Ein Überblick über das EU-AI-Gesetz

Der jüngste gesetzgeberische Meilenstein der Europäischen Union – das Gesetz über künstliche Intelligenz – wird voraussichtlich den umfassendsten Rechtsrahmen für künstliche Intelligenz darstellen, der bisher geschaffen wurde. Am 8. Dezember 2023 erzielten die europäischen Gesetzgeber eine vorläufige Einigung über das EU-KI-Gesetz. Nach dem derzeit erwarteten Zeitplan wird das KI-Gesetz im Jahr 2026 in Kraft treten.

Der AI Act wird mit der Datenschutz-Grundverordnung (DSGVO) verglichen, da die DSGVO weitreichende Auswirkungen auf die Gestaltung regionaler Datenschutzgesetze über die Europäische Union hinaus hatte. Der AI Act stellt einen bedeutenden Schritt in der Steuerung und Regulierung von KI-Technologien innerhalb der EU dar und setzt einen Präzedenzfall mit globalen Auswirkungen.

Was ist die Definition von KI-Systemen?

Um eine einheitliche Definition zu schaffen, die auf zukünftige KI-Systeme anwendbar ist und Missverständnisse vermeidet, hat das EU-Parlament die Definition eines KI-Systems der OECD übernommen:

„Ein KI-System ist ein maschinenbasiertes System, das [...] aus den empfangenen Eingaben ableitet, wie es Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert, die physische oder virtuelle Umgebungen beeinflussen können.“

Was ist der Anwendungsbereich des EU AI Act?

Der AI Act ist extraterritorial und gilt für Unternehmen und Einzelpersonen, die relevante KI-Systeme erstellen, manipulieren oder einsetzen – unabhängig von ihrem Standort. Das bedeutet, dass Unternehmen und Einzelpersonen den Vorgaben des AI Act folgen müssen, solange diese Systeme innerhalb der Europäischen Union genutzt werden oder dort Auswirkungen haben. Zum Beispiel muss ein in den USA ansässiges Unternehmen, das ein KI-System einsetzt, das Trainingsdaten europäischer Bürger verwendet, den AI Act einhalten.

Es ist wichtig zu beachten, dass das Gesetz bestimmte KI-Systeme ausdrücklich von seinem Anwendungsbereich ausschließt, insbesondere:

• Systeme, die ausschließlich für militärische oder Verteidigungszwecke verwendet werden
• Systeme, die ausschließlich Forschungs- und Innovationsaktivitäten gewidmet sind
• Von Einzelpersonen aus persönlichen, nicht beruflichen Gründen betriebene Systeme

Das Hauptziel des Europäischen Parlaments bei der Einführung des AI Act besteht darin, sicherzustellen, dass KI-Systeme, die einen direkten Einfluss innerhalb der EU haben, sicher, transparent, nachvollziehbar, nicht diskriminierend und umweltfreundlich sind. Darüber hinaus wird großer Wert auf die menschliche Aufsicht über diese Systeme gelegt, um das Risiko negativer Auswirkungen zu verringern und schädliche Folgen zu verhindern.

Wie wird das KI-Risiko kategorisiert?

Zunächst einmal ist der EU AI Act ein risikobasierter Rechtsrahmen, da es unterschiedliche Regeln für verschiedene Risikostufen gibt. Diese Risiken werden je nach dem Grad der Bedrohung, den sie für die Gesellschaft darstellen, kategorisiert: unannehmbar, Hochrisiko und begrenztes Risiko.

KI-Systeme mit unannehmbarem Risiko

KI-Systeme, die als unannehmbares Risiko eingestuft werden, sind absolut verboten. Dazu gehören:

• Social Scoring: Kategorisierung von Personen basierend auf ihrem Verhalten, sozioökonomischen Hintergrund oder persönlichen Merkmalen.
• Verwendung biometrischer Identifikation: einschließlich Gesichtserkennung, Fingerabdrücke und anderer biometrischer Merkmale für verschiedene Zwecke. Es gibt Ausnahmen für die Verfolgung schwerer Straftaten, jedoch nur mit vorheriger richterlicher Genehmigung.
• Manipulation durch kognitives Verhalten: Szenarien wie sprachgesteuerte Spielzeuge, die riskante Handlungen bei Kindern auslösen oder auf gefährdete Gruppen abzielen könnten.

Hochrisiko-KI-Systeme

Die Europäische Union stuft KI-Systeme außerdem als Hochrisiko ein, da sie potenziell Auswirkungen auf die Sicherheit oder die Grundrechte haben können. Sie fallen in zwei Hauptkategorien: KI-Systeme, die in EU-regulierten Produkten wie Luftfahrtausrüstung, Autos, Spielzeug und Medizinprodukten eingesetzt werden, sowie solche, die in acht spezifischen Bereichen verwendet werden, darunter Strafverfolgung, kritische Infrastrukturen sowie das Management von Migration, Asyl und Grenzkontrolle.

Es ist wichtig zu beachten, dass Hochrisiko-KI-Systeme einer gründlichen Bewertung unterzogen werden müssen, bevor sie auf den Markt gebracht werden. Darüber hinaus müssen ihre Leistung und die Einhaltung von Standards während ihres gesamten Lebenszyklus kontinuierlich überwacht werden, um sicherzustellen, dass sie sicher bleiben und mit den Grundrechten im Einklang stehen.

KI-Systeme mit begrenztem Risiko

Systeme, die als begrenztes Risiko eingestuft sind, wie generative KI wie ChatGPT und Deepfakes, müssen grundlegende Transparenzstandards erfüllen. Sie müssen die Nutzer darauf hinweisen, dass sie mit einem KI-System interagieren, sodass diese nach einer ersten Interaktion entscheiden können, ob sie die Anwendung weiterhin nutzen möchten. Dies gilt insbesondere in Fällen, in denen KI zur Erstellung oder Manipulation von Bild-, Audio- oder Videoinhalten wie Deepfakes eingesetzt wird.

Was sind die Strafen und Compliance-Anforderungen?

Wie bereits erwähnt, unterliegen KI-Systeme mit unannehmbarem Risiko und Hochrisiko-KI-Systeme strengen Anforderungen. Jede künstliche Intelligenz, die ein unannehmbares Risikoniveau darstellt, ist absolut verboten und mit hohen finanziellen Strafen belegt. Darüber hinaus umfassen Hochrisiko-Systeme strenge Compliance-Anforderungen wie verpflichtende Folgenabschätzungen hinsichtlich der Grundrechte, die Registrierung in öffentlichen EU-Datenbanken sowie die Pflicht, Erklärungen zu KI-gestützten Entscheidungen bereitzustellen, die die Rechte der Bürger betreffen, und weitere Vorgaben.

Andererseits sind die Verpflichtungen für KI-Systeme mit begrenztem Risiko relativ gering und konzentrieren sich hauptsächlich auf Transparenz, wie etwa die angemessene Kennzeichnung von Inhalten, die Information der Nutzer bei der Interaktion mit KI sowie Transparenz durch Zusammenfassungen der Trainingsdaten und technische Dokumentation.

Geldbußen für Verstöße gegen das Gesetz werden entweder als Prozentsatz des weltweiten Jahresumsatzes der betreffenden Partei im vorangegangenen Geschäftsjahr oder als fester Betrag berechnet, je nachdem, welcher Wert höher ist:

• 35 Mio. € oder 7 % für die Nutzung verbotener KI-Anwendungen
• 15 Mio. € oder 3 % bei Verstoß gegen die Verpflichtungen des Gesetzes
• 7,5 Mio. € oder 1,5 % für die Bereitstellung falscher Informationen

Hinweis: Für kleine und mittlere Unternehmen (KMU) sowie Start-ups gibt es verhältnismäßige Obergrenzen für Verwaltungsgelder.

Wie kann Cyera Ihnen helfen, sich auf den EU AI Act vorzubereiten?

Die Data Security-Plattform von Cyera ermöglicht es Ihnen, Trainingsdaten, die von KI-Systemen verwendet werden, zu entdecken, zu klassifizieren und deren Risiken zu bewerten. Durch die kontinuierliche Bewertung der Trainingsdaten unterstützt Cyera Unternehmen dabei, ihre KI-Systeme besser zu verstehen und abzusichern, um sich auf den EU AI Act vorzubereiten.

Ganzheitliche Sichtbarkeit

Cyera identifiziert und analysiert den Standort, die Klassifizierung, die Sensitivität und die damit verbundenen Risiken von Trainingsdaten. Die Plattform ermittelt, wo Trainingsdaten in den verschiedenen organisatorischen Silos gespeichert sind, und hilft Ihnen, eine einheitliche Sicht auf die von KI-Systemen verwendeten Daten zu schaffen.

Risikobewertung

Cyera bewertet die Risiken basierend auf dem Inhalt und dem Umfeld der Daten. Zum Beispiel informiert Cyera Sie darüber, ob Trainingsdaten personenbezogene Informationen (PII) enthalten, ob sie allgemein zugänglich sind und ob die Daten sowohl echt als auch im Klartext offengelegt sind, was das Risiko dieser Daten erhöht.

Darüber hinaus berechnet Cyera das Risiko von Trainingsdaten, indem die Umgebung bewertet wird, in der die Daten gespeichert sind. Zum Beispiel kann das Risiko für diese Daten erhöht sein, wenn sie unsachgemäß in unsicheren Umgebungen gespeichert werden oder wenn das Logging deaktiviert ist.

Governance

Cyera ermöglicht es Ihnen, die Konfigurationseinstellungen von Datenspeichern, die Trainingsdaten enthalten, zu überprüfen sowie Richtlinien zu aktivieren und Warnmeldungen auszulösen, wenn verdächtige Aktivitäten erkannt werden. Zum Beispiel wird eine Warnung an die zuständigen Sicherheitsanalysten ausgelöst, wenn jemand die Daten in eine nicht autorisierte Umgebung verschiebt, damit diese den Vorfall überprüfen und eingreifen können. Cyera bietet außerdem eine umfassende Prüfung darüber, wer Zugriff auf Trainingsdaten hat, einschließlich einer detaillierten Auflistung der Berechtigungen jedes Nutzers und des jeweiligen Zwecks des Datenzugriffs.

Fazit

Während sich die Entwicklungen rund um das EU-AI-Gesetz weiterhin entfalten, wird das Gesetz, sobald es offiziell in Kraft tritt, zweifellos einen globalen Standard für die Regulierung von KI setzen. Es schafft ein Gleichgewicht zwischen dem Bedarf an Innovation und dem Gebot von Sicherheit, Datenschutz und ethischen Überlegungen. Die strengen Strafen, die im Rahmen dieses Gesetzes verhängt werden, zwingen Betreiber von KI-Systemen dazu, die Bestimmungen des Gesetzes einzuhalten.

Cyera ermöglicht Sicherheitsteams, zu wissen, wo sich ihre Daten befinden, was sie Risiken aussetzt, und sofortige Maßnahmen zu ergreifen, um Schwachstellen zu beheben und die Einhaltung von Vorschriften sicherzustellen, ohne den Geschäftsbetrieb zu stören. Cyera bietet eine moderne Lösung für ein modernes Problem: Unternehmen dabei zu helfen, die von KI-Systemen genutzten und generierten Daten zu verstehen und zu schützen.

Erfahren Sie mehr darüber, wie Cyera Ihnen dabei helfen kann, die mit Ihren KI-Systemen verbundenen Daten zu verwalten, und vereinbaren Sie noch heute eine Demo.