Mit der KI-Verordnung (AI Act) sollen Unternehmen dazu verpflichtet werden, Künstliche Intelligenz verantwortungsvoll zu nutzen. Mit diesem Gesetz hat die EU einheitliche Regeln für KI festgelegt. Bei Verstößen drohen Strafen. Für viele Firmen sind die Vorschriften jedoch noch undurchsichtig, insbesondere für kleine und mittlere Unternehmen ohne eigene Rechtsabteilung. Im Forschungsprojekt AI Act-Ready entwickeln das IPH und das Institut für Rechtsinformatik der Leibniz Universität Hannover deshalb gemeinsam einen Leitfaden, der die KI-Verordnung und die damit verbundenen Pflichten verständlich und praxisnah erklärt. Derzeit suchen die Wissenschaftler und Wissenschaftlerinnen nach produzierenden Unternehmen, die KI nutzen und zum Projekt beitragen möchten.
Keine Angst vor der KI-Verordnung
Von der Fertigung über die Qualitätskontrolle bis zum Vertrieb lassen sich in fast allen Unternehmensbereichen Aufgaben mithilfe von KI deutlich schneller erledigen. Unternehmen können KI beispielsweise nutzen, um Angebote zu schreiben, die Stromkosten zu reduzieren oder die Produktqualität zu verbessern. Auch in der Ausbildung kann KI zum Einsatz kommen, etwa um Berufsanfänger und Berufsanfängerinnen individuelles Feedback zu ihrer Arbeit zu geben. All das sind keine Zukunftsvisionen, sondern aktuelle Anwendungsfälle aus Unternehmen in Niedersachsen.
Doch bei allen Vorteilen bringt KI auch Risiken mit sich. Um diese zu minimieren und einen verantwortungsvollen Umgang mit der Technik sicherzustellen, hat die Europäische Union (EU) die KI-Verordnung erlassen – das erste Gesetz, das einheitliche Regeln für die KI-Nutzung festlegt.
Je höher das Risiko der KI, desto strenger sind die EU-Vorschriften
Die KI-Verordnung der EU teilt KI in vier verschiedene Risikoklassen ein. Systeme mit unannehmbarem Risiko hat die EU komplett verboten. Dazu gehört beispielsweise das Social Scoring, bei dem Behörden oder Unternehmen menschliches Verhalten bewerten, indem sie den öffentlichen Raum überwachen und mithilfe von KI versuchen, Straftaten vorherzusagen und Menschen präventiv festzunehmen. Da derartige KI-Systeme in die Grundrechte von Menschen eingreifen, dürfen sie in der EU nicht eingesetzt werden.
Für KI-Systeme mit hohem Risiko gelten besonders strenge Anforderungen. Als hochriskant gilt jegliche KI, die Einfluss auf Menschen hat. Das ist beispielsweise der Fall, wenn Personalabteilungen KI nutzen, um Bewerbungen auszusortieren, oder wenn Hersteller von medizinischen Geräten KI einsetzen, um Produktionsfehler zu erkennen. Die KI-Verordnung verpflichtet Unternehmen in solchen Fällen unter anderem dazu, die Systeme unter menschliche Aufsicht zu stellen und nur hochwertige Datensätze zu verwenden, um die KI zu trainieren.
Für KI-Systeme mit mittlerem Risiko gelten besondere Transparenzverpflichtungen. Nutzer und Nutzerinnen müssen deutlich darauf hingewiesen werden, dass sie es beispielsweise in der Kundenberatung mit einem Chatbot statt mit einem Menschen zu tun haben. Texte oder Bilder, die mithilfe von KI erzeugt wurden, müssen entsprechend gekennzeichnet werden – egal, ob es sich um einen Social-Media-Beitrag oder eine mit KI erstellte Bedienungsanleitung handelt. Zu KI-Systemen mit minimalem Risiko zählen beispielsweise Spamfilter. Für diese Systeme gibt es keine speziellen Pflichten, Unternehmen können jedoch freiwillig zusätzliche Verhaltensregeln für die Nutzung aufstellen.
Sinnvolles Risiko-Management oder Hindernis für Innovation?
„Ein verantwortungsvoller Umgang mit KI ist wichtig, die Regeln der EU sind also durchaus sinnvoll“, sagt Denise Wullfen, wissenschaftliche Mitarbeiterin und KI-Expertin am IPH – Institut für Integrierte Produktion Hannover. „Aber für Unternehmen ist das Regelwerk momentan noch schwer zu durchschauen.“ Die Hürde, KI zu nutzen, werde aus Angst vor Strafen noch höher, denn Unternehmen, die gegen die KI-Verordnung verstoßen, müssen schließlich mit einer Strafe von bis zu 20 Millionen Euro rechnen. Vor allem kleine und mittlere Unternehmen (KMU) ohne eigene Rechtsabteilung haben es laut Wullfen momentan schwer, herauszufinden, was sie beim Einsatz von KI konkret beachten müssen.
Auf die Nutzung von KI zu verzichten, um Strafen zu vermeiden, ist allerdings keine Lösung. Damit hätten Unternehmen einen großen Wettbewerbsnachteil gegenüber der Konkurrenz, die KI nutzt. Zudem müssen Unternehmen ihren Mitarbeitenden klare Vorgaben machen, sonst entsteht sogenannte Schatten-KI. „Tools wie Chat-GPT gehören für viele Menschen schon so sehr zum Alltag, dass die Versuchung groß ist, sie auch im Beruf zu nutzen“, sagt Wullfen. Unternehmen können das Thema nicht ignorieren, sondern müssen die KI-Nutzung entweder klar verbieten oder regulieren. Dafür benötigen sie eine KI-Richtlinie.
Juristen und KI-Experten starten gemeinsames Forschungsprojekt
Um KMU die rechtssichere Nutzung von KI zu ermöglichen, hat das IPH gemeinsam mit dem Lehrstuhl für Bürgerliches Recht und IT-Recht am IRI – Institut für Rechtsinformatik der Leibniz Universität Hannover das interdisziplinäre Forschungsprojekt „AI Act-Ready“ ins Leben gerufen.
Die KI-Experten und -Expertinnen sowie die Juristen und Juristinnen erarbeiten gemeinsam zwei Hilfestellungen speziell für produzierende KMU. Einerseits schreiben die Forschenden einen Leitfaden, der Unternehmen auf verständliche und praxisnahe Weise durch die neuen KI-Vorschriften führt. Andererseits entwickeln sie einen Software-Demonstrator, der Unternehmen dabei unterstützt, die Risikoklasse einer KI-Anwendung zu ermitteln, die Nutzungsbedingungen zu klären und die Wirtschaftlichkeit des Einsatzes trotz aller Vorgaben und Risiken zu bewerten. Zudem können KMU den Software-Demonstrator nutzen, um eigenständig einen Entwurf für eine unternehmensindividuelle KI-Richtlinie zu erstellen.
Mit diesen Hilfestellungen wollen die Forschenden produzierenden KMU die Angst vor der KI-Verordnung nehmen, damit das Gesetz nicht zum Hindernis für Fortschritt wird, sondern einen verlässlichen Rahmen bietet, um KI rechtssicher zu nutzen und wettbewerbsfähig zu bleiben. Für das Forschungsprojekt suchen das IPH und das IRI produzierende KMU, die bereits KI nutzen oder den Einsatz von KI in naher Zukunft planen. Im Projektbegleitenden Ausschuss (PA) haben sie die Gelegenheit, sich mit KI-Experten und -Expertinnen sowie Juristen und Juristinnen über ihre konkreten Anwendungsfälle auszutauschen und zu klären, welche Maßnahmen sie ergreifen müssen, um die KI-Verordnung einzuhalten.
