Anwendungen von KI, die ein unannehmbares Risiko darstellen, sind verboten. Beispiele hierfür sind der Einsatz von biometrischen Echtzeit-Fernidentifizierungssystemen in öffentlich zugänglichen Räumen, von Systemen zur Bewertung des sozialen Verhaltens («Social Scoring») sowie von Techniken zur unterschwelligen Beeinflussung von Personen oder bestimmten schutzbedürftigen Gruppen.
Hochrisiko-KI-Systeme sind zugelassen, müssen aber bestimmte Anforderungen erfüllen und einer Konformitätsprüfung unterzogen werden. Diese Prüfung muss vor der Markteinführung abgeschlossen sein. Diese Systeme müssen ferner in eine EU-Datenbank eingetragen werden, die noch eingerichtet wird. Der Betrieb von Hochrisiko-KI-Systemen erfordert ein angemessenes Risikomanagementsystem, Protokollierungsfunktionen und menschliche Aufsicht bzw. Verantwortung. Für Trainings-, Validierungs- und Testdatensätze müssen geeignete Daten-Governance-Verfahren umgesetzt werden. Ferner sind Kontrollen vorzusehen, welche die Cybersicherheit, Robustheit und Nicht-Diskriminierung des jeweiligen KI-Systems sicherstellen.
Beispiele für Hochrisiko-KI-Systeme sind Modelle für den Betrieb von kritischen Infrastrukturen sowie Systeme, die für Rekrutierung oder Mitarbeiterbewertungen, Kreditwürdigkeitprüfungen, die automatische Schadensabwicklung bei Versicherungen oder die Festlegung von Risikoprämien für Kunden verwendet werden.
Bei den übrigen Systemen gelten die Risiken als begrenzt oder minimal. Beim Einsatz solcher Systeme besteht eine Transparenzpflicht, das heisst, die Nutzer müssen darüber informiert werden, dass sie mit von KI erzeugten Inhalten interagieren. Beispiele hierfür sind Chatbots oder Deepfakes, die nicht als Hochrisiko-Systeme gelten, bei denen die Benutzer aber wissen müssen, dass sie KI-gestützt sind.
Es wird empfohlen, dass alle Betreiber von KI-Systemen einen Verhaltenskodex für ethische KI einführen und anwenden. Insbesondere für KI-Modelle für allgemeine Zwecke (General-purpose AI models - GPAI), einschließlich Grundlagenmodelle und generative KI-Systeme, gilt ein gesonderter Klassifizierungsrahmen. Das KI-Gesetz verfolgt einen abgestuften Ansatz bei den Compliance-Verpflichtungen und unterscheidet zwischen GPAI-Modellen mit hoher Auswirkung und systemischem Risiko und anderen GPAI-Modellen.
Schritt 3: Vorbereitung
Als Anbieter, Nutzer, Einführer, Händler oder Betroffener von KI-Systemen müssen Sie sicherstellen, dass Ihre KI-Praktiken mit der neuen Regulierung übereinstimmen. Zur vollständigen Einhaltung aller Bestimmungen sollten Sie folgende Schritte unternehmen: (1) mit Ihren KI-Systemen verbundene Risiken beurteilen, (2) Bewusstsein schaffen, (3) ethische Systeme entwickeln, (4) Verantwortung zuweisen, (5) auf dem Laufenden bleiben und (6) eine formelle Governance etablieren. Wenn Sie jetzt proaktiv handeln, verhindern Sie potenziell erhebliche Sanktionen für Ihr Unternehmen, sobald das Gesetz in Kraft tritt.
Das KI-Gesetz soll nach der Veröffentlichung im Amtsblatt der Europäischen Union im zweiten bis dritten Quartal 2024 in Kraft treten. In der Folge werden Übergangsfristen für die Einhaltung der Vorschriften festgelegt: Unternehmen haben sechs Monate Zeit, um die Anforderungen für verbotene KI-Systeme zu erfüllen, zwölf Monate für bestimmte KI-Anforderungen für allgemeine Zwecke und 24 Monate, um die vollständige Einhaltung der Vorschriften zu erreichen.
Welche Sanktionen sind bei Nichteinhaltung des Gesetzes zu erwarten?
Die Nichteinhaltung des Gesetz über Künstliche Intelligenzes kann erhebliche Sanktionen nach sich ziehen und schwerwiegende Auswirkungen auf das Geschäft des Anbieters oder Anwenders haben. Abhängig von der Schwere des Verstosses bewegen sie sich zwischen 7.5 und 35 Millionen Euro oder 1 bis 7 Prozent des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr. Daher ist es für alle Beteiligten von grösster Bedeutung, dass sie das Gesetz über Künstliche Intelligenz vollständig verstehen und seine Bestimmungen einhalten.
Welche Auswirkungen hat das Gesetz auf die Finanzdienstleistungsbranche?
Die Finanzdienstleistungsbranche wurde als einer der Sektoren identifiziert, auf den KI potenziell die grössten Auswirkungen hat. Das Gesetz über Künstliche Intelligenz der EU sieht ein dreistufiges Risikoklassifizierungsmodell vor, das KI-Systeme nach dem Grad des Risikos einstuft, das sie für die Grundrechte und die Sicherheit der Nutzer darstellen. Die Finanzdienstleistungsbranche setzt eine Vielzahl von Modellen und datengestützten Prozessen ein, die in Zukunft verstärkt auf KI basieren werden. Prozesse und KI-Systeme, die zur Bonitätsprüfung oder zur Bewertung der Risikoprämien von Kunden eingesetzt werden, fallen nach dem KI-Gesetz in die Hochrisiko-Kategorie. Darüber hinaus fallen auch KI-Systeme, die für den Betrieb und die Wartung von als kritisch eingestuften Finanzinfrastrukturen verwendet werden, in den Anwendungsbereich von KI-Systemen mit hohem Risiko, ebenso wie KI-Systeme, die für die biometrische Identifizierung und Kategorisierung natürlicher Personen oder die Beschäftigungs- und Mitarbeiterverwaltung verwendet werden.