«Upcoming European AI Regulation: What to expect & how to prepare» (Die geplante EU-Verordnung zu KI: Was auf Sie zukommt und wie Sie sich vorbereiten) ist der Titel eines achtseitigen Whitepapers von Unit8. Darin erklärt Unit8 die wichtigsten Punkte der Verordnung und wie sich Unternehmen darauf vorbereiten können.
Um die kommenden regulatorischen Anforderungen zu erfüllen, empfiehlt Unit8 eine Reihe von Massnahmen, welche Unternehmen vorbeugend umsetzen sollten. Während sich die kommende EU-Verordnung auch deutlich auf Banken und Versicherungsdienstleister auswirken wird, weist das Whitepaper auf Chancen für Mehrwerte hin, die sich aus einer proaktiven Haltung für Unternehmen ergeben können.
Die vorgeschlagene EU-Verordnung ist zwar noch nicht in Kraft, doch der aktuelle Verordnungsentwurf liefert bereits einen klaren Einblick in die Zukunft der Regulierung von KI in der EU. Da es sich dabei um eine der weltweit umfassendsten Verordnungen zu Künstlicher Intelligenz handelt, die für alle Branchen gilt, könnte sie zum Präzedenzfall für Gesetzgeber auf der ganzen Welt werden.
Unternehmen aus dem Finanzsektor beispielsweise werden besonders betroffen sein, da Anwendungen zur Kreditwürdigkeitsprüfung von der Regulierungsbehörde ausdrücklich als Hochrisiko-Anwendungen eingestuft wurden und daher stark reguliert werden sollen.
- Gültigkeitsbereich der zukünftigen KI-Verordnung
In der Einleitung wird der Gültigkeitsbereich der Verordnung diskutiert. Die Verordnung gilt nicht nur für Unternehmen mit Sitz in der EU, sondern für alle Unternehmen, die in der EU tätig sind oder dort KI-Systeme vertreiben oder nutzen. Somit sind auch Schweizer Unternehmen, die KI-Systeme entwickeln oder einsetzen, stark von der Verordnung betroffen.
In Anbetracht ihrer oft komplexen, grenzüberschreitenden rechtlichen Strukturen müssen sich international tätige Unternehmen aus dem Finanzsektor frühzeitig mit diesen komplexen Auflagen auseinandersetzen.
- Risikobasierter Ansatz
Die EU-Verordnung verfolgt einen risikobasierten Ansatz, nach dem KI-Systeme in vier Risikoklassen unterteilt werden: Klasse 1 (inakzeptables Risiko), Klasse 2 (hohes Risiko), Klasse 3 (geringes Risiko) und Klasse 4 (minimales Risiko).
Das Whitepaper von Unit8 beschreibt die verschiedenen Risikoklassen sowie die gesetzlichen Anforderungen, die in den jeweiligen Klassen erfüllt werden müssen. Insbesondere liegt der Fokus auf den ersten beiden Klassen, die anhand von konkreten Beispielen der betroffenen KI-Systeme veranschaulicht werden.
- Massnahmen zur Vorbereitung auf regulatorische Änderungen
Das Whitepaper zeigt detailliert die gesetzlichen Anforderungen auf, die vor und nach der Markteinführung oder Inbetriebnahme eines KI-Systems erfüllt werden müssen. Unit8 schlägt dabei mögliche Vorbereitungs-massnahmen für Unternehmen vor. Dazu gehören Rechtskonformität, technische Dokumentation, Transparenz, Cybersicherheit und Schutz gegen KI-Schwachstellen.
Bei der Umsetzung dieser Maßnahmen darf jedoch nicht vergessen werden, dass KI-Systeme auch weiterhin einen Beitrag zur unternehmerischen Wertschöpfung leisten sollen. Der Bericht erwähnt auch, welche Konsequenzen eine Nichtbeachtung der EU-Verordnungen – sei diese freiwillig oder unfreiwillig – für Unternehmen hat.
Bei Nichteinhaltung drohen Bussgelder, die bis zu 6 % des weltweiten Unternehmensumsatzes erreichen können, wodurch diese im Extremfall kostspieliger sind als die Strafen bei Verstössen gegen die DSGVO.
Die bevorstehende EU-Verordnung zur Verwendung von KI-Systemen ist komplex und umfasst „viele anspruchsvolle Auflagen“, wie Andreas Blum, Head of Digital & AI Consulting Practice bei Unit8, schreibt. Dennoch - oder gerade deswegen - ist es wichtig, so früh wie möglich zu handeln: „Da in absehbarer Zukunft weltweit mehr KI-Verordnungen eingeführt werden sollen, müssen sich Unternehmen auf die regulatorischen Anforderungen vorbereiten.“
Dr. Marcin Pietrzyk, CEO von Unit8, empfiehlt, bereits jetzt die erforderlichen Compliance-Checks, Fähigkeiten und Partnerschaften mit Experten aufzubauen, um von den Vorteilen von KI zu profitieren ohne dabei das Risiko geschäfts- oder reputationsgefährdener Strafen durch die Regulierungsbehörden einzugehen.