Welche Konsequenzen hat der EU AI Act für B2B-Unternehmen im Digital Commerce und Marketing?

In diesem Blogpost geben wir eine Einschätzung zu den möglichen Auswirkungen dieser KI-Verordnung der EU für den Bereich Natural Language Processing und den dieser Technologie zugrundeliegenden Foundation Models. Der Beitrag richtet sich an B2B-Unternehmen im Digital Commerce und Marketing, die SaaS-Umfeld unterwegs sind. Hierzu sei noch gesagt, dass wir keine Rechtsberatung geben können und wollen.

Was sind Foundation Models?

Foundation Models sind KI-Modelle, die als Grundlage für verschiedene Anwendungen und Aufgaben dienen. Sie werden meist durch umfangreiches Training aus größeren Datenmengen entwickelt, wobei im Bereich Natural Language Processing menschliche Sprache verarbeitet und generiert wird. Die KI-Modelle sind in der Lage, komplexe Zusammenhänge zu verstehen und Texte automatisiert zu erzeugen. Foundation Models können für unterschiedlichste Use Cases eingesetzt werden. Sie unterstützen maschinelles Übersetzen, Textgenerierung, die Entwicklung von FAQs, Chatbots und vieles mehr. Durch ihr kontextsensitives Verständnis lassen sich damit auch umfangreiche Mengen unstrukturierter Daten analysieren, verarbeiten und interpretieren.

In jüngster Zeit haben Foundation Models in Form großer Sprachmodelle wie ChatGPT, den verschiedenen GPT-Versionen oder BERT viel öffentliche Aufmerksamkeit erhalten. In der Tat ist die große Leistungsfähigkeit und der vielseitigen Anwendbarkeit beeindruckend. Dies bietet branchenübergreifend enorme Potenziale und Anwendungsmöglichkeiten – kombiniert mit großen Effizienzgewinnen.

Foundation Models bringen jedoch auch einige Herausforderungen mit sich. Sie benötigen große Mengen an Daten für das Training, um effektiv arbeiten zu können. Aus diesen Informationen resultiert jedoch eine Anfälligkeit zu Verzerrungen („Halluzinationen“) und Vorurteile. Es ist daher wichtig, bei der Verwendung solcher KI-Modelle auf ethische Aspekte und die Qualität der zugrunde liegenden Daten zu achten.

Was soll der EU AI Act regulieren?

Der EU AI Act ist ein Gesetzesentwurf der Europäischen Union, der darauf abzielt, Künstliche Intelligenz (KI) sicherer und transparenter zu gestalten. Demnach sollen Anbieter von KI-Systemen dazu verpflichtet werden, Mechanismen zum Schutz vor fragwürdigen, irreführenden oder bedenklichen Inhalten zu entwickeln. Darüber hinaus sollen KI-Modelle in Bezug auf Datenschutz, Vorhersehbarkeit und Interpretierbarkeit optimiert werden.

Anbieter sogenannter Foundation Models müssen in Zukunft Informationen über die Arbeitsweise ihrer KI-Modelle offenlegen und bestimmte Pflichten erfüllen, unabhängig vom jeweiligen Einsatzgebiet. Dies steht in gewissem Widerspruch zur ursprünglichen Idee, die Bewertung auf die Anwendung, statt auf die zugrundeliegende Technologie zu beziehen.

Der EU AI Act teilt KI-Systeme in verschiedene Risikoklassen ein, um angemessene Vorschriften sicherzustellen. Niedriges Risiko bedeutet wenig Regulierung, während riskante Anwendungen wie Sozialkreditsysteme oder Bürgerüberwachung verboten sind. Höheres Risiko, wie beispielsweise Systeme, die Behandlungsvorschläge im Gesundheitswesen machen, unterliegen strengeren Auflagen.

Der EU AI Act beinhaltet vier Hochrisikoanwendungen mit unterschiedlichen Regulierungsstufen:

1. Biometrische Identifikationssysteme: Schutz der Privatsphäre und Vermeidung von Missbrauch oder Diskriminierung bei biometrischen Daten wie Gesichtserkennung oder Fingerabdruckscans.
   
   
2. Kritische Infrastrukturen: Kontrolle von KI-Systemen in Bereichen wie Energieversorgung, Verkehr oder Gesundheitswesen aufgrund von möglichen Fehlfunktionen oder Angriffen.
   
   
3. Bildung und Bewertung: Risikobewertung von KI-Systemen in der Bildung, die möglicherweise unfair oder diskriminierend sein können.
   
   
4. Gesundheitsversorgung: Kontrolle von KI-Modellen in der Gesundheitsversorgung, beispielsweise Diagnoseunterstützungssysteme, Telemedizin und Verarbeitung medizinischer Daten, hinsichtlich Datenschutzes und Genauigkeit.

Die Herausforderung besteht darin, die neueste Generation von KI-Systemen, wie Foundation- und generative Modelle, gemäß dieser Risikoklassen zu klassifizieren. Da sie für viele Aufgaben einsetzbar sind, gestaltet sich die Klassifizierung schwierig. Die Debatte zur Regulierung dieser Systeme ist komplex und intensiv, sowohl unter Experten als auch in der Öffentlichkeit.

Worum geht es beim EU AI Act im Zusammenhang mit den Foundation Models?

Die Regulierung von Foundation Models im Rahmen des EU AI Acts erfordert eine sorgfältige Abwägung, um einen gesetzlichen Rahmen zu schaffen, der gleichzeitig die Möglichkeiten und Potenziale leistungsstarken KI-Modelle nicht einschränkt. Das Ziel ist, ein gesundes Ökosystem an KI-Anbieter im europäischen Raum zu erhalten. Europäische Anbieter sollen auch künftig wachsen können, ohne durch rechtliche Einschränkungen im Vergleich zum außereuropäischen Wettbewerb benachteiligt zu werden.

Jedoch gibt es mehrere Gründe, warum sich die EU  für die Entwicklung dieser KI-Verordnung entschieden:

1. Transparenz

   Der EU AI Act betont die Notwendigkeit von Transparenz bei der Nutzung von KI-Systemen. Foundation Models wie ChatGPT oder die verschiedenen GPT-Versionen sind Black Box-Ansätze, bei denen es für den Anwender schwer bis unmöglich ist, die Ergebnisse des KI-Modells nachzuvollziehen. Durch den EU AI Act sollen solche Foundation Models transparenter und verständlicher werden.

2. Datensicherheit und Datenschutz

   Foundation Models erfordern große Mengen an Trainingsdaten, um effektiv nutzbar zu sein. Der EU AI Act wird voraussichtlich Bestimmungen zum Schutz personenbezogener Daten und zur Datensicherheit enthalten. Das Training und die Weiterverarbeitung von Daten soll reglementiert sowie ein möglichst hoher Datenschutz sichergestellt werden.

3. Diskriminierung und Verzerrungen

   Foundation Models können aufgrund zugrunde liegender Trainingsdaten Vorurteile und Verzerrungen aufweisen. Der EU AI Act hat das Ziel, das die Foundation Models frei von Vorurteilen sind und keine diskriminierenden Ergebnisse hinsichtlich Geschlecht, Religion, Rasse oder ethnischer Zugehörigkeit liefern.

4. Konformität und Zertifizierung

   Der EU AI Act beabsichtigt, angemessene Prüfverfahren und Standards für KI-Modelle zu schaffen. Weshalb die Entwicklung entsprechender Zertifizierungssysteme geplant wird. Die Anforderungen an Foundation Models sind komplex und erfordern spezielle Verfahren, um Konformität sicherzustellen.

5. Haftung und Verantwortlichkeit

   Der EU AI Act würde rechtliche Verpflichtungen für KI-Anbieter festlegen und eine entsprechende Verantwortlichkeit für entstandene Schäden einführen. Die Definition der Haftung ist bei Foundation Models jedoch außerordentlich schwierig, da das Output bzw. das Sprachergebnis auf umfangreichen Trainingsdaten basierenund von weiteren unterschiedlichen Faktoren abhängt.

Anbieter von Foundation Models werden voraussichtlich dazu verpflichtet, bestimmte Eigenschaften ihrer KI-Modelle sowie Art der Datennutzung offenzulegen. Sie müssen Verzerrungen identifizieren und entsprechende Gegenmaßnahmen ergreifen, um diese Outputs bzw. Sprachergebnisse zu unterbinden. Zugleich sollen Informationen über die in den KI-Modellen verwendeten Daten transparent gemacht werden.

Darüber hinaus sind Foundation-Anbieter angehalten, angemessene Maßnahmen zu ergreifen, um ihre Modelle interpretierbar und vorhersehbar zu gestalten sowie das Risiko bei der Nutzung zu minimieren. Dies stellt eine enorme Herausforderung dar, da unzählige hypothetische Risikoszenarien berücksichtigt werden müssen, was die Frage aufwirft, wer in der EU solche Modelle zukünftig entwickeln und betreiben wird.

Trotz der positiven Aspekte, die die Einbeziehung von Foundation Models im EU AI Act mit sich bringt, sollte die Risikobewertung weiterhin auf Anwendungsebene stattfinden, um Innovationen nicht zu behindern. Insbesondere kleinere Modelle und Open-Source-Anbieter könnten sonst große Schwierigkeiten haben, da die Ausnahmen für Open-Source-Anwendungen im Entwurf nicht für Foundation Models gelten.

Daher ist es jetzt wichtig, den EU AI Act von Anfang an bei der Planung von Anwendungen zu berücksichtigen, die in 1-2 Jahren realisiert werden sollen. ("AI Act compliant by design"). Denn nicht nur die Foundation Models-Thematik ist relevant, sondern auch der gesamte regulatorische Rahmen, der erfüllt werden muss, einschließlich Zertifizierung und weiterer Auflagen. Diese Aspekte sollten bei der Planung und Umsetzung von KI-Anwendungen sukzessive berücksichtigt und beachtet werden.

Was sind die Auswirkungen auf E-Commerce und Marketing im B2B-Umfeld?

Der EU AI Act verfolgt das Ziel, den Einsatz von KI-Technologien zu regulieren, um deren Konformität mit ethischen und rechtlichen Standards sicherzustellen. Das bedeutet, dass „hochriskante“ KI-Anwendungen strengeren Vorschriften unterliegen. B2B-Unternehmen im Bereich Digital Commerce und Marketing müssen deshalb damit rechnen, dass die eingesetzten KI-basierten Tools und Algorithmen künftig einer Zertifizierung oder Genehmigung unterliegen.

Der EU AI Act kann sich außerdem auf personalisierte Empfehlungssysteme und automatisierte Entscheidungsprozesse auswirken. Daher empfiehlt es sich für B2B-Unternehmen in diesem Bereich, notwendige Maßnahmen zu ergreifen, um für mehr Transparenz bei den eingesetzten KI-Algorithmen zu sorgen. Gleichzeitig ist eine Kennzeichenpflicht für automatisiert generierte Sprachausgaben und Texte zu erwarten.

Weitere Herausforderungen im Rahmen des EU AI Acts ist voraussichtlich die Anpassung der eigenen Datenschutzmaßnahmen, die Sicherstellung von Transparenz und Nachvollziehbarkeit von KI-Algorithmen sowie die Klärung von Haftungs- und Verantwortungsfragen. Unternehmen sollten in Betracht ziehen, ihre internen Richtlinien und Verfahren zur Überprüfung sowie das Monitoring von KI-Anwendungen entsprechend anzupassen.

So haben Apple und Samsung Electronics seinen Mitarbeitern die Nutzung von ChatGPT aus Datenschutzgründen untersagt, nachdem aufgrund eines Firmendatenlecks sensibler Programmcode den südkoreanischen Konzern verlassen hat. Insgesamt bleibt die Frage offen, inwieweit sogenannter Transformer-Modelle nach der Verabschiedung des EU AI Acts in den Mitgliedstaaten noch nutzbar sein werden. Unter Umständen werden solche Modelle künftig auch mit der Herausforderung zu kämpfen haben, dass bei einer End-to-End-Nutzung durch den Anwender ein direkter Zugriff auf das Foundation Model erforderlich ist und dadurch keine Verschlüsselung möglich ist.

Zugleich bietet der EU AI Act den B2B-Unternehmen aber auch die Chance, das Vertrauen ihrer Kunden durch den Schutz von Daten, Privatsphäre und ethischen Standards zu stärken. Indem Unternehmen die voraussichtlichen neuen Vorschriften einhalten, können sie sicherstellen, dass ihre KI-Technologien und -Strategien im Einklang mit den rechtlichen Anforderungen stehen.

Insgesamt sollten B2B-Unternehmen bei der Auswahl von SaaS-Diensten sorgfältig prüfen, wo sich die Server und Rechenzentren befinden und inwiefern dies mit ihrem Firmensitz, ihrer internationalen Marktpräsenz und den entsprechenden Datenschutzbestimmungen zusammenhängt. Die Wahl zwischen der Nutzung eines SaaS-Dienstes mit Servern in der EU oder außereuropäischen Standorten kann erhebliche Auswirkungen auf die Datenintegrität, den Datenschutz sowie die Einhaltung der regulatorischen Anforderungen haben.

Wann tritt der EU AI Act in Kraft?

Den EU AI Act hat die die Europäische Kommission ursprünglich im April 2021 präsentiert, um die Regelungen für Künstliche Intelligenz in allen EU-Mitgliedsstaaten zu harmonisieren. Die Regulatorik-Idee entstand somit nicht aufgrund von OpenAI und ChatGPT sondern wurde schon einige Jahre zuvor geplant. Zum jetzigen Zeitpunkt haben sich die zuständigen Ausschüsse auf eine Position geeinigt, weshalb der Gesetzesentwurf jetzt in die Trilog Phase geht, in welcher er final von der EU-Kommission, dem Rat sowie dem Parlament verhandelt wird. Da es sich um eine Verordnung handelt, wird der EU AI Act, sobald er finalisiert und in Kraft tritt, unmittelbar in jedem der 27 EU-Mitgliedstaaten gelten. Im Dezember 2022 genehmigte der Rat der Europäischen Union eine überarbeitete Version des EU AI Acts. Der Entwurf des Rates entspricht größtenteils dem ursprünglichen Vorschlag der Europäische Kommission vom April 2021.

Im Januar 2023 begann die Arbeit an allgemeingültigen KI-Standards, die sich größtenteils an den Vorgaben der Internationalen Organisation für Normung (ISO) orientieren. Es wird erwartet, dass der EU AI Act zwischen Ende 2023 und Anfang 2024 in Kraft tritt. Nach dem Inkrafttreten sollen Übergangsfristen gewährt werden. Das Ziel ist es, unionsweit eine verantwortungsvolle und nachhaltige Nutzung von Künstlicher Intelligenz sicherzustellen. Er wird Unternehmen und Nutzern klare Regeln und Leitlinien geben, um das Potenzial von KI voll auszuschöpfen, ohne dabei die Grundrechte und den Datenschutz zu beeinträchtigen.

Fazit: Der EU AI Act kommt

Der EU AI Act stellt einen wichtigen Meilenstein für die Regulierung von KI-Anwendungen im EU-Raum dar. Es besteht im europäischen Ökosystem für KI-Anbieter die große Hoffnung, dass nicht „überreglementiert“ wird und die rechtlichen Leitplanken so konzipiert werden, dass sie Innovation und Effizienzsteigerung unterstützen, während bestimmte Probleme und Risiken reguliert werden.

B2B-Unternehmen müssen sich der Auswirkungen bewusst sein und sicherstellen, dass ihre KI-Technologien und -Strategien den neuen Vorschriften entsprechen. Deshalb ist es wichtig, die Entwicklung des EU AI Acts aufmerksam zu verfolgen und sich gegebenenfalls mit Experten auf dem Gebiet der KI-Regulierung abzustimmen, um sicherzustellen, dass Unternehmen weiterhin innovative und ethisch verantwortungsvolle KI-Lösungen im Digital Commerce und Marketing realisieren können. Insgesamt ist es empfehlenswert sich bereits jetzt, ähnlich wie bei der DSGVO-Einführung, auf den EU AI Act vorzubereiten.

Für Fragen und weitere Informationen zum Angebot und den Möglichkeiten mit Retresco, stehen wir gerne zur Verfügung. Für Fragen zum EU AI Act vermitteln wir gerne den Kontakt zu einer kompetenten Rechtsberatung. Sprich uns an – unsere Expert/innen melden sich gerne bei dir!