12.11.2024
Seit dem 01.08.2024 ist der AI-Act in Kraft. In unserer Blogreihe werden wir auf wesentliche Details eingehen. Wenn Sie sich die folgenden Fragen stellen:
🔎 Was bedeutet der AI-Act für unser Unternehmen generell?
⌛️ Was muss kurzfristig geschehen?
🎯 Wie betrifft mich der AI-Act langfristig?
Dann freuen Sie sich auf die Lektüre unserer Blogreihe.
Im ersten Teil beschäftigen wir uns mit den Risikokategorien von KI-Systemen gemäß AI-Act und welche Anforderungen pro Risikokategorie zu erfüllen sind. Dabei gehen wir auch auf die im AI-Act definierten Akteure ein und welchen Einfluss Ihre Rolle im Prozess hat.
Die Akteure und die Anforderungen im EU AI Act – Ein Überblick
Der im August 2024 in Kraft getretene AI-Act ist der erste umfassende Rechtsrahmen für die Regulierung von künstlicher Intelligenz (KI). Dieser Rechtsrahmen wurde mit der Zielsetzung entwickelt, die mit der Nutzung von KI verbundenen Risiken zu minimieren und gleichzeitig Innovationen zu fördern. Ob das Ziel der Innovationsförderung durch den AI-Act in der Praxis unterstützt wird, wird gegenwärtig kontrovers diskutiert. Eine nationale Durchführungsverordnung, welche noch dieses Jahr erwartet wird, kann weitere Anhaltspunkte liefern.
In diesem Blogbeitrag beleuchten wir die verschiedenen Akteure, die im Rahmen des AI-Acts eine Rolle spielen, und skizzieren die Anforderungen, die je nach Risikokategorie, in die ein KI-System eingeordnet wird, zu erfüllen sind.
1. Die Risikokategorien des AI-Acts
Die wesentlichen Anforderungen des AI-Acts hängen stark von der Risikokategorie ab, in welche das KI-System eingestuft wird. Der AI-Act teilt KI-Systeme in vier verschiedene Risikokategorien ein, welche nach ihren potenziellen Auswirkungen auf die Sicherheit und die Grundrechte der Menschen gegliedert sind:
Besonders zu erwähnen sind die so genannten GPAI (General Purpose AI), oder auch KI-Modelle für allgemeine Zwecke ein. Diese Modelle sind nicht für einen bestimmten Zweck konzipiert, sondern können in vielen Bereichen verwendet werden. GPAIs werden unterschieden in GPAI ohne systemisches Risiko und GPAI mit systemischem Risiko (abhängig von der Anwendung der GPAI). Für diese KI-Modelle sieht der AI-ACT besondere zusätzliche Anforderungen vor.
2. Akteure im KI-Act
Der AI-Act benennt verschiedene Akteure mit jeweils spezifischen Aufgaben. Es ist daher von entscheidender Bedeutung, die eigene Rolle im Gesamtprozess richtig einzuordnen:
Eine Herausforderung des AI-Acts liegt in der Auslegung dieser Rollentrennung, da in verschiedenen Konstellationen die Grenzen zwischen den Akteuren verschwimmen können. So gilt beispielsweise derjenige als Anbieter, der eine Anwendung in Betrieb nimmt; die Inbetriebnahme setzt aber keine Übergabe/Handel voraus, sondern schließt explizit den Eigengebrauch mit ein. Folglich kann ein Nutzer einer Eigenentwicklung, welche keine Kundenschnittstelle aufweist, als Anbieter im Sinne des AI-Act gelten. Es finden sich noch weitere Regelungen (z.B. Art. 25), die eine klare Rollentrennung erschweren. Im Folgenden konzentrieren wir uns auf die Anforderungen an Anbieter und Betreiber von KI-Systemen.
3. Anforderungen an Anbieter und Nutzer von KI-Systemen nach Risikokategorien
Die folgende Tabelle gibt einen Überblick, über die Anforderungen die Anbieter und Betreiber von KI-Systemen erfüllen müssen. Die strengsten Anforderungen gelten dabei für die Anbieter von Hochrisikosystemen.
Risikokategorie | Anbieter | Betreiber | Zusammenfassung |
|---|---|---|---|
Unzulässige KI-Systeme | Artikel 5 | - | Anbieter dürfen keine manipulativen, diskriminierenden oder anderweitig unzulässigen KI-Systeme entwickeln oder vermarkten. Betreiber dürfen solche Systeme nicht einsetzen. |
Hochrisiko-KI-Systeme | Artikel 6, 8, 7, 9, 10, 11, 12, 13, 15, 16-19, 43, 47, 49, 72 | Artikel 13, 26 | Anbieter müssen strenge Anforderungen an Datenqualität, Cybersicherheit und Genauigkeit einhalten und das System nach Inverkehrbringen überwachen. Betreiber müssen Transparenz gewährleisten, die Systeme ordnungsgemäß nutzen und Risiken managen. |
GPAI mit systemischen Risiken | Artikel 51, 52, 53, 54, 55 | Artikel 13, 26 | Allgemeine KI-Modelle mit potenziellen systemischen Risiken: Anbieter müssen umfangreiche Risikobewertungen durchführen und die Systeme überwachen. Betreiber sind verpflichtet, transparente Nutzung zu gewährleisten und die Systeme gemäß den Vorgaben zu betreiben. |
Geringes Risiko | Artikel 50 | Artikel 50 | Geringes Risiko: Anbieter und Betreiber müssen sicherstellen, dass die Nutzer wissen, wenn sie mit einem KI-System interagieren (Transparenz). Betreiber müssen sicherstellen, dass Systeme ordnungsgemäß verwendet werden. |
Minimal-Risiko-Systeme | Keine besonderen Artikel, nur allgemeine Vorgaben (z.B. ethische Richtlinien) | - | Minimaler regulatorischer Aufwand: Für Anbieter und Betreiber gibt es keine speziellen gesetzlichen Anforderungen, aber ethische Grundsätze sollten beachtet werden, um Sicherheit und Fairness zu gewährleisten. |
4. Zusammenfassung und Ausblick
Die Risikoklassifizierung von KI-Systemen und ihre Rolle im Gesamtprozess sind entscheidende Parameter für die Einstufung der zu erfüllenden Anforderungen im AI-Act.
Wie können wir nun feststellen, welche Anwendungsfälle in welche Risikokategorie fallen? Mit dieser Frage werden wir uns im nächsten Blogbeitrag beschäftigen.