­mität der KI-Systeme regel­mäßig überprüft.

Die Schulung der Mitar­beiter ist ebenfalls ein wesent­licher Faktor, um sicher­zu­stellen, dass Teams die Bedeutung der Compliance verstehen.

Beispiel: Mitar­beiter könnten lernen, wie sie Verzer­rungen in Daten erkennen und vermeiden können.

In vielen Fällen sind zudem technische Anpas­sungen an den KI-Systemen erfor­derlich, um die Genau­igkeit zu erhöhen und Verzer­rungen zu beseitigen.

Beispiel: Ein Kredit­in­stitut könnte seine KI für Kredit­wür­dig­keits­prü­fungen aktua­li­sieren, um diskri­mi­nie­rungs­freie Entschei­dungen zu gewährleisten.