AI Act: Die Anforderungen – AI Act: The requirements

Die EU hat Pionierarbeit geleistet und mit dem AI-Act den derzeit dynamischsten und wichtigsten Zweig der Datenindustrie reguliert, wie sie es bereits mit der Datenschutzgrundverordnung im April 2016 und der Digital Operational Resilience (DORA) im Januar dieses Jahres getan hat. Viele der neuen Aufgaben des KI-Gesetzes dürften Datenschutzbeauftragten und jedem Compliance-Beauftragten aus der DSGVO bekannt vorkommen.

Das Gesetz legt eine Definition von KI fest und definiert drei Sicherheitsstufen mit minimal, hoch und inakzeptabel.KI-Anwendungen, die Unternehmen in den Bereichen Gesundheit, Bildung und kritische Infrastruktur einsetzen wollen, fallen in die höchste Sicherheitskategorie „hochriskant“. Diejenigen, die in die Kategorie „inakzeptabel“ fallen, sind verboten, weil sie z. B. die Sicherheit, den Lebensunterhalt und die Rechte von Menschen gefährden könnten.

Diese KI-Systeme müssen per Definition vertrauenswürdig, transparent und rechenschaftspflichtig sein. Die Betreiber müssen Risikobewertungen durchführen, qualitativ hochwertige Daten verwenden und ihre technischen und ethischen Entscheidungen dokumentieren. Darüber hinaus müssen sie die Leistungsentwicklung ihrer Systeme aufzeichnen und die Nutzer über Art und Zweck ihrer Systeme informieren. Darüber hinaus müssen KI-Systeme von Menschen überwacht werden und Eingriffe ermöglichen. Sie müssen sehr robust sein und ein hohes Maß an Cybersicherheit erreichen.

Unternehmen brauchen jetzt klare Orientierung. Denn sie wollen das große Potenzial dieser Technologie nutzen und gleichzeitig zukunftssicher aufgestellt sein, um die kommenden Details der Verordnung umsetzen zu können. Es gibt fünf klare Empfehlungen, wie Unternehmen dies angehen können, ohne rechtliche Risiken einzugehen und ohne die Nutzer zu behindern. Und gleichzeitig so aufgestellt sind, dass sie den AI Act vollständig umsetzen können, ohne ihre IT auf den Kopf zu stellen:

– KI vertrauensvoll wirken lassen: Wer das erreichen will, muss die KI vollständig zähmen. Der einzige Weg, dies zu erreichen, besteht darin, die Daten und Datenströme in die KI und aus der KI heraus genau zu kontrollieren. Diese engmaschige Kontrolle ist vergleichbar mit den Anforderungen der Datenschutzgrundverordnung an personenbezogene Daten. Unternehmen sollten diese Compliance immer im Blick haben, wenn sie KI einsetzen und selbst entwickeln. Wer KI DSGVO- und AI Act-konform einsetzen will, sollte sich vor der Einführung von einem Datenschutzexperten beraten lassen.

– Daten genau kennen: Ein großer Teil des Gesetzes konzentriert sich auf die Berichterstattung über die Inhalte, mit denen die KI trainiert wird, d. h. die Datensätze, die ihr das Wissen für ihre Leistung gegeben haben. Unternehmen und ihre Mitarbeiter müssen genau wissen, mit welchen Daten sie die KI füttern und welchen Wert diese Daten für das Unternehmen haben. Einige KI-Anbieter delegieren diese Entscheidung bewusst an die Dateneigentümer, da diese die Daten am besten kennen. Diese müssen die KI verantwortungsvoll trainieren, außerdem sollte der Datenzugriff nur für autorisierte Personen freigeschaltet werden.

– Die Frage der Urheberrechte: Frühere Modelle der KI nutzten verfügbare Internet- und Buch-Crawler, um ihre KI zu trainieren. Diese Inhalte enthielten geschützte Elemente – einer der Bereiche, die der AI Act bereinigen will. Wenn Unternehmen solche Datensätze verwendet haben, ohne sie entsprechend zu kennzeichnen, müssen sie möglicherweise ganz von vorne anfangen.

– Den Inhalt der Daten verstehen: Dies ist eine wesentliche Aufgabe. Damit Datenbesitzer die richtigen Entscheidungen treffen können, müssen Wert und Inhalt der Daten klar sein. Im Alltag ist dies eine gigantische Aufgabe, und die meisten Unternehmen haben Berge von Informationen angehäuft, von denen sie nichts wissen. Hier können KI und maschinelles Lernen massiv helfen und eines der komplexesten Probleme entschärfen, indem sie die Daten von Unternehmen automatisiert identifizieren und klassifizieren, entsprechend der eigenen Relevant Record Strategie. Vordefinierte Filter fischen Compliance-relevante Daten wie Kreditkarten, Hypothekendaten oder Baupläne sofort aus dem Datenteich und markieren sie. Bei dieser Analyse können auch bestimmte Sicherheitsparameter geprüft und beispielsweise ungesicherte Daten erkannt werden.

Sobald diese KI die Unternehmensdaten analysiert, entwickelt sie übrigens eine unternehmensspezifische Sprache, einen Unternehmensdialekt. Und je länger sie arbeitet und je mehr Unternehmensdaten sie untersucht, desto präziser werden ihre Ergebnisse. Der Charme dieser KI-getriebenen Klassifikation zeigt sich vor allem dann, wenn neue Anforderungen zu erfüllen sind. Was auch immer der AI Act langfristig an Neuem bringt, die ML- und KI-getriebene Klassifikation wird diese zusätzlichen Attribute finden können und dem Unternehmen ein Stück Zukunftssicherheit geben.

– Datenflüsse steuern: Wenn die Daten mit den richtigen Merkmalen klassifiziert und kategorisiert sind, kann die zugrunde liegende Datenmanagement-Plattform automatisch Regeln durchsetzen, ohne dass der Dateneigentümer eingreifen muss. Dadurch werden menschliche Fehler und Risiken reduziert. So kann ein Unternehmen beispielsweise festlegen, dass bestimmte Daten wie geistiges Eigentum oder Finanzdaten niemals an andere Speicherorte oder externe KI-Module weitergegeben werden dürfen. Moderne Datenmanagement-Plattformen kontrollieren den Zugriff auf diese Daten, indem sie sie automatisch verschlüsseln und die Nutzer durch Zugriffskontrollen und Multifaktor-Authentifizierung autorisieren müssen.

Der AI Act bekommt Zähne

Die EU hat noch eine weitere Gemeinsamkeit mit der DSGVO und DORA. Nach Inkrafttreten werden Sanktionen bei Nichteinhaltung verhängt. Wer gegen wichtige Vorgaben des AI Act verstößt, muss mit Strafen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes rechnen. Zum Vergleich: Seit Inkrafttreten der Datenschutzgrundverordnung haben die Aufsichtsbehörden bis Februar 2024 Bußgelder in Höhe von 4,5 Milliarden Euro verhängt.

Das KI-Gesetz wird voraussichtlich im Sommer veröffentlicht und tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU in Kraft. Die meisten Bestimmungen werden nach 24 Monaten wirksam. Die Regeln für verbotene KI-Systeme gelten nach sechs Monaten, die Regeln für GPAI nach zwölf Monaten und die Regeln für Hochrisiko-KI-Systeme nach 36 Monaten.

„Die EU hat mit der KI-Gesetzgebung einen großen Schritt nach vorne gemacht und unterstreicht, wie ernst es ihr damit ist, das große Potenzial von KI mit den potenziellen Risiken in Einklang zu bringen. Verantwortungsvolle KI in Verbindung mit einer umfassenden KI-Governance ist jetzt der einzig wahre und richtige Weg, um KI in die Unternehmen zu bringen. Die großen praktischen Anwendungen von KI unterliegen inzwischen detaillierten Compliance-Anforderungen. Diejenigen, die frühzeitig KI einsetzen, müssen ihren Ansatz und die verwendeten Daten genau prüfen, um sicherzustellen, dass sie nicht gegen die Vorschriften verstoßen. Unternehmen müssen jetzt handeln und ihr KI-Toolset in Ordnung bringen“, sagt Mark Molyneux, EMEA CTO bei Cohesity.

With the AI Act, the EU has done pioneering work and regulated the currently most dynamic and important branch of the data industry, just as it did with the General Data Protection Regulation in April 2016 and the Digital Operational Resilience (DORA) in January this year. Many of the AI Act’s new responsibilities should be familiar to privacy officers, and any compliance officer, from the GDPR.

The Act provides a definition of AI and defines three levels of security as minimal, high, and unacceptable.AI applications that companies want to use in healthcare, education, and critical infrastructure fall into the highest security category of „high risk.“ Those that fall into the „unacceptable“ category are prohibited because they could, for example, endanger people’s safety, livelihoods, and rights.

By definition, these AI systems must be trustworthy, transparent and accountable. Operators must conduct risk assessments, use high-quality data, and document their technical and ethical decisions. They must also record the performance of their systems and inform users about the nature and purpose of their systems. In addition, AI systems must be subject to human oversight and intervention. They must be very robust and achieve high levels of cybersecurity.

Businesses now need clear guidance. This is because they want to harness the huge potential of this technology and at the same time be future-proofed to implement the forthcoming details of the regulation. There are five clear recommendations on how companies can do this without taking legal risks and without hindering users. At the same time, they should be set up to fully implement the AI law without turning their IT upside down:

– Let AI work with confidence: To achieve this, AI must be completely tamed. The only way to do this is to have tight control over the data and information flowing in and out of the AI. This tight control is comparable to the requirements of the General Data Protection Regulation for personal data. Companies should always keep this compliance in mind when using AI and when developing it themselves. If you want to use AI in compliance with the GDPR and the AI Act, you should seek advice from a data protection expert before implementing it.

By the way, as soon as this AI analyzes the company’s data, it develops a company-specific language, a corporate dialect. And the longer it works and the more company data it analyzes, the more precise its results become. The charm of this AI-driven classification is particularly evident when new requirements need to be met. Whatever new things the AI Act brings in the long run, ML and AI-driven classification will be able to find those additional attributes and give the company a measure of future-proofing.

– Control data flows: When data is classified and categorized with the right attributes, the underlying data management platform can automatically enforce rules without any intervention from the data owner. This reduces human error and risk. For example, an organization can specify that certain data, such as intellectual property or financial data, can never be shared with other storage locations or external AI modules. Modern data management platforms control access to this data by automatically encrypting it and requiring users to authorize it through access controls and multi-factor authentication.

AI Act gets teeth

The EU has another thing in common with the GDPR and DORA. Once it comes into force, there will be penalties for non-compliance. Those who violate key provisions of the AI Act will face fines of up to €35 million, or 7 percent of global revenue. By comparison, since the General Data Protection Regulation came into force, regulators have imposed fines totaling 4.5 billion euros by February 2024.

The AI Act is expected to be published in the summer and will come into force 20 days after its publication in the EU’s Official Journal. Most of the provisions will take effect after 24 months. The rules on banned AI systems will apply after six months, the rules on GPAI after 12 months, and the rules on high-risk AI systems after 36 months.

„The EU has taken a big step forward with AI legislation, underlining how serious it is about balancing the great potential of AI with the potential risks. Responsible AI combined with comprehensive AI governance is now the only true and right way to bring AI into businesses. The major practical applications of AI are now subject to detailed compliance requirements. Those who are early adopters of AI need to scrutinize their approach and the data used to ensure they are not in breach of regulations. Organizations need to act now and get their AI toolset in order,“ says Mark Molyneux, EMEA CTO at Cohesity.