EU-KI-Gesetz – Auswirkung auf Datenschutz, Sicherheit, Risiken und Audits
Das EU-KI-Gesetz ist da und es hat Auswirkungen auf die Welt des Datenschutzes, Sicherheit, Risiko und Rechnungsprüfung. Das bedeutet, es beeinflusst die Art und Weise, wie diese Funktionen organisiert sind, wie die Fachleute ihre Arbeit verrichten und was sie in ihrer Position zu tun haben.
Was ist das EU-KI-Gesetz?
In einer Zeit, in der Systeme und Produkte, die auf künstlicher Intelligenz basieren, immer mehr an Bedeutung gewinnen, hat sich die Europäische Kommission dazu entschlossen, KI-Systeme durch ein Gesetz namens “EU AI Act” zu regulieren. Das Gesetz kategorisiert KI-Systeme in Risikostufen und stellt strengere Anforderungen an Systeme mit hohem Risiko, während es schädliche KI-Praktiken wie Social Scoring durch Regierungen verbietet. Es verfolgt einen ausgewogenen Ansatz zwischen Produktsicherheit und Schutz der grundlegenden Menschenrechte.
Das EU-KI-Gesetz ist am 1. August 2024 in Kraft getreten, während die spezifischen Vorschriften für KI-Systeme mit hohem Risiko und für KI-Modelle mit allgemeinem Verwendungszweck zu späteren Zeitpunkten wirksam werden.
Wie wird sich das Gesetz auf andere Funktionen auswirken? Und auf welche?
KI-Systeme können nicht in Silos entwickelt und betrieben werden. Da die meisten dieser Systeme Risiken mit sich bringen und in der Cloud aktiv sind, liegt es auf der Hand, dass verschiedene Anspruchsgruppen daran interessiert sind. Folgende Bereiche werden von den Auswirkungen betroffen sein, wenn Unternehmen die EU-Vorgaben für KI erfüllen wollen:
- Risikomanagement-Teams werden ihren Risikoansatz anpassen, an der Risikokategorisierung mitwirken und wahrscheinlich das Register der Risikokategorisierung verwalten.
- Datenschutzteams werden zur Bewertung der Auswirkungen auf die Rechte beitragen und sicherstellen, dass die KI-Systeme die Datenschutzbestimmungen einhalten.
- Sicherheitsteams müssen zur Umsetzung von Sicherheitspraktiken beitragen und sicherstellen, dass der Aspekt der Cybersicherheitsanforderungen des EU-KI-Gesetzes beachtet wird.
- Compliance-Teams werden Richtlinien und Kontrollen ausarbeiten, um Organisationen bei der Einhaltung des EU-KI-Gesetzes zu unterstützen.
- Audit-Teams werden Strategien entwickeln und umsetzen, um die Einhaltung der Anforderungen des EU-KI-Gesetzes zu überprüfen.
Dies sind zwar nur erste Einblicke, aber das Ausmaß und der Umfang der tatsächlichen Auswirkungen auf diese und andere Funktionen hängen von der Größe, dem Standort und der Branche ab, in der das jeweilige Unternehmen tätig ist, und davon, wie es sich entscheidet, KI zu verwalten und zu regeln.
Ein weiteres wichtiges Thema ist die Vertrauenslücke bei digitalen Technologien. Einem ISACA-Bericht zufolge legen Unternehmen zwar Wert auf Digital Trust, aber es gibt kaum Fortschritte bei dessen Umsetzung. Diese Lücke in Kombination mit dem EU-KI-Gesetz wird den Organisationen einen Anstoß geben, digitales Vertrauen zu schaffen und zu erhalten.
In einer Zeit, in der sich neue Technologien wie KI und Robotik auf jeden Aspekt des Lebens auswirken werden, ist es unerlässlich, die Anforderungen des EU-KI-Gesetzes in die Verwaltung der Compliance und zur Schaffung von Vertrauen zu integrieren.