Regulierung trifft Innovation: Der EU AI Act und seine Folgen für Schweizer Unternehmen
Regulierung trifft Innovation: Der EU AI Act und seine Folgen für Schweizer Unternehmen
Hintergrund und Ziele des AI Act
Künstliche Intelligenz ist allgegenwärtig und wird bereits für eine breite Palette von Funktionen gebraucht. Doch die Nutzung von KI birgt nicht nur Vorteile, sondern auch Risiken.
Der AI Act wurde entwickelt, um Vertrauen in KI-Systeme zu schaffen und sicherzustellen, dass diese ethisch und sicher eingesetzt werden. Zwar können eine Vielzahl von KI-Systemen aus heutiger Sicht bedenkenlos verwendet werden, jedoch bergen manche von ihnen Risiken, welche geregelt werden müssen, um unerwünschte Folgen einzudämmen.
Um diese Risiken systematisch anzugehen, verfolgt die Verordnung der EU einen risikobasierten Ansatz und kategorisiert KI-Systeme nach ihrem Risikopotenzial in vier Hauptkategorien. Je höher das Risikopotenzial ist, desto mehr Vorschriften müssen die KI-Systeme der Unternehmen erfüllen.
Kategorisierung von KI-Systemen
- Verbotene KI-Systeme: KI-Systeme, die als unzulässig gelten, sind generell verboten. Dazu gehören Anwendungen wie beispielsweise «Social Scoring» (Bewertung von Menschen aufgrund deren Verhalten in der Gesellschaft) oder «Predictive Policing» (Vorhersage von potenziellen Verbrechen aufgrund von Datenanalyse), welche die Privatsphäre und andere Grundrechte der Menschen erheblich gefährden können. Diese Systeme dürfen nur in Ausnahmefällen und unter strengen Auflagen eingesetzt werden.
- Hochrisiko-KI-Systeme: Diese Systeme stellen ein hohes Risiko für Einzelpersonen oder die Gesellschaft dar. Beispiele sind KI-Systeme, die in kritischen Infrastrukturen (bspw. Militär), bei biometrischen Daten oder in Bewerbungsverfahren eingesetzt werden. Solche Systeme müssen strenge Anforderungen an Transparenz, Nachvollziehbarkeit und Risikomanagement erfüllen. Unternehmen müssen sicherstellen, dass die Entscheidungsprozesse nachvollziehbar sind und regelmässige Risikobewertungen sowie Massnahmen zur Risikominderung durchführen.
- KI-Systeme mit limitiertem Risiko: Hierunter fallen Systeme wie Chatbots oder Textgeneratoren, die eine moderate Gefahr darstellen. Unternehmen müssen sicherstellen, dass die Nutzerinnen und Nutzer informiert werden, wenn sie mit einem KI-System interagieren. Zusätzlich müssen Hinweise auf mögliche Fehlinformationen gegeben werden, um die Nutzerinnen und Nutzer vor Missverständnissen zu schützen.
- KI-Systeme mit minimalem Risko: Systeme wie Spamfilter oder KI-unterstützte Videospiele, die ein geringes Risiko darstellen, unterliegen kaum speziellen regulatorischen Anforderungen. Für diese Systeme werden freiwillige Verhaltenskodizes empfohlen, die Unternehmen unterstützen können, gute Praktiken im Umgang mit KI zu fördern.
Zeitliche Staffelung betreffend Umsetzung der Vorschriften
Damit die Unternehmen Zeit haben, ihre KI-Systeme mit unterschiedlichem Risikoprofil gegebenenfalls anzupassen, ist eine zeitliche Staffelung der Vorschriften vorgesehen. Dringend zu beachten ist, dass gemäss dem AI Act verbotene KI-Systeme sechs Monate nach Inkrafttreten nicht mehr benutzt werden dürfen.
| Datum | Was? |
|---|---|
| 12. Juli 2024 | Publikation des AI Act im Amtsblatt der Europäischen Union. |
| 1. August 2024 | Inkrafttreten des AI Act. |
| 2. Februar 2025 | Unternehmen müssen die Vorschriften für verbotene KI-Systeme innerhalb von sechs Monaten nach Inkrafttreten umsetzen. Dies bedeutet, dass entsprechende Systeme bis spätestens Ende Januar 2025 angepasst oder aus dem Verkehr gezogen werden müssen. |
| 2. August 2025 | Unternehmen haben bis zu diesem Zeitpunkt Zeit, ihre Systeme anzupassen und sicherzustellen, dass sie den neuen Vorschriften entsprechen. Ab diesem Datum gilt auch der Sanktionsmechanismus des AI Acts. |
| 2. August 2026 | Allgemeine Geltung der Verordnung. Gewisse Hochrisiko-KI-Systeme (Anhang III AI ACT) müssen bis zu diesem Zeitpunkt den Anforderungen des AI Act entsprechen. |
| 2. August 2027 | Für gewisse Hochrisiko-KI-Systeme besteht eine längere Umsetzungsfrist. Diese ist in Anhang I zum KI Act geregelt. |
Extraterritoriale Wirkung und Bedeutung für Schweizer Unternehmen
Der AI Act hat eine über die Grenzen der EU hinausgehende Wirkung und gilt somit auch für Schweizer Unternehmen, die in der EU tätig sind, oder deren KI-Produkte in der EU verwendet werden. Dies bedeutet, dass im EU-Markt tätige, Schweizer Unternehmen, neben den Anforderungen des Schweizer Datenschutzgesetzes (DSG) und der Datenschutz-Grundverordnung der EU (DSG-VO), zusätzlich die Regelungen des AI Act beachten müssen. Besonders relevant ist dies für Unternehmen, die KI-Systeme in Umlauf bringen, Produkte mit integrierten KI-Systemen vertreiben oder Dienstleistungen anbieten, die auf KI basieren und in der EU verwendet werden.
Herausforderungen und Anpassungsbedarf
Schweizer Unternehmen sollten ihre KI-Systeme sorgfältig analysieren und gegebenenfalls anpassen, um den neuen Anforderungen gerecht zu werden. Dies umfasst unter anderem die Implementierung von Risikomanagementsystemen, Transparenzmassnahmen und die Durchführung von Datenschutz-Folgenabschätzungen (DSFA) bei hochriskanten Anwendungen.
- Risikomanagement: Unternehmen müssen ein umfassendes Risikomanagementsystem einführen, das die Identifikation, Bewertung und Minderung von Risiken umfasst. Dies ist besonders wichtig für Hochrisiko-KI-Systeme, die strengen Anforderungen unterliegen.
- Transparenz und Nachvollziehbarkeit: KI-Systeme müssen so gestaltet sein, dass ihre Entscheidungsprozesse transparent und nachvollziehbar sind. Dies bedeutet, dass Unternehmen dokumentieren müssen, wie Entscheidungen getroffen und welche Daten dabei verwendet werden.
- Datenschutz-Folgenabschätzung (DSFA): Für bestimmte KI-Anwendungen, insbesondere solche, die ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen, ist eine DSFA erforderlich. Diese Bewertung hilft, potenzielle Datenschutzrisiken zu identifizieren und geeignete Massnahmen zu deren Minderung zu ergreifen.
- Nutzerinformation: Bei begrenzten Risikosystemen müssen Unternehmen sicherstellen, dass Nutzerinnen und Nut-zer darüber informiert werden, dass sie mit einem KI-System interagieren. Dies trägt dazu bei, das Vertrauen in KI-Systeme zu stärken und Missverständnisse zu vermeiden.
Erhebliche Sanktionen und Strafen
Die Sanktionen bei Verstössen gegen den AI Act sind erheblich und können administrative Bussen gegen das fehlbare Unternehmen von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres umfassen (je nachdem, welcher Betrag höher ist). Diese hohen Strafen unterstreichen die Bedeutung der Einhaltung der neuen Vorschriften und die Notwendigkeit, entsprechende Compliance-Massnahmen zu implementieren.
KI-Regulierung in der Schweiz
Es existieren in der Schweiz bereits die vom Bund herausgegebenen Leitlinien für Künstliche Intelligenz vom 25. November 2020. Diese bieten einen Rahmen für die ethische und verantwortungsvolle Nutzung von KI in der Schweiz.
Sodann hat der Bundesrat am 22. November 2023 eine umfassende Analyse der möglichen Regulierungsansätze für Künstliche Intelligenz (KI) beim UVEK (Eidgenössisches Departement für Umwelt, Verkehr, Energie und Kommunikation) in Auftrag gegeben, die bis Ende 2024 vorliegen soll. Diese Analyse wird in Zusammenarbeit mit verschiedenen Bundesstellen erstellt und berücksichtigt die Regulierungsansätze des AI Act und des Europarats.
Es ist somit zu erwarten, dass auch in der Schweiz die Nutzung und der Einsatz von Künstlicher Intelligenz in absehbarer Zeit reguliert werden. Folglich ist es bereits jetzt ratsam, sich den Herausforderungen und Anpassungen anzunehmen.
Empfehlungen für Schweizer Unternehmen
Schweizer Unternehmen sollten proaktiv handeln und ihre KI-Systeme sowie die zugehörigen Prozesse überprüfen, um sicherzustellen, dass sie den Anforderungen des AI Act entsprechen. Dabei sollten sie auch die Entwicklungen im Bereich der KI-Regulierung in der Schweiz im Auge behalten.
- Compliance-Überprüfung: Unternehmen sollten eine gründliche Überprüfung ihrer aktuellen KI-Systeme und -Prozesse durchführen, um sicherzustellen, dass sie mit den neuen Vorschriften übereinstimmen. Dies kann durch interne Audits oder externe Beratungen geschehen.
- Schulung und Sensibilisierung: Schulungen für Mitarbeitende sind essenziell, um das Bewusstsein für die neuen Anforderungen zu schärfen und sicherzustellen, dass alle Mitarbeitenden die Bedeutung der Compliance verstehen.
- Technologische Anpassungen: Gegebenenfalls müssen technologische Anpassungen vorgenommen werden, um die Einhaltung der Vorschriften sicherzustellen. Dies kann die Anpassung bestehender Systeme oder die Implementierung neuer Technologien umfassen.
- Zusammenarbeit mit Expertinnen und Experten: Die Zusammenarbeit mit Rechtsexpertinnen und -experten sowie Technologiefachleuten ist essenziell, um eine gesetzeskonforme Implementierung von KI zu gewährleisten und potenzielle Risiken zu minimieren. Ein frühzeitiges Bewusstsein über die eigenen Systeme und Anforderungen hilft dabei, zukünftigen Regulierungen besser zu begegnen.
Fazit
Der EU AI Act stellt eine bedeutende regulatorische Herausforderung dar, bietet aber auch die Möglichkeit, das Vertrauen in KI-Systeme zu stärken und Innovation zu sichern. Für Schweizer Unternehmen ist es entscheidend, sich frühzeitig auf diese neuen Anforderungen vorzubereiten und die notwendigen Anpassungen vorzunehmen, um sowohl den regulatorischen Vorgaben gerecht zu werden als sich auch Wettbewerbsvorteile zu bewahren.
BDO verfügt über ein breites Wissen in den Bereichen Unternehmensberatung, Compliance, Legal und Technologie. Gerne unterstützen wir Sie bei der Überprüfung Ihrer KI-Systeme und der Umsetzung der erforderlichen Massnahmen.