Was Unternehmen über den AI-Act wissen sollten

36
Florian Defrancesco, Binder Grösswang Rechtsanwälte
Ivo Rungg und Florian Defrancesco, Binder Grösswang Rechtsanwälte

Am 1. August 2024 trat eine EU Verordnung, bekannt als der AI-Act, in Kraft und muss nun schrittweise verbindlich befolgt werden. Diese umfassende Regelung zur Regulierung künstlicher Intelligenz in der EU stellt Unternehmen vor neue Herausforderungen.

Der AI-Act zielt darauf ab, eine sichere und verantwortungsvolle Nutzung von KI-Systemen zu gewährleisten. Zentraler Bestandteil des Gesetzes ist die Definition eines „KI-Systems“, die bewusst breit gefasst ist, um alle Formen von KI-Software abzudecken, die potenziell Risiken bergen. Dabei geht es nicht nur um offensichtliche KI-Anwendungen, sondern auch um Softwarelösungen, die in der alltäglichen Geschäftspraxis unauffällig erscheinen könnten, aber dennoch unter den Anwendungsbereich des Gesetzes fallen können. Hierzu zählen beispielsweise Kunden-Chatbots, die im Sinne des AI-Acts als KI-Systeme eingestuft werden könnten.

Betroffene Branchen und Anwendungen

Die Verordnung betrifft alle Unternehmen, die als ein Akteur im Sinne des AI-Acts ein entsprechendes KI-System entwickeln, vertreiben oder verwenden. Beispiele für KI-Systeme sind Maschinen, die als Teil der Produktionskette Qualitätsüberprüfungen durchführen, Algorithmen zur Überwachung von Lagerbeständen, Programme, die große Datenmengen für personalisierte Anlageempfehlungen verarbeiten, oder Chatbots, die Kundenanfragen bearbeiten. Darüber hinaus werden auch alltägliche Anwendungen wie Suchmaschinen, Streamingdienste mit Empfehlungsalgorithmen, Sprachassistenten und Gesichtserkennungssoftware durch den AI-Act reguliert.

Unternehmen müssen sorgfältig prüfen, ob sie als Anbieter oder Betreiber von KI-Systemen eingestuft werden oder unter Umständen einen anderen Akteur im Sinne des AI-Acts, wie Einführer oder Händler, darstellen. Anbieter ist die Person, die ein KI-System entwickelt oder unter eigenem Namen in Verkehr bringt. Eine solche Einstufung kann auch auf Unternehmen zutreffen, die ein bereits bestehendes KI-System erheblich verändern oder neu trainieren. Betreiber sind hingegen alle natürlichen oder juristischen Personen, die ein KI-System in eigener Verantwortung nutzen. Dies kann von kleinen Unternehmen bis hin zu großen Konzernen reichen.

Ausnahmen, Sonderregelungen und Maßnahmen für Unternehmen

Der AI-Act macht zudem deutlich, dass nicht jede Nutzung eines KI-Systems automatisch reguliert wird. Es gibt Ausnahmen, zum Beispiel für kostenfrei und offen bereitgestellte Systeme oder für bestimmte Forschungs- und Entwicklungsprojekte, die nicht unter realen Bedingungen getestet werden. Auch persönliche, nicht-berufliche Anwendungen von KI können von der Regulierung ausgenommen sein.

Unternehmen, die KI nutzen, sollten daher sorgfältig prüfen, ob ihre KI-Software ein KI-System im Sinne des AI-Acts darstellt, und ob sie in diesem Fall als ein Akteur im Sinne des AI-Acts agieren. Dies gilt insbesondere bei der Anschaffung neuer KI-gestützter IT-Lösungen oder digitaler Produktionstechnologien. Abhängig von der Risikobewertung der eingesetzten KI und der spezifischen Rolle des Unternehmens können verschiedene Maßnahmen erforderlich werden, darunter die Implementierung eines Qualitätsmanagementsystems, umfassende Dokumentations-, Melde- und Registrierungspflichten sowie die Einhaltung von Compliance-Nachweisen.

Autoren: Dr. Mag. Ivo Rungg und Mag. BA Florian Defrancesco
Text: Leicht redaktionell angepasst
Foto: beigestellt, bearbeitet

Flower