Künstliche Intelligenz (KI) ist auf den Agenden der weltweiten Unternehmen in den letzten Jahren ganz nach oben gerückt. Ihr Versprechen im Hinblick auf Effizienz, Erkenntnisse und Transformation fesselt die Aufmerksamkeit der Menschen und schlägt sich in den Budgets nieder. Doch wie bei allen disruptiven Technologien hinkt die Gesetzgebung hinterher.
Auf den Plan tritt nun die Europäische Union (EU) und gestaltet entschlossen den ethischen und rechtlichen Rahmen rund um die KI. Seit der Vorlage des Vorschlags für ein EU-KI-Gesetz im April 2021 hat dieses ehrgeizige Gesetz zahlreiche Überarbeitungen und Änderungen erfahren.
Das Gesetz wurde am 13. März 2024 vom Europäischen Parlament verabschiedet. Daher ist es für Unternehmen nun an der Zeit, sich im komplexen Terrain der Verwaltung ihrer Data-Governance- und Data-Ingestion-Praktiken im Rahmen dieser neuen Gesetzgebung zurechtzufinden.
Was ist das EU-KI-Gesetz?
Das EU-KI-Gesetz ist eine umfassende Rechtsvorschrift der Europäischen Kommission zur Regulierung von KI-Systemen innerhalb der Europäischen Union. Es zielt darauf ab, einen harmonisierten Rahmen für die Entwicklung, Bereitstellung und Nutzung von KI-Technologien in unterschiedlichen Branchen bereitzustellen und gleichzeitig die Einhaltung grundlegender Rechte und Werte zu gewährleisten.
Wichtige Elemente des EU-KI-Gesetzes:
- Geltungsbereich: Die Verordnung gilt für KI-Systeme, die auf dem EU-Markt in Verkehr gebracht oder innerhalb der EU eingesetzt werden. Dabei gelten Ausnahmen für militärische und nationale Sicherheitszwecke.
- Risikobewertung: Dabei werden KI-Systeme nach ihrem Risikoniveau kategorisiert. Unterschieden wird zwischen verbotenen KI-Praktiken (z. B. Social-Scoring-Systeme), KI-Systemen mit hohem Risiko (die in kritischen Infrastrukturen, bei der Strafverfolgung oder im Gesundheitswesen eingesetzt werden) und KI-Systemen mit geringerem Risiko.
- Anforderungen für KI mit hohem Risiko: KI-Systeme mit hohem Risiko müssen strenge Anforderungen erfüllen im Hinblick auf u. a. Datenqualität, Transparenz, Dokumentation, menschliche Aufsicht und Robustheit. Gegebenenfalls müssen sie auch Konformitätsbewertungen unterzogen werden.
- Verbot bestimmter Praktiken: Das Gesetz verbietet bestimmte KI-Praktiken, die als besonders schädlich oder übergriffig gelten, wie etwa KI-gestützte soziale Bewertungssysteme, die die Menschenwürde verletzen.
- Beaufsichtigung und Durchsetzung: Es sieht Kontrollmechanismen und Durchsetzungsmaßnahmen vor, um die Einhaltung der Verordnung sicherzustellen. Bei Nichteinhaltung sind auch Strafen vorgesehen.
- Europäisches Amt für künstliche Intelligenz: Ein neues Regulierungsorgan, das Europäische Amt für künstliche Intelligenz, wird die Umsetzung und Durchsetzung des EU-KI-Gesetzes überwachen.
Das EU-KI-Gesetz stellt einen wichtigen Schritt zur Schaffung eines Rechtsrahmens dar, der bei der Entwicklung von KI-Technologien in der EU ein Gleichgewicht zwischen Innovation und ethischen und gesellschaftlichen Erwägungen schafft.
„Mit der Verabschiedung des EU-Gesetzes zur künstlichen Intelligenz wird sich die Art und Weise, wie Unternehmen in der Europäischen Union Daten verwalten, deutlich verändern. Angesichts der verschärften rechtlichen Verpflichtungen im Hinblick auf Governance und Sicherheit sind Unternehmen dabei, die Tools und Plattformen innerhalb ihrer Dateninfrastruktur sorgfältig zu prüfen, um sicherzustellen, dass sie die erforderlichen Standards und Richtlinien einhalten.
– MANAS NAYAK, AVP DATA & ANALYTICS (UK & EUROPE), LTIMINDTREE
Was bedeutet das EU-KI-Gesetz für Ihre Daten?
Das EU-KI-Gesetz dürfte sich in mehrfacher Hinsicht auf die Data-Governance- und Data-Moving-Praktiken von Unternehmen auswirken.
Diese könnten wie folgt aussehen:
- Datenqualität und -transparenz: Unternehmen müssen sicherstellen, dass die von ihnen aufgenommenen und übertragenen Daten den im EU-KI-Gesetz festgelegten Qualitätsstandards entsprechen. Dies umfasst auch die Transparenz hinsichtlich der Datenquellen, der Art und Weise der Datenverarbeitung sowie mögliche Verzerrungen oder Einschränkungen.
- Schutz von Privatsphäre und Datenschutz: Das Gesetz unterstreicht die Bedeutung der Privatsphäre und des Datenschutzes und verpflichtet Unternehmen dazu, strenge Richtlinien für den Schutz personenbezogener Daten einzuhalten. Dies kann zur Folge haben, dass Unternehmen zusätzliche Maßnahmen ergreifen müssen, um die Einhaltung von EU-Datenschutzvorschriften wie der Allgemeinen Datenschutzverordnung (DSGVO) zu gewährleisten.
- Rahmenkonzept für Data Governance: Unternehmen müssen möglicherweise ein Rahmenkonzept für Data Governance entwickeln oder das vorhandene verbessern, um es mit den Anforderungen des EU-KI-Gesetzes in Einklang zu bringen. Hierzu gehört die Einführung von Verfahren für Datenverwaltung, Dokumentation und Verantwortlichkeit während des gesamten Lebenszyklus der Daten.
- Auswirkung auf Data Movement: Das Gesetz kann Beschränkungen oder Auflagen für das Bewegen von Daten vorgeben, insbesondere wenn es um die Übermittlung von Daten in Länder außerhalb der EU geht. Unternehmen müssen gegebenenfalls sicherstellen, dass Datenübertragungen den EU-Mechanismen für die Datenübertragung entsprechen, z. B. dem EU Standard Contractual Clauses (SCC) oder den verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, BCR), um die Einhaltung der Datenschutzstandards zu gewährleisten.
- Risikobewertung und Compliance: Unternehmen müssen Risikobewertungen für die von ihnen entwickelten oder eingesetzten KI-Systeme durchführen, einschließlich der Systeme, die an Data Movement oder Ingestion beteiligt sind. Hierzu müssen die potenziellen Risiken für die Rechte und Freiheiten des Einzelnen bewertet und geeignete Maßnahmen zu deren Minderung ergriffen werden.
- Überwachung und Rechenschaftspflicht: Das Gesetz sieht Kontrollmechanismen und Durchsetzungsmaßnahmen vor, um die Einhaltung der Verordnung sicherzustellen. Unternehmen müssen Verantwortung für ihre Praktiken in Bezug auf Data Governance und Data Movement nachweisen. Hierzu gehören auch die Zusammenarbeit mit Aufsichtsbehörden und die Compliance bei Audits und Bewertungen.
So unterstützt Fivetran Unternehmen bei der Einhaltung des EU-KI-Gesetzes
Die Einhaltung der Anforderungen des EU-KI-Gesetzes erfordert skalierbare Kontrolllösungen, erstklassige Sicherheit und vollständige Transparenz des gesamten Data-Moving-Prozesses.
„Für Unternehmen, die KI einsetzen, ist es von entscheidender Bedeutung, ihr Risikoniveau zu bestimmen und Maßnahmen zu ergreifen, um das EU-KI-Gesetz einzuhalten.“
– MANAS NAYAK, AVP DATA & ANALYTICS (UK & EUROPE), LTIMINDTREE
Fivetran ist die führende Datenintegrationsplattform, die eine optimierte Data Governance ermöglicht, das Risiko von Datenschutzverletzungen mindert und gleichzeitig die Zusammenarbeit aller Beteiligten fördert. Unsere Plattform ermöglicht die Automatisierung und Kontrolle, die für umfassende Datenkonformität erforderlich sind.
Wir stellen umfassende Sicherheits- und Data-Governance-Funktionen bereit, darunter:
- Bereitstellungsmodelle für alle Architekturen: Ob on-premise, in der Cloud oder in einem Hybridsystem: Sie können Fivetran auf die Weise einsetzen, die für Ihr Unternehmen am sinnvollsten ist. Darüber hinaus erweitern wir fortlaufend eine umfassende Bibliothek von Cloud-Regionen, um bei der Datenverarbeitung die Anforderungen an die Datenresidenz für Unternehmen weltweit einzuhalten.
- Robustes Teilen von Metadaten: Die Metadaten von Fivetran verbessern die Transparenz darüber, woher die Daten stammen, wer auf sie zugegriffen hat und welche Änderungen in der Pipeline vorgenommen wurden. Der Fivetran-Plattformkonnektor kann mit Ihrer selbst entwickelten Lösung oder mit einem der branchenführenden Kataloge integriert werden.
- Granulare und automatisierte Zugangskontrolle: Unsere rollenbasierten Zugriffskontrollen (RBAC) beschränken den Zugriff auf interne Unternehmensressourcen und verwalten die Berechtigungen innerhalb aller Ressourcenbereiche. Nutzer haben nur Zugriff auf ein Minimum an Berechtigungen, die sie zum Ausführen ihrer Arbeit benötigen. Außerdem wird verhindert, dass Nutzer auf Ressourcen zugreifen, die nicht für sie bestimmt sind.
- Blockieren oder Hashen sensibler Daten:Mit der Spaltenblockierungs- und Hashing-Funktion von Fivetran können Sie automatisch die Replikation bestimmter Spalten an Ihrer Destination blockieren oder mit einem Hash versehen.
- Nachgewiesene Sicherheit und Compliance: Fivetran erfüllt alle wichtigen Sicherheits- und Compliance-Zertifizierungen und Anforderungen, darunter CCPA, DSGVO, HIPAA, HITRUST, ISO, PCI, SOC 1 und SOC 2.
- Fortschrittliche Datenresidenz: Fivetran bietet Ihnen die Flexibilität, Ihre Datenverarbeitung so zu konfigurieren, dass sie innerhalb der geografischen Region Ihrer Wahl verbleibt. Das bedeutet, dass Daten, die beispielsweise für den Verbleib in der EU konfiguriert sind, die EU während der Verarbeitung zu keinem Zeitpunkt verlassen.
Mit diesen und weiteren Funktionen unterstützt Fivetran Ihre KI-Innovationen durch automatisierten Zugriff auf zentralisierte, bereinigte und kontrollierte Daten. Damit können Unternehmen aller Größenordnungen die Anforderungen dieser neuen Gesetzgebung erfüllen und gleichzeitig die uneingeschränkte Kontrolle behalten.
„Unternehmen legen größten Wert auf Datenintegrität, KI-Sicherheit, Beobachtbarkeit und die Einhaltung von Vorschriften. Diese konzertierten Bemühungen spiegeln einen grundlegenden Wandel hin zur Gewährleistung reibungsloser und sicherer Abläufe in der heutigen technologieorientierten Landschaft wider.
- MANAS NAYAK, AVP DATA & ANALYTICS (UK & EUROPE), LTIMINDTREE
[CTA_MODULE]