Strafen bis zu 7 % des Jahresumsatzes: Unternehmen müssen KI-Risiken beachten
Mit dem neuen KI-Gesetz der EU müssen Unternehmen ihre KI-Anwendungen anhand von Risikostufen bewerten: gering, begrenzt, hoch und unannehmbar. Hochrisiko-KI-Systeme, die in Bereichen wie der Gesundheitsversorgung oder der Personalverwaltung eingesetzt werden, erfordern eine spezielle Zertifizierung. Unternehmen, die diesen Anforderungen nicht nachkommen, riskieren Strafen von bis zu 7 % ihres weltweiten Jahresumsatzes
Unterschiedliche Risikostufen
Das neue KI-Gesetz der EU klassifiziert KI-Anwendungen basierend auf dem Risiko, das sie für Individuen und die Gesellschaft darstellen. Diese Klassifizierung in verschiedene Risikostufen ist entscheidend, um geeignete regulatorische Maßnahmen und Auflagen festzulegen. Unternehmen müssen die Risikoeinstufung ihrer KI-Systeme kennen und beachten, um den rechtlichen Anforderungen gerecht zu werden und mögliche Strafen zu vermeiden. Die Risikostufen helfen, den potenziellen Schaden zu bewerten und geeignete Schutzmaßnahmen zu treffen.
Risikostufen im Detail:
Geringes Risiko
Diese Kategorie umfasst KI-Anwendungen, die nur minimale Eingriffe erfordern. Beispiele sind Spam-Filter oder einfache Automatisierungen, die keinen direkten Einfluss auf Individuen haben. Sie unterliegen geringen regulatorischen Anforderungen.
Begrenztes Risiko
Hierzu zählen KI-Tools, die mit spezifischen Transparenzanforderungen arbeiten. Zum Beispiel Chatbots, die Nutzer darüber informieren, dass sie mit einer KI interagieren. Diese Anwendungen erfordern eine gewisse Offenlegung und Transparenz, um Missverständnisse zu vermeiden.
Hohes Risiko
Anwendungen in dieser Kategorie können signifikante Auswirkungen auf Menschen haben, etwa KI im Personalwesen, bei der Kreditvergabe oder in sicherheitskritischen Infrastrukturen. Sie erfordern strenge Kontrollen, Zertifizierungen und regelmäßige Überprüfungen, um die Sicherheit und Fairness der Systeme zu gewährleisten.
Unannehmbares Risiko
Diese Stufe umfasst KI-Systeme, die ein hohes Schadenspotenzial bergen und daher verboten sind. Dazu zählen Anwendungen wie subliminale Manipulation oder Social Scoring, die tiefgreifende negative Auswirkungen auf die Gesellschaft haben können.
Transparenz und Governance
Das KI-Gesetz fordert Transparenzpflichten für KI-Anbieter. Unternehmen müssen detaillierte technische Dokumentationen führen und sicherstellen, dass ihre KI-Systeme fair und nicht diskriminierend sind. Der Einsatz von generativer KI erfordert, dass generierte Inhalte als solche gekennzeichnet sind, um Missbrauch und Irreführung zu verhindern. Weiterhin gibt es spezielle Regelungen für den Einsatz von Gesichtserkennungstechnologien, die strenger reguliert werden sollen.
Verbindung zwischen KI-Gesetz und CSRD im Kontext der ESRS
Diese Regelungen könnten auch mit der Corporate Sustainability Reporting Directive (CSRD) und den European Sustainability Reporting Standards (ESRS) verknüpft sein. Diese fordern Transparenz in der Berichterstattung und die Einhaltung von Umwelt- und Sozialstandards.
ESRS S1 – Arbeitnehmer der Unternehmen: Unternehmen müssen die Auswirkungen ihrer Praktiken auf Arbeitnehmer offenlegen, einschließlich Arbeitsbedingungen, Gesundheit und Sicherheit, Gleichbehandlung und Inklusion. Im Zusammenhang mit dem KI-Gesetz sollten Unternehmen die Auswirkungen von KI auf Datenschutz und Diskriminierung bewerten. Die Automatisierung erfordert Transparenz hinsichtlich der Arbeitsplatzsicherheit.
ESRS S2 – Arbeitnehmer in der Wertschöpfungskette: Unternehmen müssen die sozialen Auswirkungen auf Arbeitnehmer entlang ihrer Lieferkette bewerten. Dies umfasst die Berichterstattung über Risiken in Bezug auf faire Arbeitsbedingungen und Menschenrechte, was auch KI-Systeme betreffen kann, wenn diese in der Lieferkette eingesetzt werden.
ESRS S4 – Verbraucher und Endnutzer: Unternehmen sind verpflichtet, die Auswirkungen ihrer Produkte und Dienstleistungen auf Verbraucher und Endnutzer offenzulegen. Dies kann auch den Einsatz von KI betreffen, insbesondere in Bezug auf Datenschutz und Diskriminierung.
Das KI-Gesetz der EU fordert spezifisch, dass Unternehmen die Risiken und ethischen Auswirkungen von KI-Systemen bewerten, was mit den allgemeinen Anforderungen der CSRD und den ESRS zu sozialer Verantwortung übereinstimmt. Daher ist es für Unternehmen relevant, den Einsatz von KI im Kontext dieser Berichtsstandards zu berücksichtigen. Ferner könnte es eine Parallele zwischen den Anforderungen des EU-KI-Gesetzes und herkömmlichen Prüfungen geben, da gesetzliche Verstöße gemeldet werden müssten, um die Einhaltung der prüferischen Aufgaben sicherzustellen.
Zertifizierung und Compliance
Die KI-Verordnung verlangt zudem, dass Unternehmen für Hochrisiko-KI-Systeme eine Zertifizierung vorweisen können, um die Einhaltung der gesetzlichen Vorgaben zu garantieren. Dies betrifft insbesondere Anwendungen, die erhebliche Auswirkungen auf Menschen oder die Umwelt haben. Unternehmen sollten Prozesse etablieren, um ihre KI-Modelle regelmäßig zu überprüfen und anzupassen, um den regulatorischen Anforderungen gerecht zu werden.
Nächste Schritte
Das Gesetz wird nun von den EU-Mitgliedstaaten umgesetzt. Unternehmen müssen sich auf Audits und Inspektionen vorbereiten, um die Einhaltung sicherzustellen. Ein regelmäßiger Dialog mit den Regulierungsbehörden wird empfohlen, um über Änderungen und spezifische Anforderungen informiert zu bleiben.
Mit diesen neuen Regelungen müssen Unternehmen proaktiv ihre KI-Strategien überarbeiten und sicherstellen, dass sie die hohen Standards der EU erfüllen. Dadurch können sie nicht nur Strafen vermeiden, sondern auch nachhaltige Wettbewerbsvorteile erzielen.
Hier gibt es mehr Infos: KI-Gesetz tritt in Kraft - Europäische Kommission (europa.eu)
Hier geht es zur Verordnung: Verordnung - EU - 2024/1689 - EN - EUR-Lex (europa.eu)
Kontaktieren Sie uns für eine individuelle Beratung und erfahren Sie, wie Sie von den neuen Regelungen profitieren können.
Ansprechpartner
Haben Sie Fragen oder benötigen Sie Unterstützung?
Wenden Sie sich gerne an unseren Spezialisten oder nehmen Sie Kontakt mit uns auf.
Dr. Stefan Grabs
Partner, Head of Sustainability, Wirtschaftsprüfer, Steuerberater