Im April 2021 stellte die Europäische Kommission ihren mit Spannung erwarteten Leitentwurf für einen Vorschlag zur Regulierung künstlicher Intelligenz vor. Üblicherweise als Artificial Intelligence Act (der „AI Act“) bezeichnet, stellt dies den weltweit ersten umfassenden Versuch dar, eine horizontale Regulierung von KI-Systemen zu implementieren. Der AI Act soll die schädlichen Risiken angehen, die mit KI und ihren spezifischen Anwendungen verbunden sind, und zugleich verantwortungsvolle Innovation in diesem Bereich fördern. Bei Erlass wird das Instrument die Methoden, mit denen Unternehmen Technologien der künstlichen Intelligenz entwickeln, bereitstellen, warten und einsetzen, dauerhaft neu definieren.

‍

Wesentliche Merkmale des AI Act

Definition von „künstliches-Intelligenz-System“ (KI-System):

Die Kommission hat eine weit gefasste Definition eines KI-Systems vorgelegt, die softwarebasierte Technologien umfasst und sich auf eine Reihe breit definierter KI-Ansätze und -Techniken erstreckt: „maschinelles Lernen“, „logik- und wissensbasierte“ Systeme sowie „statistische Ansätze“.

Risikobasierter Ansatz:

Die Verordnung wird einen risikobasierten, pyramidenartigen Ansatz zur Bewältigung von KI-Risiken verfolgen – wobei die Anforderungen und Pflichten der Marktteilnehmer an das von ihren KI-Systemen ausgehende Risiko angepasst werden. Die vier Risikokategorien werden im Folgenden näher erläutert.

1. Nicht akzeptables Risiko. An der Spitze dieser Pyramide steht eine Kategorie von KI-Anwendungsfällen, von denen angenommen wird, dass sie für Nutzer und die Gesellschaft insgesamt ein nicht akzeptables Risiko darstellen, und die daher vollständig verboten sind. Zu den verbotenen Systemen zählen unter anderem KI-Technologien, die unterschwellige Manipulation, biometrische Identifizierung in Echtzeit, soziales Scoring durch öffentliche Stellen oder die Ausbeutung schutzbedürftiger sozialer Gruppen umfassen.

2. Hohes Risiko. Obwohl zulässig, werden für eine Vielzahl von Hochrisiko-KI-Systemen verschärfte Anforderungen vorgeschlagen, die das Potenzial haben, die Sicherheit einer Person oder ihre Grundrechte nachteilig zu beeinträchtigen. Zu den Anwendungen in dieser Kategorie zählen Systeme in den Bereichen Infrastruktur, Bildung, Beschäftigung und Strafverfolgung sowie solche, die eine Sicherheitskomponente eines Produkts darstellen, das bereits den EU-Rechtsvorschriften zu Gesundheit und Sicherheit unterliegt. Die für Hochrisikosysteme geltenden spezifischen Regeln schreiben unter anderem vor, dass Organisationen:

• ein Risikomanagementsystem einrichten, um sicherzustellen, dass in Bezug auf ein bestimmtes System eine angemessene Risikobewertung durchgeführt wird;

• umfassende technische Dokumentationen für ihre Systeme erstellen;

• ihre Anwendungen vor der Bereitstellung einer Konformitätsbewertung unterziehen;

• hochwertige Verfahren zur Daten-Governance und zum Datenmanagement aufrechterhalten; und

• sicherstellen, dass das System hohen Standards in Bezug auf Robustheit, Cybersicherheit und Genauigkeit entspricht.

3. Begrenztes Risiko. Anwendungen, die nicht ausdrücklich verboten oder als hochriskant eingestuft sind, bleiben weitgehend unreguliert. Systeme mit begrenztem Risiko unterliegen weniger strengen Transparenzvorschriften, die lediglich verlangen, dass Nutzer darüber informiert werden, dass sie mit einem KI-Tool interagieren.

4. Minimales Risiko. Obwohl für Anwendungen, die in keine andere Kategorie fallen und daher nur ein minimales Risiko darstellen, keine besonderen Anforderungen bestehen, wird Unternehmen empfohlen, für alle KI-Systeme unabhängig vom jeweils bestehenden Risikoniveau einen ethikbasierten Ansatz zu verfolgen. Tatsächlich fungiert Artikel 69 des AI Act als „Auffangtatbestand“, der Anbieter und Nutzer von KI-Systemen mit geringerem Risiko dazu ermutigt, freiwillig und verhältnismäßig dieselben Standards einzuhalten wie ihre Hochrisiko-Pendants.

Wer ist für die Einhaltung verantwortlich und welche Folgen hat ein Verstoß:

Je nach ihrer Rolle im KI-Lebenszyklus gelten für die einzelnen Marktteilnehmer unterschiedliche Pflichten. Der AI Act unterscheidet zwischen „Anbietern“, „Nutzern“, „Importeuren“ und „Händlern“ und legt jedem von ihnen unterschiedliche Verpflichtungen auf. Die Sanktionen nach dem derzeitigen Entwurf des EU AI Act sind erheblich. Geldbußen für die schwerwiegendsten Verstöße könnten bis zu 6 Prozent des Jahresumsatzes betragen.

‍

Der aktuelle Stand

Seit seiner Veröffentlichung hat der Act erhebliche Aufmerksamkeit von den anderen legislativen Organen der Europäischen Union sowie von interessierten Dritten erhalten. Einige der wichtigsten noch offenen Punkte werden im Folgenden näher erläutert.

Definition von „künstliches-Intelligenz-System“:

Die Bestimmung dessen, was ein „KI-System“ darstellt, ist für die Zuweisung von Verantwortlichkeiten im Rahmen des AI Act entscheidend. Der weite definitorische Anwendungsbereich von Artikel 3 Absatz 1, der den Begriff zu definieren versucht, ist unter den Stakeholdern der Branche Gegenstand erheblicher Kontroversen gewesen. Ein von der tschechischen Präsidentschaft des Europäischen Rates vorgelegter Kompromissänderungsantrag zielt darauf ab, die durch die weit gefasste Definition entstehenden Unklarheiten zu beheben. Diese engere Definition schließt herkömmliche Softwaresysteme aus dem Anwendungsbereich der Verordnung aus, indem zwei zusätzliche Anforderungen eingeführt werden: (1) dass Systeme durch Techniken des maschinellen Lernens und wissensbasierte Ansätze entwickelt werden; und (2) dass die Zielanwendungen „generative Systeme“ sind, die die Umgebungen beeinflussen, mit denen sie interagieren.

Aufteilung der Verantwortlichkeiten zwischen KI-„Anbietern“ und „Nutzern“:

Der AI Act legt die Einhaltungspflichten größtenteils den Anbietern (d. h. denjenigen, die ein bestimmtes KI-System entwickeln) und nicht den Nutzern auf. Branchenverbände haben argumentiert, dass sich diese top-down angelegte Verteilung der Verantwortung als problematisch erweisen könnte, wenn KI-Dienste nachgelagert für unvorhersehbare Zwecke eingesetzt werden und es schwierig sein kann, genau festzustellen, wer der Anbieter ist.

Allzweck-KI:

Die Einstufung einer Anwendung als Allzweck-KI-System hängt von ihrer Fähigkeit ab, mehrere Aufgaben in unterschiedlichen Kontexten zu erfüllen. Im Mai dieses Jahres kündigten EU-Politiker ihre Absicht an, die Anforderungen des EU AI Act auf sämtliche Allzweck-KI auszuweiten, selbst in Fällen eines Einsatzes mit geringem Risiko. Dies hat sich als kontrovers erwiesen, da Gegner argumentieren, dies stelle eine grundlegende Abkehr vom risikobasierten Ansatz dar, der dem Vorschlag zugrunde liegt, und drohe Innovationen zu behindern. Im September dieses Jahres schlug der Rat einen Kompromiss vor, indem er verlangte, dass Allzweck-KI ein umfassendes Risikobewertungsverfahren durchläuft, wodurch Allzweck-KI-Systeme mit geringem Risiko von den strengeren Anforderungen des AI Act ausgenommen würden; dies wurde allgemein positiv aufgenommen.

Verbindliche Grundprinzipien:

Ein von Mitgliedern des Europäischen Parlaments (MdEPs) vorgelegter Vorschlag zur Einführung verbindlicher Grundprinzipien der Fairness, Transparenz und Rechenschaftspflicht für alle KI-Systeme (unabhängig vom Risikoniveau) steht noch aus und wartet auf eine endgültige Entscheidung.

Standards:

Parallel zum Gesetzgebungsverfahren hat die Kommission die europäischen Normungsorganisationen CEN und CENLEC ersucht, technische Standards zur Bewertung der Einhaltung des AI Act zu entwickeln. Obwohl die von diesen Gremien entwickelten Standards freiwillig sind, genießen Organisationen, die nachweisen, dass ihre Systeme ihnen entsprechen, die Vermutung der Konformität mit dem AI Act.

Die Herausforderung

Der AI Act durchläuft weiterhin den komplexen Gesetzgebungsprozess der EU. Viele Organisationen haben jedoch bereits mit den Vorbereitungen für den AI Act begonnen. Je reifer der Bereich wird, desto deutlicher werden die Vorteile proaktiver Maßnahmen, etwa die Implementierung von Risikomanagementsystemen und die Durchführung detaillierter technischer Prüfungen – unabhängig davon, ob hierfür eine regulatorische Verpflichtung besteht.

Im Prozess bestehen nach wie vor viele Herausforderungen. Die Rolle zu verstehen, die ein Marktteilnehmer im Ökosystem spielt, die Komplexität der Festlegung von Risikostufen zu bewältigen und anschließend die Anwendbarkeit der einschlägigen Verpflichtungen im Rahmen des AI Act zu bestimmen und diese einzuhalten, stellt zweifellos eine Belastung für diejenigen dar, die in diesem Bereich tätig sind. Die Enzai-Plattform wurde vor diesem Hintergrund entwickelt und kann Organisationen dabei helfen, sich in diesem Bereich schnell und effizient zurechtzufinden, damit sie sich auf den Aufbau zukunftssicherer KI-Technologien konzentrieren können.

Wenn Sie mehr über unsere EU AI Act-Lösungen erfahren möchten, nehmen Sie bitte unter hey@enz.ai Kontakt mit uns auf, damit wir Ihnen zeigen können, wie wir Ihnen helfen können. Besuchen Sie unseren Blog für Artikel über Ansätze zur KI-Regulierung in den USA und in Großbritannien.

‍