Die EU hat mit ihrer KI-Verordnung, die im August 2024 in Kraft trat, einen bedeutenden Schritt zur Regulierung der Künstlichen Intelligenz (KI) unternommen. Diese Verordnung zielt darauf ab, ein Gleichgewicht zwischen Innovation, Datenschutz und ethischen Standards zu schaffen, während sie gleichzeitig die Sicherheit und Grundrechte der Bürger wahrt. Ein besonders wichtiger Bereich, der von der neuen Verordnung betroffen ist, ist das Gesundheitswesen. In diesem Blogbeitrag werfen wir einen Blick auf die wesentlichen Inhalte und Ziele der neuen KI-Verordnung und beleuchten, wie sie das Gesundheitswesen verändern könnte.
Der weltweit erste Rechtsrahmen für KI: Die KI-Verordnung der EU
Die KI-Verordnung der EU ist die erste umfassende Regulierung für Künstliche Intelligenz weltweit. Sie definiert klare Regeln und Verpflichtungen für den Einsatz von KI-Systemen in der EU, was besonders für den Gesundheitssektor von großer Bedeutung ist. Dort werden KI-Systeme zunehmend eingesetzt, um Diagnosen zu stellen, Behandlungen zu optimieren und personalisierte Medizin zu ermöglichen. Das Hauptziel der Verordnung besteht darin, den Binnenmarkt zu stärken, Innovationen zu fördern und gleichzeitig Risiken für die Sicherheit, Gesundheit und Grundrechte zu minimieren. Gerade im Gesundheitswesen, wo die Auswirkungen von KI direkt die Gesundheit von Patienten betreffen, ist eine solche Regulierung entscheidend, um ethische und sicherheitsrelevante Standards zu wahren.
Ein risikobasierter Ansatz
Die KI-Verordnung basiert auf einem risikobasierten Ansatz, der KI-Systeme je nach ihrem potenziellen Risiko in Kategorien einteilt:
- Minimales Risiko: KI-Systeme in dieser Kategorie unterliegen keiner besonderen Regulierung, was bedeutet, dass Unternehmen sie ohne größere Einschränkungen einsetzen können. Es bleibt jedoch die Möglichkeit, dass Unternehmen freiwillig zusätzliche Verhaltenskodizes einführen, um sicherzustellen, dass ihre KI-Systeme verantwortungsbewusst eingesetzt werden.
- Besondere Transparenzverpflichtungen: Für Systeme, die mit Menschen interagieren (z. B. Chatbots), ist es verpflichtend, dass Nutzer darüber informiert werden, dass sie mit einer Maschine interagieren. Bei KI-generierten Inhalten ist eine klare Kennzeichnung erforderlich. Diese Transparenz soll das Vertrauen der Nutzer in KI-Systeme stärken und die potenzielle Irreführung oder Täuschung verhindern.
- Hohes Risiko: Für KI-Systeme, die als hochriskant gelten – etwa medizinische Software oder Systeme zur Personalauswahl – gelten strenge Anforderungen. Diese betreffen unter anderem die Risikominderung, hochwertige Datensätze, klare Informationen und menschliche Aufsicht. Unternehmen müssen nachweisen, dass ihre KI-Systeme sicher, fair und zuverlässig sind, was die Markteinführung erschweren oder verzögern kann.
- Unannehmbares Risiko: KI-Systeme, die eine Bedrohung für die Grundrechte darstellen, sind bis auf weniger Ausnahmen für die Strafverfolgung verboten. Dies betrifft beispielsweise Systeme, die zu Social Scoring eingesetzt werden könnten. Unternehmen müssen sicherstellen, dass sie solche Technologien nicht entwickeln oder einsetzen, da dies rechtliche Konsequenzen und einen erheblichen Reputationsverlust nach sich ziehen würde.
- Systemisches Risiko: Das systematische Risiko bezieht sich auf die potenziellen Gefahren, die von KI-Modellen mit allgemeinem Verwendungszweck ausgehen, wenn diese aufgrund ihrer großen Reichweite und Leistungsfähigkeit negative Folgen für die öffentliche Gesundheit, Sicherheit, Grundrechte oder die Gesellschaft insgesamt haben könnten. Organisationen, die solche KI-Modelle einsetzen, müssen strenge Überwachungs- und Kontrollmechanismen einführen, um die Auswirkungen ihrer KI-Anwendungen auf die Gesellschaft zu minimieren.
Transparenzverpflichtungen bei der Nutzung von KI-Systemen
Die KI-Verordnung legt klare Transparenzpflichten für Anbieter und Betreiber von KI-Systemen fest, insbesondere bei Systemen, die direkt mit Menschen interagieren oder synthetische Inhalte erzeugen. Diese Maßnahmen sollen sicherstellen, dass Nutzer immer transparent über den Einsatz von KI informiert sind und bewusste Entscheidungen über den Umgang mit KI-generierten Inhalten treffen können.
- Offenlegung bei direkter Interaktion: Anbieter von KI-Systemen, die mit natürlichen Personen interagieren, müssen sicherstellen, dass diese Personen darüber informiert werden, dass sie es mit einer künstlichen Intelligenz zu tun haben. Dies betrifft beispielsweise Chatbots oder andere automatisierte Kommunikationssysteme.
- Kennzeichnung von KI-generierten Inhalten: KI-erstellte Audio-, Bild-, Video- oder Textinhalte müssen als solche klar gekennzeichnet sein. Diese Regelung gilt jedoch nicht, wenn das KI-System lediglich eine unterstützende Funktion bei der Bearbeitung von Inhalten übernimmt, ohne die Bedeutung oder den Inhalt wesentlich zu verändern.
- Information bei biometrischen Systemen: Betreiber von Emotionserkennungssystemen oder biometrischen Kategorisierungssystemen sind verpflichtet, die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten zu informieren.
- Kennzeichnung von Deepfakes: Wenn ein KI-System Bild-, Ton- oder Videoinhalte erstellt oder verändert, die als Deepfakes bezeichnet werden, muss dies den Nutzern klar offengelegt werden, damit sie wissen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
Die Auswirkungen der neuen EU-Verordnung
Die EU hat mit ihrer neuen KI-Verordnung einen umfassenden Rechtsrahmen geschaffen, der den Einsatz von Künstlicher Intelligenz in vielen Bereichen regelt.
Im Folgenden beleuchten wir die sechs zentralen Aspekte der Verordnung und zeigen, wie sie die Sicherheit, den Datenschutz und die Förderung von Innovationen im Gesundheitsbereich beeinflusst.
- Einheitliche Regeln für KI in der EU, mehr Sicherheit und Innovation: Mit der neuen Verordnung wird in der EU ein einheitlicher Rechtsrahmen für KI-Systeme geschaffen. Insbesondere im Gesundheitsbereich, wo Präzision und Vertrauen entscheidend sind, sollen diese klaren Regeln die Sicherheit und Zuverlässigkeit von KI-Anwendungen verbessern. Gleichzeitig wird die Verordnung durch Planungssicherheit und klare Vorgaben für die Unternehmen nicht zu einem Hindernis für Innovationen, sondern vielmehr zu einem Anreiz für deren Entwicklung.
- Risikobasierte Klassifizierung, strenge Regeln für die Gesundheit: Abhängig von ihrem Risikopotenzial werden KI-Systeme in verschiedene Kategorien eingeteilt. Strenge Anforderungen gelten vor allem im Gesundheitswesen, wo Fehler fatale Folgen haben können. Systeme, die zur Diagnose oder Behandlung im Einsatz sind, müssen höchsten Ansprüchen an Sicherheit und Qualität gerecht werden. Dies dient nicht nur dem Schutz der Patienten. Es stellt auch sicher, dass die Technologie zuverlässig und ethisch vertretbar eingesetzt wird.
- Datenschutz und Sicherheit, Schutz sensibler Gesundheitsdaten: Im Gesundheitswesen sind die Anforderungen an den Datenschutz besonders hoch. Die Datenschutzverordnung legt großen Wert darauf, dass personenbezogene Daten – insbesondere Gesundheitsdaten – streng geschützt werden. Um die Privatsphäre der Patienten zu wahren, müssen Systeme, die mit diesen sensiblen Informationen arbeiten, hohen Datenschutzstandards unterliegen. Dazu gehören unter anderem Anonymisierung und Verschlüsselung.
- Transparenz und Informationspflichten: Ärzte und Gesundheitseinrichtungen müssen sicherstellen, dass Patienten über den Einsatz von KI informiert werden. Die Patienten müssen verstehen können, welche Rolle die KI spielt und wie sie hilft, zu diagnostizieren oder zu behandeln. Diese Transparenz schafft Vertrauen und ermöglicht es Patienten, informierte Entscheidungen über ihre Behandlung zu treffen.
- Haftung und Verantwortung: Die Verordnung stellt sicher, dass Fragen der Haftung und Verantwortlichkeit im Zusammenhang mit dem Einsatz von KI-Systemen klar geregelt werden. Für Schäden, die durch den Einsatz von KI entstehen, müssen medizinische Einrichtungen und Hersteller die Verantwortung übernehmen. Das bedeutet, dass sie zur Vermeidung rechtlicher Konsequenzen strenge Anforderungen erfüllen und dafür Sorge tragen müssen, dass ihre KI-Systeme zuverlässig und sicher sind.
- Innovationsförderung: Reallabore als Wegbereiter des Fortschritts: Trotz strenger Regulierung bleibt die Innovationsförderung ein zentrales Anliegen der Verordnung. Insbesondere kleine und mittlere Unternehmen werden durch die Einrichtung von Reallaboren unterstützt. Diese sind Experimentierräume, um neue Technologien zu entwickeln und zu testen. Diese Umgebungen bieten die Möglichkeit, neue Anwendungen im Bereich der künstlichen Intelligenz unter realen Bedingungen zu testen, bevor sie auf dem breiten Markt eingeführt werden. Auf diese Weise wird sichergestellt, dass Europa auch im Gesundheitssektor ein führender Standort für technologische Innovationen bleibt.
Praxisbeispiele der KI-Verordnung bei Einsatz von KI-Systemen
- Einsatz eines Chatbots auf einer Webseite: Ein Chatbot, der auf einer Webseite eingesetzt wird, muss die Nutzer klar darüber informieren, dass sie mit einer KI kommunizieren. Dies bedeutet, dass die Antworten des Chatbots deutlich als KI-generiert gekennzeichnet werden müssen, um Transparenz zu gewährleisten. Auf diese Weise wird sichergestellt, dass Nutzer wissen, wann sie mit einer Maschine interagieren, was das Vertrauen in die bereitgestellten Informationen stärkt.
- Copilot für die Entwicklung von Inhalten: Sollten KI-Systeme wie ein Copilot zur Entwicklung von Audio-, Bild-, Video- oder Textinhalten genutzt werden, ist eine entsprechende Kennzeichnung notwendig. Dies ist besonders wichtig bei der Weiterverwendung oder Veröffentlichung der erstellten Inhalte. Eine klare Kennzeichnung hilft dabei, Missverständnisse zu vermeiden und die Urheberschaft der Inhalte transparent zu machen, sodass die ursprüngliche Quelle und die Nutzung von KI deutlich erkennbar sind.
- Vermittlung von KI-Kompetenz: Bei dem Einsatz von KI-Systemen ist es entscheidend, dass alle beteiligten Mitarbeitenden über die erforderlichen Kenntnisse und Fähigkeiten verfügen, um diese Technologien verantwortungsvoll und effizient zu nutzen. Dies umfasst Schulungen und Weiterbildungen, die sicherstellen, dass die Mitarbeitende die Funktionsweise, Möglichkeiten und Grenzen der KI-Systeme verstehen. Durch die Vermittlung von KI-Kompetenz wird gewährleistet, dass die Systeme korrekt implementiert und genutzt werden, wodurch potenzielle Risiken minimiert und die Effizienz maximiert werden.
Sanktionen bei Verstößen gegen die KI-Verordnung
Die KI-Verordnung sieht strenge Strafen bei Verstößen vor, die abhängig von der Art des Verstoßes und der Unternehmensgröße gestaffelt sind.
- Bei Verstößen gegen verbotene Praktiken oder schwerwiegenden Datenanforderungen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
- Für Verstöße gegen andere Anforderungen der Verordnung können Geldstrafen von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes verhängt werden.
- Bei der Bereitstellung von falschen, unvollständigen oder irreführenden Informationen gegenüber Behörden können Strafen von bis zu 7,5 Millionen Euro oder 1,5 % des Jahresumsatzes anfallen.
- Verstöße gegen weitere Verpflichtungen oder von der Kommission festgelegte Maßnahmen können ebenfalls mit Bußgeldern von bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes geahndet werden.
Die Durchsetzungspflicht und die damit verbundenen Sanktionen werden schrittweise eingeführt. Obwohl die Verordnung bereits im August 2024 in Kraft getreten ist, werden konkrete Maßnahmen gemäß der nachstehenden Abbildung sukzessive umgesetzt:
Handlungsempfehlung für Unternehmen
Zur Erfüllung der Anforderungen der neuen AI-Richtlinie sollten Unternehmen einige Handlungsempfehlungen beachten, die für die Einhaltung der Vorschriften besonders relevant sind. Im Rahmen unseres IT-Security-Coachings können unsere Expertinnen und Experten von itsecuritycoach Sie bei der Umsetzung der folgenden Punkte unterstützen:
- Schaffung eines KI-Governance-Rahmens: Unternehmen sollten ein übergeordnetes KI-Governance-System einrichten, das ihnen hilft, ihre KI-Strategie zu entwickeln und gleichzeitig mit den Anforderungen der EU-Verordnung übereinzustimmen. Ein solches Rahmenwerk stellt sicher, dass die KI-Systeme transparent, erklärbar und vertrauenswürdig sind.
- Kategorisierung von eingesetzten und geplanten KI-Systemen: Eine Kategorisierung der eingesetzten und geplanten KI-Systeme gemäß der Risikostufen der KI-Verordnung der EU ist erforderlich. Die Anforderungen an die Compliance sind je nach Risikostufe unterschiedlich. Unternehmen müssen herausfinden, welche Risikostufe ihre KI-Systeme haben und sicherstellen, dass sie die entsprechenden Vorschriften einhalten.
- Durchführung einer Lückenanalyse: Unternehmen sollten eine Analyse durchführen, um Bereiche zu identifizieren, in denen sie die Anforderungen der neuen Gesetzgebung nicht erfüllen, und einen Plan zur Behebung dieser Lücken entwickeln.
- Überprüfung des Datenschutzes: Der Datenschutz muss während des gesamten Lebenszyklus des KI-Systems sichergestellt werden. Die Grundsätze der Datenminimierung, Datenschutz durch Technikgestaltung und Voreinstellungen, Anonymisierung, Verschlüsselung und ggf. eine Datenschutz-Folgeabschätzung bei Hochrisiko-KI-Systemen müssen überprüft und sichergestellt werden.
- Erstellung eines Maßnahmenplans: Anhand der Kategorisierung und der Lückenanalyse sowie unter Berücksichtigung des iterativen Inkrafttretens des Gesetzes sollte ein Maßnahmenplan erstellt werden, um die gesetzlichen Anforderungen zu erfüllen.
- Erstellung einer Schulungsstrategie: Eine Schulungsstrategie zur Vermittlung von KI-Kompetenz ist zwingend erforderlich. Dies kann durch die Ermittlung des individuellen KI-Kenntnisstands von Mitarbeitenden, Einteilung in verschiedene Gruppen und gezielte Schulungsprogramme sichergestellt werden.
- Verwaltung von KI-Systemen: Die Einführung eines KI-Inventarmanagement-Tools ist entscheidend, um sicherzustellen, dass KI-Systeme nachverfolgbar sind und kontinuierlich überwacht werden.
Fazit
Zusammenfassend lässt sich sagen, dass Unternehmen, die sich auf die neuen Anforderungen der EU-KI-Verordnung vorbereiten, proaktiv Maßnahmen ergreifen müssen, um Compliance sicherzustellen. Dazu gehört die Einführung eines KI-Inventarmanagement-Tools zur Nachverfolgbarkeit und Überwachung, die Entwicklung einer umfassenden Schulungsstrategie zur Vermittlung von KI-Kompetenzen und die Erstellung eines detaillierten Maßnahmenplans basierend auf Kategorisierung und Lückenanalyse.
Ebenso ist es unerlässlich, den Datenschutz während des gesamten Lebenszyklus der KI-Systeme zu gewährleisten sowie eine gründliche Lückenanalyse durchzuführen, um Abweichungen von den gesetzlichen Anforderungen zu identifizieren und zu beheben. Die Kategorisierung der aktuellen und geplanten KI-Systeme nach den Risikostufen der EU-Verordnung und die Schaffung eines umfassenden KI-Governance-Rahmens sind ebenfalls entscheidend, um eine transparente, erklärbare und vertrauenswürdige Anwendung von KI-Systemen zu gewährleisten.
Indem Unternehmen diese Empfehlungen umsetzen, können sie nicht nur die gesetzlichen Anforderungen erfüllen, sondern auch das Vertrauen in ihre KI-Systeme stärken und eine nachhaltige, zukunftsorientierte KI-Strategie entwickeln.
Suchen Sie Experten im Bereich Datenschutz oder einen externen Datenschutzbeauftragten? Unsere Coaches von itsecuritycoach stehen Ihnen in allen Belangen rund um Datenschutz zur Seite. Kontaktieren Sie uns und vereinbaren Sie ein erstes Beratungsgespräch.
Quellen:
https://ec.europa.eu/commission/presscorner/detail/de/ip_21_1682
https://commission.europa.eu/news/ai-act-enters-force-2024-08-01_de
https://kpmg.com/us/en/articles/2024/need-know-about-eu-ai-act.html
https://www.ey.com/en_gl/insights/pub