LEZZI sub white RZ

Entschlüsselung des AI-Gesetzes: Was ist es und wie wirkt es sich auf Sie aus?

  1. Einleitung

Die Europäische Union hat sich auf ein Regelwerk für den Einsatz von KI verständigt. Dieser Rechtsrahmen zielt darauf ab, das Vertrauen der Bevölkerung in KI zu stärken und gleichzeitig Sicherheit sowie Grundrechte zu schützen. Am 8. Dezember 2023 haben sich die Europäische Kommission, der Rat der Europäischen Union und das Europäische Parlament auf einen politischen Kompromiss zum AI Act geeinigt. Der AI Act betrifft KI-Systeme, die in der EU eingeführt oder genutzt werden und solche, die Auswirkungen auf Personen in der EU haben. Der AI Act wird voraussichtlich im ersten Quartal 2024 in Kraft treten. Anschliessend wird eine zweijährige Umsetzungsfrist eingeführt. Obwohl es noch eine Weile dauern wird, bis die Verordnung für Schweizer Unternehmen relevant wird, ist es ratsam, sich bereits mit dem aktuellen Entwurf vertraut zu machen. Angesichts der extraterritorialen Wirkung könnte der AI Act für Schweizer Unternehmen bedeutend werden, insbesondere wenn sie ein KI-System auf dem EU-Markt anbieten oder die von ihrem KI-System erzeugten Daten in der EU verwendet werden.

In diesem Briefing wird ein Überblick über das AI Act geboten. Im Anschluss folgen die Auswirkungen, die das AI Act auf Schweizer Unternehmen haben könnte. Es können sich aber noch gewisse Änderungen in der finalen Version ergeben.

  1. Klassifizierung der KI-Systeme
    a)KI-Systeme als Grundlagenmodelle

Neue Richtlinien wurden für KI-Systeme eingeführt, um Situationen zu regulieren, in denen diese für vielfältige Zwecke (Allzweck-KI), genutzt und später in hochrisikante Systeme integriert werden. Die vorläufige Vereinbarung berücksichtigt zudem spezielle Fälle von KI-Systemen für allgemeine Zwecke (GPAI). Es ist entscheidend zu beachten, dass die sogenannten «hochwirksamen» Stiftungsmodellen ebenfalls zu den Basismodellen zugehörig sind. Es bestehen jedoch Unterschiede, die berücksichtigt werden sollten:Für Basismodelle, also grosse Systeme[1], wurden klare Vorschriften festgelegt. Sie müssen gemäss der vorläufigen Einigung bestimmte Transparenzanforderungen erfüllen, bevor sie auf den Markt gebracht werden dürfen. Eine verschärfte Regulierung wurde für «hochwirksame» Stiftungsmodelle eingeführt. Diese Modelle werden mit umfangreichen Datensätzen trainiert und zeichnen sich durch eine überdurchschnittliche Komplexität, Fähigkeiten und Leistung aus. Sie bergen das Potenzial, systematische Risiken entlang der gesamten Wertschöpfungskette zu verbreiten.

b) KI-Systeme nach dem risikobasierten Ansatz

Die Regulierung von KI-Systemen geschieht basierend auf ihren potenziellen Risiken für die Gesellschaft und Grundrechte. Die Kategorisierung erfolgt in folgende Risikostufen: Es wird zwischen einem i) unannehmbaren Risiko, ii) einem hohen Risiko, iii) einem begrenzten Risiko und iv) einem minimalen oder gar kein Risiko unterschieden:

i) Unannehmbares Risiko

Diese Risikostufe umfasst KI-Systeme, die eine grosse Bedrohung für die Gesellschaft und die Grundrechte des Einzelnen darstellen. KI-Systeme gelten dann als unannehmbar, wenn sie Werte der Europäischen Union z.B. Grundrechte, verletzen. Die Verwendung dieser Systeme ist strikt verboten und muss innerhalb von sechs Monaten nach Inkrafttreten des AI Act’s eingestellt werden. Darunter fallen beispielsweise:

  • Social-Scoring-Systeme;
  • vorausschauende Polizeiarbeit:
  • biometrische Identifizierungssysteme im öffentlichen Raum (ausser für spezielle Strafverfolgungszwecke):
  • ungezieltes Auslesen von Gesichtsbildern aus dem Internet oder von Videoüberwachungsaufnahmen zur Erstellung von Gesichtserkennungsdatenbanken;
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen;
  • Kinderspielzeug mit Sprachassistenz, das zu gefährlichem Verhalten von Kindern führen könnte;
  • KI-Systeme, das eine Schwäche oder Schutzbedürftigkeit einer bestimmten Gruppe von Personen aufgrund ihres Alters oder ihrer körperlichen oder geistigen Behinderung ausnutzt, um das Verhalten einer dieser Gruppe angehörenden Person in einer Weise wesentlich zu beeinflussen, die dieser Person oder einer anderen Person einen physischen oder psychischen Schaden zufügt oder zufügen kann.

ii) Hochrisiko-KI-Systeme

Hochrisiko KI-Systeme liegen dann vor, wenn sie ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen darstellen. Entsprechend dem risikobasierten Ansatz sind solche Hochrisiko-KI-Systeme auf dem europäischen Markt zugelassen, sofern sie bestimmten zwingend vorgeschriebenen Anforderungen genügen und vorab eine Konformitätsbewertung durchgeführt wird. Beispiele für derartige KI-Systeme sind:

  • KI-Systeme zur Überprüfung von Bewerbern während des Einstellungsverfahrens;
  • KI in kritischen Infrastrukturen (z. B. Verkehr, Energie, Gas);
  • KI zur Kreditwürdigkeitsprüfung oder zur Bewertung der Kreditwürdigkeit von Personen, KI in Sicherheitskomponenten von Produkten (z. B. Anwendung von KI in der robotergestützten Chirurgie);
  • biometrische Identifizierungs-, Kategorisierungs- und Emotionserkennungssysteme (sofern sie nicht vollständig verboten sind) oder KI-Systeme zur Beeinflussung von Wahlen.

iii) Systeme mit geringem Risiko

Zu dieser Kategorie von KI-Systemen gehören Systeme, die geringe Risiken mitsichbringen. Systeme mit geringem Risiko liegen vor, wenn eine Manipulationsgefahr besteht. Bei solchen KI-Systemen sollen besondere Transparenzanforderungen erfüllt werden, damit die Nutzer fundierte Entscheidungen treffen können. Den Nutzern soll bewusst sein, dass sie mit einem KI-System interagieren. Hierunter fallen z.B.:

  • «Chatbots» oder «Deep fakes»;
  • KI-gestütze Videospiele;
  • KI-Systeme, die in virtuellen Assistenten eingesetzt werden;
  • KI-Systeme, die synthetische Audio-, Video-, Text- oder Bilddaten verwenden.

Diese oben genannten Beispiele müssen so konzipiert werden, dass sie als künstlich erzeugt bzw. künstlich manipuliert von den Nutzern wahrgenommen werden.

iv) Systeme mit minimalem oder gar kein Risiko

Die Kategorie der Systeme mit minimalem oder gar kein Risiko können unter Einhaltung des allgemein geltenden Rechts entwickelt und verwendet werden. Es sollen keine zusätzlichen rechtliche Verpflichtungen eingeführt werden. Anbieter solcher Systeme können sich freiwillig zur Einhaltung von Verhaltenskodizes verpflichten (sogenannte Codes of Conduct). Unter dieser Kategorie fallen beispielsweise KI-gestützte Videospiele, Spamfilter oder KI, die zum Sortieren von Dokumenten in Büros verwendet wird.

  1. Sanktionen

Der AI Act wird hohe Geldstrafen vorsehen. Es ist unter anderem mit den folgenden Geldbussen zu rechnen[2]:

Es wird eine Geldbusse bis zu 35 Mio. Euro bzw. 7% des weltweiten Jahresumsatzes für Verstösse gegen verbotene Anwendungen oder die Nichteinhaltung der Anforderung an Daten und Daten-Governance vorgesehen.

Ferner wird eine Geldbusse bis zu 15 Mio. Euro bzw. 3% des weltweiten Jahresumsatzes bei Verstössen gegen andere Anforderungen oder Verpflichtungen aus der Verordnung, einschliesslich der Verletzung der Bestimmungen über GPAI Modelle erhoben.

Schliesslich werden Unternehmen mit einer Geldbusse bis zu 7.5 Mio. Euro bzw. 1.5% des weltweiten Jahresumsatzes bei falschen, unvollständigen oder irreführenden Angaben in angeforderten Auskünften an benannte Stellen und zuständige nationale Behörden bestraft.

  1. Was müssen Schweizer Unternehmen tun?

Schweizer Unternehmen, die ein KI-System entwickeln oder einsetzen, sind angehalten, sorgfältig zu überwachen, wann das AI Act in Kraft tritt, und sich entsprechend vorzubereiten.

Anschliessend sollten die Unternehmen prüfen, ob in einem ersten Schritt das AI Act anwendbar ist. Die Anwendbarkeit liegt dann vor, wenn sie ihr KI-System in der EU anbieten, ihr KI-System in der EU eingesetzt, importiert oder verwendet wird oder der Output ihres KI-Systems in der EU verwendet wird. Falls dies der Fall ist, folgt im zweiten Schritt die Überprüfung in welcher Risikokategorie ihr KI-System fällt.

Bedient sich das Schweizer Unternehmen an KI-Systemen, die inakzeptable Risiken aufweisen, so muss das Unternehmen es innerhalb von sechs Monaten nach Inkrafttreten des AI Actes einstellen. Liegen dem Unternehmen KI-Systeme mit begrenztem Risiko vor, so müssen Unternehmen sicherstellen, dass sie bis zum Inkrafttreten des AI Actes die Transparenzverpflichtungen oder weitere Verpflichtungen einhalten.

Im Umgang mit KI-Systemen mit hohem Risiko müssen Schweizer Unternehmen insbesondere die folgenden Checkliste prüfen oder umsetzen:

Checkliste für KI-Systeme mit hohem Risiko

Liegt eine KI-Governance vor?

Ja/Nein

Informationenmitteilungen, um die Einhaltung der Transparenzpflichten zu gewährleisten.

Ja/Nein

Liegt ein Verfahren zur Sicherstellung der Datenqualität und Governance bei der Schulung von KI-Systemen vor?

Ja/Nein

Werden Risikomanagementsysteme gebraucht bzw. müssen sie je nach Bedarf erweitert werden?

Ja/Nein

Werden Cybersicherheitsmassnahmen wahrgenommen? Falls solche bestehen, sollten sie überprüft und bei Bedarf aktualisiert werden.

Ja/Nein

Liegen Verfahren für eine Konformitätsbewertung vor? Wenn ja, sollten bestehende, sektorspezifische Konformitätsverfahren bei Bedarf erweitert werden.

Ja/Nein

Wurde ein Verfahren zur Durchführung einer Folgenabschätzung für die Grundrechte eingeführt? Es kann auf den bisherigen Erfahrungen mit der Datenschutzfolgenabschätzung aufgebaut werden.

Ja/Nein

Wurde ein Verfahren zur Gewährleistung der menschlichen Aufsicht eingeführt?

Ja/Nein

Wird der Umgang mit KI-Systemen mit hohem Risiko technisch dokumentiert?

Ja/Nein

Liegt eine Registrierung des KI-Systems bei den zuständigen Behörden vor?

Ja/Nein

  1. Die Entwicklung der Schweiz

Der Bundesrat beschloss am 22. November 2023 die Regulierung von KI in der Schweiz zu evaluieren. Zweck war es sicherzustellen, dass das Potenzial von KI genutzt werden kann und gleichzeitig Risiken wie Diskriminierung oder Fehlinformationen verringert werden. Bis Ende 2024 sollen mögliche Ansätze zur Regulierung von KI in der Schweiz identifiziert werden. Daher ist es für Schweizer Unternehmen ratsam, die aktuelle Entwicklung des AI Acts zu verfolgen und bei Bedarf entsprechende Anpassungen vorzunehmen. Dies gilt insbesondere vor dem Hintergrund, dass sich die Schweizer Politik zunehmend mit der Regulierung von KI befasst, und es zu erwarten ist, dass sie den Vorgaben des AI Acts folgen wird.

  1. Fazit

Wie geht es weiter? Der AI Act muss noch förmlich verabschiedet werden, um als Gesetz Geltung zu erhalten. Erwartet wird, dass es im ersten Quartal 2024 in Kraft tritt. Zwei Jahre nach seinem Inkrafttreten ist der AI Act anwendbar. Es gilt dennoch zu beachten, dass das Verbot von KI-Systemen mit inakzeptablen Risiken nach sechs Monaten und die Vorschriften über GPAI nach zwölf Monate nach dem Inkrafttreten Wirkung haben.

[1] Grosse Systeme sind in der Lage ein breites Spektrum unterschiedlicher Aufgaben zu erfüllen, wie z. B. Video-, Text- und Bilderzeugung, Konversation in Seitensprache, Rechenleistung oder die Erzeugung von Computercode.

[2] Bei den Bussen wird jener Wert verwendet, welcher höher ist. D.h. wenn 7% des Jahresumsatzes höher ist als EUR 35 Mio., so wird dieser als Geldstrafe verwendet.

Share:

LinkedIn
Das könnte Sie interessieren

Zusammenhängende Posts

EDÖB Leitfaden TOMs

1.    Einleitung Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) veröffentlichte am 23. Januar 2024 einen aktualisierten Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (TOM)