EU-Technologievorschriften: Der AI Act

Der AI Act ist ein Vorschlag der Europäischen Union für eine europäische Verordnung über künstliche Intelligenz (KI). Er handelt sich dabei um die weltweit erste umfassende Verordnung über KI durch eine Regulierungsbehörde.

Der Einsatz künstlicher Intelligenz zur Verbesserung von Prognosen, zur Optimierung von Abläufen und der Ressourcenzuweisung sowie zur Personalisierung der Diensteerbringung kann für die Gesellschaft und die Umwelt von Nutzen sein und Unternehmen sowie der europäischen Wirtschaft Wettbewerbsvorteile verschaffen. Besonderes Potenzial und Bedarf sieht die Europäische Kommission in den Bereichen Klimaschutz, Umwelt und Gesundheit, öffentlicher Sektor, Finanzen, Mobilität, Inneres und Landwirtschaft.

AI-Technologien können aber auch neue Risiken oder Nachteile für den Einzelnen oder die Gesellschaft hervorbringen. Vor dem Hintergrund des rasanten technologischen Wandels und möglicher Herausforderungen will die EU einen ausgewogenen Ansatz erreichen.

Es Ist im Interesse der EU, die technische Führungsrolle der Staatengemeinschaft auszubauen und dafür zu sorgen, dass die Europäerinnen und Europäer von den im Einklang mit den Werten, Grundrechten und Prinzipien der Union entwickelten und funktionierenden neuen Technologien profitieren können.

Der AI Act stellt den rechtlichen Rahmen für die Nutzung von künstlicher Intelligenz in der EU bereit. Er zielt darauf ab, die Nutzung von KI-Systemen sicherer und ethischer zu gestalten sowie den Schutz der Rechte betroffener Personen zu gewährleisten.

Der AI Act unterteilt KI-Systeme in Risikogruppen, die 3 Kategorien umfassen: verboten, hochriskant und Systeme mit begrenztem Risiko.

KI-Systeme, die als gefährlich eingestuft sind, werden durch den AI Act verboten. Dazu zählen u.a. biometrische Kategorisierungssysteme, die natürliche Personen anhand sensibler oder geschützter Merkmale klassifizieren, Social-Scoring-Systeme und Systeme, die eine biometrische Echtzeitidentifikation im öffentlichen Raum ermöglichen.

KI-Systeme, die ein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte (oder in einigen Fällen die Umwelt) darstellen können, werden als "hochriskant" eingestuft und unterliegen daher strengen Anforderungen. Beispiele für hochriskante KI-Systeme sind Systeme, die für die Zulassung zu Bildungseinrichtungen, für die Einstellung oder Auswahl von Mitarbeiter:innen, die Beurteilung der Kreditwürdigkeit bzw. die Beurteilung des Zugangs zu staatlichen Leistungen und Dienstleistungen verwendet werden, sowie Systeme, die Wähler:innen in politischen Kampagnen beeinflussen.

Wenn ein KI-System als 'hochriskant' betrachtet wird, haben Anbieter:innen umfangreiche Verpflichtungen in Bezug auf Risikomanagement, Daten- und Qualitätsmanagement, Transparenz (einschließlich der Erstellung von Dokumentationen), Protokollierung, menschliche Überwachung und Konformitätsbewertung. Darüber hinaus muss auch eine Bewertung der Auswirkungen auf Grundrechte erfolgen. Dies sollte die zu erwartenden Auswirkungen auf Grundrechte, die vorhersehbaren negativen Auswirkungen der Verwendung des KI-Systems auf die Umwelt sowie einen detaillierten Plan und eine Erklärung darüber umfassen, wie die negativen Auswirkungen auf Grundrechte gemildert werden sollen.

Für KI-Systeme mit begrenztem Risiko wurden Transparenzverpflichtungen eingeführt. Dazu gehören Systeme, die zur Interaktion mit Menschen verwendet werden (Chatbots) und biometrische Systeme (einschließlich Emotionserkennungssysteme), soweit sie nicht unter verbotene Systeme fallen.

Für KI-Modelle mit allgemeinem Verwendungszweck (wie ChatGPT) werden spezifische Verpflichtungen eingeführt. Grundmodelle, auch als Foundation-Modelle bezeichnet, nehmen im AI Act eine gesonderte Position ein. Sowohl Grundmodelle als auch Hochrisiko-KI-Systeme müssen in einer EU-Datenbank registriert werden. Schließlich ist zu beachten, dass bei der Entwicklung und Nutzung von KI-Systemen nicht nur der AI Act gilt. Auch geistiges Eigentum und Datenschutz spielen eine Rolle bei der Nutzung dieser KI-Systeme, weshalb die diesbezüglichen Vorschriften entsprechend beachtet werden müssen.

Das Europäische Parlament hat am 13.03.2024 über den Text des AI Acts abgestimmt und diesen beschlossen. Der AI Act tritt 20 Tage ab seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft, während die einzelnen Bestimmungen mit zeitlicher Staffelung (6, 12, 24 und 36 Monate) zur Anwendung kommen werden.

Werden KI-Systeme in Ihrem Unternehmen verwendet oder entwickelt, sollten die Anforderungen des AI Acts berücksichtigt und auf entsprechende interne Richtlinien, Geschäftsbedingungen und datenschutzspezifische Dokumentation geachtet werden. Zusammenfassend:

Wenn die verwendete Anwendung unter die Definition des AI Acts fällt, treten Transparenzverpflichtungen in Kraft. Die Bestimmungen, die sich auf die Nutzung von verbotenen KI-Systemen beziehen, werden bereits im vierten Quartal dieses Jahres zur Anwendung kommen.

Wenn ein KI-System als 'hochriskant‘ eingestuft wird, haben Anbieter:innen umfangreiche Verpflichtungen in den Bereichen Risikomanagement, Datenmanagement, Qualitätsmanagement, Transparenz (einschließlich Erstellung von Dokumentation), Protokollierung, menschliche Aufsicht und Konformitätsbewertung. Bestimmungen, die hochriskante KI-Systeme betreffen, treten in 24 bzw. 36 Monaten in Kraft und kommen somit im Jahr 2026 bzw. 2027 zur Anwendung.

Benutzer:innen sollten KI-Systeme gemäß der Bedienungsanleitung verwenden. Dabei ist auch für menschliche Aufsicht über das KI-System zu sorgen, die durch natürliche Personen zu erfolgen hat, die über die erforderlichen Fähigkeiten, Kompetenzen und Befugnisse zu verfügen haben. Weiters ist sicherzustellen, dass Eingabedaten im Hinblick auf den Zweck relevant und hinreichend repräsentativ sind.

Die DSGVO spielt sowohl beim Training (verwendete Datensätze) als auch bei der Anwendung von KI-Systemen (Verarbeitung von Daten der Endbenutzer:innen) eine wichtige Rolle. Im Rahmen der EU-Konformitätserklärung muss die Einhaltung der DSGVO nachgewiesen werden.