Ein strategischer Überblick über die neue EU-Regulierung der künstlichen Intelligenz
2: KI-GESETZ
Als das KI-Gesetz in Kraft trat, entstand in vielen Unternehmen schnell ein weit verbreitetes Missverständnis: ”Schließlich entwickeln wir keine KI, daher trifft das auf uns kaum zu.”
In der Praxis ist es jedoch weitaus differenzierter.
Die Rolle von Anbieter oder Inbetriebnahme hängt nicht von der Branche, den Ambitionen oder der technischen Reife ab, sondern von Wie das Unternehmen mit dem von ihm verwendeten KI-System interagiert.
Und die Realität ist, dass viele Unternehmen bereits Anbieter sind, ohne es überhaupt zu merken.
Warum die Rollenverteilung so entscheidend ist
Das KI-Gesetz basiert unter anderem auf dem Grundsatz, dass die Partei, die die Funktionalität des KI-Programms beeinträchtigt, die Verantwortung für die Risiken und Folgen trägt, die sich aus seiner Nutzung ergeben können. Daher ist die Rollenverteilung der erste und wichtigste Schritt in jedem Compliance-Prozess. Es steuert:
- Wie umfangreich die Dokumentation sein muss
- welche technischen Anforderungen das Unternehmen erfüllen muss
- wie tief man bei Risikobewertungen gehen sollte
- Wie umfangreich wird eine mögliche Prüfung sein
- Wie viel Verantwortung trägt das Unternehmen, wenn die KI Fehler macht
Der Anbieter: Derjenige, der die KI prägt
Viele stellen sich vor, dass ein “Anbieter” nur größere Unternehmen sind, jemand, der die Algorithmen von Grund auf neu schreibt und komplexe LLMs anbietet. Doch in der Logik des KI-Gesetzes ist die Definition viel weiter gefasst. Stellen Sie sich ein Unternehmen vor, das ein KI-System gekauft hat, anschließend aber Modellparameter anpasst, das System anhand seiner eigenen Daten trainiert oder eine API-Schicht darauf aufbaut, damit die Ausgabe besser an seine Prozesse angepasst wird. Obwohl sie noch nie eine Codezeile geschrieben haben, haben sie nun Einfluss genommen wieDie KI funktioniert. Und somit sind sie Anbieter. Ein Unternehmen ist ein Anbieter, wenn es:
- Entwickelt ein KI-System ganz oder teilweise
- darf ein System entwickeln, das unter dem Namen des Unternehmens vermarktet wird und betrieben wird.
- ändert Funktionalität, Entscheidungslogik oder Trainingsdaten
- integriert KI in ein Produkt, sodass sich der ursprüngliche Zweck der KI ändert
- Whitelabel, Weiterverkauf oder Vertrieb von KI
Entscheidend ist der Grad der Kontrolle. Wenn das Unternehmen die Technologie beeinflusst, wird dem Unternehmen auch eine technische Verantwortung übertragen. Es handelt sich um die schwerwiegendste und am stärksten regulierte Rolle im KI-Gesetz. Der Anbieter muss daher in der Lage sein, Folgendes zu dokumentieren:
- Wie das System entwickelt wird
- welche Daten zum Trainieren der KI verwendet werden
- Warum das Modell die Entscheidungen treffen kann, die es trifft
- Wie das Risiko reduziert wird
- Wie das System nach der Inbetriebnahme überwacht wird
Der Kommissar: Das Unternehmen, das die KI in einer Praxis einsetzt
Wo der Anbieter die Technologie entwickelt, vermarktet und gestaltet, ist der Auftraggeber derjenige, der sie in der Praxis einsetzt. Aber die Verantwortung verschwindet aus diesem Grund nicht.
Stellen Sie sich vor, eine Personalabteilung nutzt in ihrem Einstellungsprozess ein externes KI-Rekrutierungstool. Sie ändern den Algorithmus nicht, nutzen die Ergebnisse jedoch in einem Einstellungsentscheidungsprozess und beeinflussen so das Leben der Menschen. In diesem Fall ist die Personalabteilung – und damit das Unternehmen - der Kommissar, aber ihre Verantwortung ist immer noch erheblich. Der Kommissar ist das Unternehmen, das:
- nutzt KI, die von anderen entwickelt wurde
- nimmt keine direkten technischen Anpassungen vor
- implementiert KI basierend auf Anweisungen des Anbieters
- nutzt generative KI-Dienste, ohne die Kernfunktionalität oder den Nutzungszweck zu ändern.
Der Kommissar ist daher verantwortlich fürwie Die KI verwendet. Daher muss der Kommissar:
- Bewerten Sie das Risiko der Auswirkungen der KI auf Menschen und Prozesse.
- Transparenz gegenüber Nutzern und Mitarbeitern gewährleisten
- DSGVO einhalten, beispielsweise durch die Erstellung einer ”Datenverarbeitungsfolgenabschätzung”
- menschliche Kontrolle durch entscheidende Entscheidungen umsetzen, z. B. in einem Beschäftigungsprozess.
- Überwachen Sie die Ausgabe kontinuierlich auf Fehler, Verzerrungen oder unbeabsichtigte Folgen
Es reicht nicht zu sagen: ”Wir folgen einfach den Empfehlungen des Systems.”
Drei Situationen, in denen Unternehmen Anbieter werden können:
Hier sind die Szenarien, in denen viele –ohne es zu wissen – von Auftraggebern zu Anbietern wechseln.
Wenn eine kleine Anpassung große Konsequenzen hat
Ein externes KI-System wird unverändert in Betrieb genommen. Um das System “etwas besser” zu machen, wird das Modell von einem Entwickler so angepasst, dass es besser zu den Daten und Arbeitsabläufen des Unternehmens passt.
Obwohl die Änderung begrenzt erscheint, bedeutet sie, dass das Unternehmen nun Einfluss auf die Funktionsweise der KI hat.
Dies löst eine Verschiebung der Verantwortung aus: Das Unternehmen gilt dann als Anbieter nach dem KI-Gesetz.
Wenn der Zweck die Verantwortung ändert
Ein generatives KI-System wird zunächst als internes Wissenstool verwendet.
Später wird es Teil des HR-Prozesses des Unternehmens und dient der Prüfung von Bewerbern.
Sobald die KI an Entscheidungen beteiligt ist, die die Chancen und Rechte der Menschen beeinträchtigen können, ändert sich das Risikoniveau erheblich.
Das bedeutet, dass das Unternehmen nicht mehr nur KI nutzt, sondern die Anbieterverantwortung nach dem KI-Gesetz übernimmt.
Wenn KI “Ihre eigene” wird
Ein Unternehmen integriert ein externes KI-Tool in sein Produkt und präsentiert es als Teil seiner eigenen Lösung. Für den Kunden erscheint die KI nun als unternehmenseigenes System.
Sobald das Unternehmen KI unter eigenem Namen auf den Markt bringt, übernimmt es auch die Verantwortung für das System. Dies gilt unabhängig davon, wer die Technologie ursprünglich entwickelt hat.
Wie finden Sie die wahre Rolle des Unternehmens?
- Hat Ihr Unternehmen Einfluss darauf, wie die KI entwickelt, gebrandmarkt oder welche Arten von Technologie eingesetzt werden = Anbieter
- Handelt es sich um eine ”plug n’ play”-AI-Lösung oder eine Anwendung von KI ohne technische oder Markenänderungen = Commissioner.
Eine Methode, die dabei helfen kann, die eigene Rolle zu untersuchen, die aber nie die einzige Beurteilung ist. Diese Dokumentation ist für die Aufsicht und Anfragen von Behörden von entscheidender Bedeutung. Das Unternehmen sollte immer in der Lage sein, Folgendes zu dokumentieren:
- welche KI-Systeme im Unternehmen eingesetzt werden
- Wo KI Teil von Prozessen ist
- Wie die eingesetzten KI-Systeme Menschen und menschenbezogene Entscheidungen beeinflussen
- ob sich der Zweck der Nutzung der KI im Laufe der Zeit ändert
- ob technische Integrationen die Ausgabe oder die Logik ändern
Fazit: Die Rolle beeinflusst die KI-Verantwortung
Insofern ist die Rollenverteilung zwischen Anbieter und Auftraggeber durch die Unternehmensgrundlage für die gesamte Compliance-Einrichtung des Unternehmens bedingt.
Die technische Verantwortung trägt der Anbieter und die operative Verantwortung der Auftraggeber.
Und weil die Rolle der Handlung folgt, müssen Unternehmen kontinuierlich dokumentieren und bewerten, ob sie im Haftungsmodell des AI Act noch am richtigen Platz sind.