Am 1. August tritt der EU AI Act in Kraft. Oder ist es der 2. August? Die Juristinnen und Juristen sind sich da nicht so einig und diskutieren lebhaft auf Linkedin.
Der AI Act wird seit über einem Jahr in der IT-Branche besprochen. Was bedeutet das neue Mega-Gesetz aus Brüssel? Und was müssen Schweizer Firmen nun beachten? Diese fünf Einwände höre ich öfters:
1. Wir nutzen ja gar keine KI!
Wenn wir heute über KI sprechen, denken viele gleich an ChatGPT und andere Produkte, die auf grossen Sprachmodellen (LLMs) basieren. Die EU und andere Organisationen wie die OECD und die USA sehen das anders und definieren "AI" extrem breit. Unter die Definition fallen viele Algorithmen, bei denen der Begriff Künstliche Intelligenz nicht so passt, wie einfache Regressionsanalysen oder traditionelle statistische Analysen. Gemäss OECD und dem AI Act ist ein KI-System ein maschinengestütztes System, das durch Verarbeitung von Eingaben selbstständig Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugen kann, um physische oder virtuelle Umgebungen zu beeinflussen. Und davon gibt es viel mehr in der IT als neue LLM-Produkte.
2. Die Schweiz ist nicht in der EU, also müssen wir nichts unternehmen.
Da der AI Act von der EU kommt, wähnen sich viele Firmen in der Schweiz erst mal sicher. Die EU sieht aber die Regulierung des digitalen Raums als Mission, um ihre Werte zu verbreiten. Deshalb ist der AI Act, ähnlich wie GDPR, explizit auch ausserhalb der EU anwendbar. Eine Schweizer Firma, die ein KI-basiertes Produkt per Website vertreibt, muss mit dem AI Act konform sein, sobald dieses Produkt von der EU aus zugänglich ist. Es reicht sogar, dass der Output eines KI-Systems in der EU durch Dritte zur Anwendung kommt.
3. Wie schwierig kann die AI Act Compliance denn sein?
Niemand weiss, wie viel Geld Firmen in der EU und weltweit zwischen 2016 und 2018 investieren mussten, um mit dem damals neuen GDPR während der Übergangsfrist konform zu werden. Schätzungen nach waren es um die 200 Milliarden Euro alleine in der EU. Damals mussten Firmen alle ihre Datenflüsse katalogisieren und innerhalb von zwei Jahren GDPR-konform nachrüsten oder neu bauen. Mit dem AI Act kommt jetzt eine ähnlich grosse Aufgabe auf Firmen zu. Alle "AI-Systeme" müssen nachgerüstet oder neu gebaut werden und ein "AI Management System" (AIMS) sollte eingeführt werden. Dieses AIMS ist analog zum Quality oder Information Security Management System, das viele Firmen bereits haben, um mit relevanten Standards konform zu sein.
4. Das hat ja noch Zeit…
In zwei Jahren müssen die Firmen, die "High Risk" Systeme wie Anwendungen im Bereich HR, Bildung oder Kritischer Infrastruktur betreiben, ihre Produkte und Organisation auditieren lassen und in einer EU Datenbank erfassen. Ansonsten drohen empfindliche Strafen und der Zugang zum EU-Markt wäre weg. Die erste Deadline ist aber nicht erst in zwei Jahren, sondern bereits Ende Januar 2025. Bis dahin müssen alle Firmen, die mit KI arbeiten, ihre Angestellten schulen. Zudem müssen neuerdings verbotene KI-Systeme, welche zum Beispiel Emotionen am Arbeitsplatz oder in Bildungseinrichtungen erkennen oder Menschen nach biometrischen Merkmalen klassifizieren, aus dem Verkehr genommen werden. Ein Verstoss der Verbote kann mit bis zu 7% des Umsatzes geahndet werden.
5. Dann bereiten wir uns halt auf den AI Act vor, aber das ist dann alles!
Der AI Act ist leider nur der Vorstoss der EU. Regierungen aus der ganzen Welt arbeiten gerade an ihren eigenen Gesetzen zur Regulierung von KI. In den USA stehen schon Firmen wie Workday vor Gericht, die mit KI bei der Einstellung diskriminieren. Der Bundesstaat Colorado hat einen eigenen "AI Act" verabschiedet. Bereits 44 der 50 Staaten arbeiten an eigenen Gesetzen. Kanada, Grossbritannien und andere Länder sind ebenfalls aktiv. Das bedeutet, dass sich international tätige Firmen aus der Schweiz bald mit einem Dschungel an KI-Regulierungen und -Normen auseinandersetzen müssen.
Die EU selbst arbeitet an harmonisierten Normen, aber die Arbeit wird wahrscheinlich nur knapp vor Ende der Zweijahresfrist fertig sein. Bis dahin bleiben Firmen nur internationale Standards wie ISO 42001, die ein KI-Management-System beschreiben.
Es macht deshalb Sinn, sich auf die Herausforderung des AI Acts und anderer neuer KI-Regulierungen bald vorzubereiten.
Über den Autor:
Kevin Schawinski ist promovierter Astrophysiker und dozierte mehrere Jahre an der ETH Zürich. 2018 gründete er das Zürcher KI-Unternehmen Modulos mit, das er als CEO führt.
Der "AI Act" tritt in Kraft
Dieser Text ist Teil einer Reihe an Gastbeiträgen, die den "AI Act" der EU aus unterschiedlichen Perspektiven betrachten.
Lesen Sie dazu auch: