Künstliche Intelligenz (KI) verändert nicht nur unseren Alltag, sondern auch die Geschäftswelt grundlegend. Mit der neuen EU-KI-Verordnung (KI-VO) hat die Europäische Union einen Rechtsrahmen geschaffen, der sicherstellen soll, dass KI-Systeme sicher und transparent sind. Wir erklären, warum diese Verordnung wichtig ist, welche Anforderungen für Kleine und Mittelständische Unternehmen (KMUs) relevant werden und wie Sie diese umsetzen können.
Warum gibt es die EU-KI-Verordnung?
Die EU-KI-Verordnung soll Risiken minimieren, die durch den Einsatz von Künstlicher Intelligenz entstehen können. Dazu zählen insbesondere Diskriminierung, Datenschutzverletzungen und das Fehlverhalten von KI-Systemen. Die Verordnung zielt darauf ab, Innovation zu fördern und die Grundrechte und Freiheiten von Menschen zu schützen.
Für wen gilt die KI-Verordnung?
Die KI-Verordnung richtet sich an alle Akteure, die KI-Systeme entwickeln, vertreiben oder einsetzen – sowohl innerhalb der Europäischen Union als auch außerhalb, sofern diese Systeme auf den EU-Markt gelangen oder die Menschen in der EU beeinflussen. Dazu zählen:
- Unternehmen jeder Größe, die KI-Systeme entwickeln oder bereitstellen.
- Dienstleister und Vertriebspartner, die KI-basierte Produkte oder Dienstleistungen anbieten.
- Nutzer von KI-Systemen, insbesondere in Bereichen mit hohem Risiko, wie etwa im Gesundheitswesen, der Strafverfolgung oder dem Bildungswesen.
Die Verordnung gilt also nicht nur für Tech-Giganten, sondern auch für KMUs, die KI einsetzen oder entwickeln.
Welche Anforderungen sind zu erfüllen?
Zum einen teilt die Verordnung KI-Systeme in verschiedene Risikokategorien ein, von minimalem bis hin zu hohem Risiko. Je nachdem, in welche Kategorie ein System fällt, gelten unterschiedliche Anforderungen. Systeme mit hohem Risiko (z. B. KI-Systeme zur Rekrutierung oder Kreditwürdigkeitsprüfung) unterliegen besonders strengen Anforderungen. Um zu wissen, welche Regeln für Ihr KI-System gelten, müssen Sie Ihre KI-Systeme richtig klassifizieren. Je nach Risiko wird KI in vier Kategorien eingeteilt:
- Verbotene Systeme, Art. 5 KI-VO (Manipulation von Verhaltensweisen)
- Hochrisiko-KI-Systeme (bspw. KI-Systeme in Bereichen wie Gesundheit, Sicherheit oder Bildung)
- KI-System mit geringem Risiko (bspw. Chatbots)
- Minimales/kein Risiko (bspw. Spam-Filter, Empfehlungsalgorithmen)
Zum anderen gibt es weitere Vorgaben, z. B. zu Transparenz und Datenschutz, die erfüllt werden müssen:
- Transparenzpflichten: Sie müssen sicherstellen, dass Nutzer informiert sind, wenn sie mit einem KI-System interagieren. Besonders wichtig ist dies, wenn KI für Entscheidungen eingesetzt wird, die Menschen betreffen, wie etwa bei Bewerbungsgesprächen oder automatisierten Chatbots.
- Datenschutz und Datensicherheit: Die EU-KI-Verordnung steht in engem Zusammenhang mit der Datenschutz-Grundverordnung (DSGVO). Das bedeutet, dass auch Sie sicherstellen müssen, dass die Daten, die Ihre KI-Systeme verarbeiten, sicher und im Einklang mit den Datenschutzbestimmungen behandelt werden.
- Risikomanagement und Dokumentation: Unternehmen, die KI-Systeme mit hohem Risiko einsetzen, müssen ein Risikomanagement-System einrichten und die Compliance-Prozesse umfassend dokumentieren.
Handreichung des BayLDA für KMUs
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlichte kürzlich eine Handreichung, die insbesondere KMUs bei der Umsetzung der EU-KI-Verordnung unterstützt. Sie gibt praxisnahe Tipps, wie Sie die neuen Anforderungen erfüllen können, ohne dabei Ihre Geschäftsprozesse unnötig zu belasten. Zu den wesentlichen Empfehlungen gehören:
- Frühe Risikobewertung: KMUs sollten frühzeitig analysieren, ob und welche KI-Systeme sie nutzen. Dabei sollten Sie prüfen, ob Ihre Systeme unter die Kategorie „hohes Risiko“ fallen.
- Schulungen für Mitarbeiter: Insbesondere kleine Unternehmen sollten ihre Mitarbeiter zu den neuen Anforderungen schulen, um sicherzustellen, dass die KI-Systeme verantwortungsvoll eingesetzt werden.
- Datenverarbeitung prüfen: Jedes KI-System verarbeitet Daten. Es ist daher auch nach dieser Auffassung wichtig zu prüfen, ob die Verarbeitung dieser Daten im Einklang mit der DSGVO erfolgt.
5-Punkte-Plan zur Compliance-Umsetzung für KMUs
Um sicherzustellen, dass Ihr Unternehmen den Anforderungen der EU-KI-Verordnung entspricht, haben wir einen konkreten 5-Punkte-Plan erstellt:
- Bestandsaufnahme Ihrer KI-Systeme: Prüfen Sie, welche KI-Systeme Sie im Einsatz haben. Identifizieren Sie, ob sie in die Kategorie der Hochrisiko-KI fallen. Dies können Sie auch anhand unseres überarbeiteten Musters für die Dienstleister- und Softwareliste erledigen.
- Risikobewertung und Kategorisierung: Bewerten Sie das Risiko Ihrer KI-Systeme. Verstehen Sie, welche regulatorischen Anforderungen für die jeweilige Kategorie gelten. Auch die Kategorisierung können Sie mittels unserer überarbeiteten Liste vornehmen.
- Schulung und Sensibilisierung: Sorgen Sie dafür, dass alle Mitarbeiter, die mit KI-Systemen arbeiten oder diese einsetzen, über die Anforderungen der EU-KI-Verordnung informiert sind. Hier bieten wir Ihnen KI-Schulungen an, mit denen Sie den Anforderungen nach der KI-Verordnung nachkommen.
- Datenschutz sicherstellen: Stellen Sie sicher, dass alle von KI-Systemen verarbeiteten Daten im Einklang mit der DSGVO und anderen Datenschutzgesetzen verarbeitet werden.
- Dokumentation und Nachweis der Compliance: Dokumentieren Sie alle Maßnahmen zur Einhaltung der Vorschriften. Dies umfasst auch die Erstellung von Risikomanagement-Berichten und technischen Dokumentationen.
Fazit
Die EU-KI-Verordnung betrifft auch kleine und mittlere Unternehmen, die KI-Systeme einsetzen oder anbieten. Mit einer systematischen Vorgehensweise, wie sie etwa in der Handreichung des LDA Bayern beschrieben wird, können Sie die neuen Anforderungen bewältigen. Weitere Informationen und detaillierte Anleitungen finden Sie auf der offiziellen Seite des LDA Bayern hier.
Gerne unterstützen wir Sie bei der Umsetzung der notwendigen Schritte und führen Sie rechtssicher zu Ihrem KI-Ziel! Kontaktieren Sie uns gerne unter legal@sidit.de.
