KI-Gesetz: EU macht ernst mit Risikomanagement und Compliance

Mit dem KI-Gesetz der EU kommen zum Jahresende neue Vorschriften auf Unternehmen zu. Sie haben zunächst bis zum Jahr 2027 Bestand und stützen einen abgestuften, risikobasierten Ansatz.

Unterschiedliche Risikostufen

Konkret definiert das KI-Gesetz diverse Anforderungen für verschiedene Risikostufen, die sich am potenziellen Schaden für die Sicherheit und Grundrechte von in der EU lebenden Personen orientieren. Das Konzept unterteilt KI-Systeme deshalb grundsätzlich in vier Kategorien: KI-Systeme mit geringem Risiko, KI-Systeme mit hohem Risiko, KI-Systeme für allgemeine Zwecke und verbotene KI-Systeme. Folgende Abstufungen sind im Regelwerk festgeschrieben:

Frei verfügbare KI

Diese Kategorie umfasst öffentlich verfügbare KI-Tools, die von Arbeitnehmern für arbeitsbezogene Zwecke verwendet werden, sei es mit Genehmigung oder anderweitig. Unternehmen sollten eine Liste der verwendeten Systeme erstellen und Mitarbeiter für diese Systeme schulen.

Eingebettete KI

Hierbei handelt es sich um KI-Funktionen, die in Standardlösungen und SaaS-Angeboten integriert sind. Unternehmen müssen im Zusammenhang mit dieser Form der KI detaillierte Informationen von ihren Anbietern anfordern und ihre Risikomanagementprogramme für Drittanbieter ausbauen.

Interne KI

Diese Kategorie beinhaltet KI-Funktionen, die von Organisationen intern trainiert, getestet und entwickelt werden. Unternehmen, die solche eigenen KI-Modelle erstellen und pflegen, verfügen in der Regel bereits über einen Prozess, eigene KI-Technologien zu identifizieren und zu bewerten.

Hybride KI

Hierbei handelt es sich um KI-Funktionen, die in Organisationen mit einem oder mehreren Standardmodellen aufgebaut und anschließend mit Unternehmensdaten ergänzt werden. Unternehmen, die diese Art der Technologie verwenden, müssen ihre Anbieter zu vorab trainierten Komponenten befragen und die mit hybrider KI verbundenen internen Daten bewerten.

Unabhängig davon, welcher Typ von KI zum Einsatz kommt, bleibt Unternehmen nicht mehr viel Zeit, die für Ende 2024 verabschiedeten Richtlinien in die Tat umzusetzen. Verantwortliche für die Themen Sicherheit und Risikomanagement sollten deshalb sofort damit beginnen, die im Unternehmen verwendeten KI-Technologien zu identifizieren und zu katalogisieren, bevor schließlich eine obligatorische Risikobewertung erfolgt.

Personenbezogene Daten im Fokus

Doch wo und wie sollten Unternehmen damit beginnen? Das Gros der im Gesetz beschriebenen Risiken bezieht sich auf die Verarbeitung besonderer Kategorien von personenbezogenen Daten. Folglich müssen zunächst diejenigen Geschäftsbereiche identifiziert werden, in denen solche Daten verarbeitet werden. Dazu zählen typischerweise Abteilungen wie Personal oder Marketing. Eine systematische Identifizierung und Kategorisierung von KI-Systemen sind hier wesentlich, um die Anforderungen des KI-Gesetzes erfüllen und somit die Compliance gewährleisten und das Risikomanagement verbessern zu können. Wie ernst es der EU mit dem KI-Gesetz ist, zeigen die Bußgelder für die Nichtachtung der Vorschriften. Das Bußgeld variiert je nach Risikostufe, wobei die höchste Bußgeldstufe bei Verstößen bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes einer Organisation betragen kann.

Nader Henein

ist VP Analyst bei Gartner.

Roger Homrich

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

2 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

4 Tagen ago