Im April 2021 legte die Europäische Kommission ihren mit großer Spannung erwarteten Vorzeige-Entwurf zur Regulierung künstlicher Intelligenz vor. Gemeinhin als Artificial Intelligence Act (der „AI Act“) bezeichnet, stellt er den weltweit ersten umfassenden Versuch dar, eine horizontale Regulierung von KI-Systemen umzusetzen. Der AI Act soll den mit KI und ihren spezifischen Einsatzbereichen verbundenen schädlichen Risiken begegnen und zugleich verantwortungsvolle Innovation in diesem Bereich fördern. Sollte er erlassen werden, würde dieser Rechtsakt die Methoden, mit denen Unternehmen Technologien der künstlichen Intelligenz entwickeln, bereitstellen, warten und nutzen, dauerhaft neu definieren.

‍

Zentrale Merkmale des AI Act

Definition eines „Systems künstlicher Intelligenz“ (KI-System):

Die Kommission hat eine weit gefasste Definition eines KI-Systems vorgelegt, die sich auf softwarebasierte Technologien erstreckt und eine Reihe breit definierter KI-Ansätze und -Techniken umfasst: „Machine Learning“, „logik- und wissensbasierte“ Systeme sowie „statistische Ansätze“.

Risikobasierter Ansatz:

Die Verordnung wird einen risikobasierten Pyramidenansatz zur Bewältigung von KI-Risiken verfolgen, der die Anforderungen und Pflichten der Marktteilnehmer an das von ihren KI-Systemen ausgehende Risikoniveau anpasst. Die vier Risikokategorien werden nachstehend näher erläutert.

1. Inakzeptables Risiko. An der Spitze dieser Pyramide steht eine Kategorie von KI-Anwendungsfällen, von denen angenommen wird, dass sie für Nutzer und die Gesellschaft insgesamt ein inakzeptables Risiko darstellen, und die daher ausnahmslos verboten sind. Zu den verbotenen Systemen zählen unter anderem KI-Technologien, die subliminale Manipulation, biometrische Echtzeit-Identifizierung, Social Scoring durch staatliche Stellen oder die Ausbeutung schutzbedürftiger sozialer Gruppen umfassen.

2. Hohes Risiko. Obwohl zulässig, werden für eine Vielzahl von Hochrisiko-KI-Systemen, die das Potenzial haben, die Sicherheit einer Person oder ihre Grundrechte nachteilig zu beeinträchtigen, strengere Anforderungen vorgeschlagen. Zu dieser Kategorie gehören Systeme in den Bereichen Infrastruktur, Bildung, Beschäftigung, Strafverfolgung sowie solche, die einen Sicherheitsbestandteil eines Produkts darstellen, das bereits den EU-Rechtsvorschriften über Gesundheit und Sicherheit unterliegt. Die für Hochrisiko-Systeme geltenden spezifischen Regeln verlangen unter anderem, dass Organisationen:

• Risikomanagementsysteme einrichten, um sicherzustellen, dass in Bezug auf ein bestimmtes System eine angemessene Risikobewertung durchgeführt wird;

• umfassende technische Dokumentationen zu ihren Systemen erstellen;

• ihre Anwendungen vor der Inbetriebnahme einer Konformitätsbewertung unterziehen;

• hochwertige Verfahren für Daten-Governance und Datenmanagement aufrechterhalten; und

• sicherstellen, dass das System hohen Standards hinsichtlich Robustheit, Cybersicherheit und Genauigkeit entspricht.

3. Geringes Risiko. Anwendungen, die nicht ausdrücklich verboten oder als Hochrisiko eingestuft sind, bleiben weitgehend unreguliert. Systeme mit geringem Risiko unterliegen weniger belastenden Transparenzregeln, die lediglich verlangen, dass Nutzer darüber informiert werden, dass sie mit einem KI-Tool interagieren.

4. Minimales Risiko. Für Anwendungen, die in keine andere Kategorie fallen und daher ein minimales Risiko darstellen, bestehen zwar keine spezifischen Anforderungen; Unternehmen wird jedoch empfohlen, für alle KI-Systeme unabhängig vom jeweiligen Risikoniveau einen ethikbasierten Ansatz zu verfolgen. Tatsächlich fungiert Artikel 69 des AI Act als „Auffangbestimmung“, die Anbieter und Nutzer von KI-Systemen mit geringerem Risiko dazu ermutigt, auf freiwilliger Basis und in angemessenem Verhältnis die gleichen Standards wie ihre Hochrisiko-Pendants einzuhalten.

Wer ist für die Einhaltung verantwortlich und welche Folgen hat ein Verstoß:

Für jeden Marktteilnehmer gelten unterschiedliche Pflichten, abhängig von der Rolle, die er im KI-Lebenszyklus einnimmt. Der AI Act unterscheidet zwischen „Anbietern“, „Nutzern“, „Importeuren“ und „Vertreibern“ und legt für jede dieser Gruppen unterschiedliche Pflichten fest. Die Sanktionen nach dem aktuellen Entwurf des EU AI Act sind hoch. Geldbußen für die schwerwiegendsten Verstöße könnten bis zu 6 Prozent des Jahresumsatzes betragen.

‍

Der aktuelle Stand

Seit seiner Veröffentlichung ist der Rechtsakt von den anderen legislativen Organen der Europäischen Union und interessierten Dritten ausführlich kommentiert worden. Einige der wichtigsten noch offenen Punkte werden nachfolgend näher erörtert.

Definition des „Systems künstlicher Intelligenz“:

Die Festlegung dessen, was ein „KI-System“ darstellt, ist für die Zuordnung der Verantwortlichkeiten nach dem AI Act von entscheidender Bedeutung. Der weite Begriffsumfang von Artikel 3 Absatz 1, der den Begriff zu definieren versucht, ist unter den Stakeholdern der Industrie Gegenstand erheblicher Kontroversen gewesen. Ein von der tschechischen Präsidentschaft des Europäischen Rates vorgelegter Kompromissänderungsantrag hat versucht, die durch die weit gefasste Definition entstandenen Unklarheiten zu beseitigen. Diese engere Definition nimmt herkömmliche Softwaresysteme aus dem Anwendungsbereich der Verordnung heraus, indem zwei zusätzliche Anforderungen eingeführt werden: (1) dass Systeme mithilfe von Machine-Learning-Techniken und wissensbasierten Ansätzen entwickelt werden; und (2) dass die betreffenden Anwendungen „generative Systeme“ sind, die die Umgebungen beeinflussen, mit denen sie interagieren.

Aufteilung der Verantwortlichkeiten zwischen KI-„Anbietern“ und „Nutzern“:

Der AI Act legt die Compliance-Pflichten weitgehend den Anbietern auf (d. h. denjenigen, die ein bestimmtes KI-System entwickeln) und nicht den Nutzern. Branchenverbände haben argumentiert, dass diese Top-down-Verteilung der Verantwortung problematisch sein kann, wenn KI-Dienste downstream für unvorhersehbare Zwecke eingesetzt werden und sich nur schwer feststellen lässt, wer genau der Anbieter ist.

KI für allgemeine Zwecke:

Die Einstufung einer Anwendung als KI-System für allgemeine Zwecke hängt davon ab, dass sie in der Lage ist, mehrere Aufgaben in unterschiedlichen Kontexten zu erfüllen. Im Mai dieses Jahres gaben die politischen Entscheidungsträger der EU bekannt, dass sie beabsichtigen, die Anforderungen des EU AI Act auf sämtliche KI für allgemeine Zwecke auszuweiten, selbst in Fällen einer Nutzung mit geringem Risiko. Dies hat sich als umstritten erwiesen, da Kritiker argumentieren, dass es eine grundlegende Abkehr vom risikobasierten Ansatz darstellt, der dem Vorschlag zugrunde liegt, und Innovationen zu hemmen droht. Im September dieses Jahres schlug der Rat einen Kompromiss vor, wonach KI für allgemeine Zwecke ein umfassendes Risikobewertungsverfahren durchlaufen muss. Dadurch würden KI-Systeme für allgemeine Zwecke mit geringem Risiko von den strengeren Anforderungen des AI Act ausgenommen; dies wurde insgesamt positiv aufgenommen.

Verbindliche Grundprinzipien:

Ein von Mitgliedern des Europäischen Parlaments (MdEPs) eingebrachter Vorschlag zur Einführung verbindlicher Grundprinzipien der Fairness, Transparenz und Rechenschaftspflicht für alle KI-Systeme (unabhängig vom Risikoniveau) wartet noch auf eine endgültige Entscheidung.

Normen:

Parallel zum Gesetzgebungsprozess hat die Kommission die europäischen Normungsorganisationen, CEN und CENLEC, ersucht, technische Normen zur Bewertung der Einhaltung des AI Act zu entwickeln. Obwohl die von diesen Gremien entwickelten Normen freiwillig sein werden, profitieren Organisationen, die nachweisen, dass ihre Systeme diesen entsprechen, von einer Vermutung der Konformität mit dem AI Act.

Die Herausforderung

Der AI Act befindet sich weiterhin im komplexen Gesetzgebungsverfahren der EU. Viele Organisationen haben jedoch bereits mit den Vorbereitungen für den AI Act begonnen. Mit der Reifung des Marktes bringen proaktive Schritte wie die Implementierung von Risikomanagementsystemen und die Durchführung detaillierter technischer Prüfungen für Unternehmen klare Vorteile mit sich, unabhängig von etwaigen regulatorischen Verpflichtungen dazu.

Im Prozess bestehen weiterhin zahlreiche Herausforderungen. Die Rolle, die ein Marktteilnehmer im Ökosystem einnimmt, zu verstehen, die Komplexität der Festlegung von Risikoniveaus zu bewältigen und anschließend die Anwendbarkeit der relevanten Pflichten nach dem AI Act zu bestimmen und diesen zu entsprechen, stellt für diejenigen, die in diesem Bereich tätig sind, zweifellos eine Belastung dar. Die Enzai-Plattform wurde mit Blick hierauf entwickelt und kann Organisationen dabei helfen, sich in diesem Umfeld schnell und effizient zurechtzufinden, damit sie sich auf die Entwicklung zukunftssicherer KI-Technologien konzentrieren können.

Enzai ist die führende Enterprise-KI-Governance-Plattform, die speziell dafür entwickelt wurde, Unternehmen den Übergang von abstrakten Richtlinien zu operativer Aufsicht zu erleichtern. Unsere KI-Risikomanagement-Plattform stellt die spezialisierte Infrastruktur bereit, die erforderlich ist, um agentische KI-Governance zu steuern, ein umfassendes KI-Inventar zu pflegen und die EU AI Act-Compliance sicherzustellen. Durch die Automatisierung komplexer Workflows befähigt Enzai Unternehmen, die Einführung von KI mit Zuversicht zu skalieren und gleichzeitig die Ausrichtung an globalen Standards wie ISO 42001 und NIST aufrechtzuerhalten.