Die neue KI-Verordnung der Europäischen Union, offiziell bekannt als der „Artificial Intelligence Act“ (AI Act), trat am 1. August 2024 in Kraft. Sie stellt einen bedeutenden Schritt in der Regulierung von Künstlicher Intelligenz dar und hat das Ziel, einheitliche Standards und rechtliche Rahmenbedingungen für den Einsatz von KI in Europa zu schaffen, um sowohl Innovationen zu fördern als auch Risiken zu minimieren. Für Unternehmen bringt diese Verordnung eine Reihe von Pflichten und Anforderungen mit sich, die sorgfältig beachtet werden müssen.
Was regelt die KI-VO?
Die KI-VO ist der erste rechtliche Rahmen für den Einsatz und Betrieb von KI-Systemen innerhalb der EU. Ähnlich wie die DSGVO gilt sie unmittelbar in allen Mitgliedstaaten, wobei einzelne Vorschriften von den jeweiligen Ländern weiter präzisiert werden müssen. Die KI-VO verfolgt einen risikobasierten Ansatz: Je größer das Risiko, das ein KI-System für die Gesellschaft oder den Einzelnen darstellt, desto strenger sind die damit verbundenen Regulierungen.
Risikobasierte Struktur
- Verbotene KI-Systeme
KI-Systeme, die ein inakzeptables Risiko darstellen und daher als besonders gefährlich eingestuft werden, sind verboten. Dazu zählen insbesondere Systeme, die Menschen basierend auf ihrem Verhalten, sozioökonomischen Status oder persönlichen Merkmalen klassifizieren (Social Scoring), sowie biometrische Systeme zur Echtzeit-Fernidentifizierung, wie etwa Gesichtserkennung im Kontext der Strafverfolgung. In einigen Fällen sind jedoch Ausnahmen möglich.
- Hochrisiko KI-Systeme
Unter KI-Systemen mit hohem Risiko versteht man solche, die eine erhebliche Gefahr für die Gesundheit, Sicherheit oder die Grundrechte natürlicher Personen darstellen. Diese Systeme werden in zwei Hauptkategorien unterteilt:
1. KI-Systeme, die Teil eines Produkts oder ein Sicherheitsbauteil eines Produkts sind
2. und KI-Systeme in spezifischen Bereichen, die von der EU-Kommission im Anhang III der Verordnung als hochriskant eingestuft werden. Dazu gehören beispielsweise biometrische Fernidentifizierung, die Verwaltung und der Betrieb kritischer Infrastrukturen, Bildung, Beschäftigung und Personalmanagement.
KI-Systeme mit hohem Risiko unterliegen strengen Anforderungen. Sie müssen in der EU-Datenbank registriert sein und ein Konformitätsbewertungsverfahren durchlaufen. Zudem ist eine menschliche Überwachung erforderlich, einschließlich einer Notfallfunktion zur sofortigen Abschaltung des KI-Systems. Anbieter solcher Systeme müssen ein Risiko- und Qualitätsmanagementsystem einführen und eine umfassende technische Dokumentation vorlegen. Weiterhin müssen die Ergebnisse des KI-Systems automatisch in Protokollen erfasst werden, und eine Betriebsanleitung muss den Betreibenden zur Verfügung gestellt werden.
- Geringrisiko KI-Systeme
Zu den KI-Systemen mit geringem Risiko gehören beispielsweise Chatbots und Spamfilter. Diese Systeme unterliegen weniger strengen Vorschriften, müssen jedoch dennoch grundlegende Transparenzpflichten erfüllen.
Transparenzpflichten
Unabhängig vom Risikograd eines KI-Systems besteht stets eine Verpflichtung zur Transparenz. Nutzende müssen jederzeit erkennen können, dass sie mit einem KI-System interagieren.
Fazit
Die neue KI-Verordnung der EU setzt einen strengen Rahmen für den Einsatz von KI und fordert Unternehmen heraus, ihre Systeme und Prozesse anzupassen. Obwohl dies mit erheblichen Anstrengungen verbunden ist, bietet die Verordnung auch die Chance, Vertrauen in KI-Technologien zu stärken und somit deren Akzeptanz und Anwendung in der breiten Bevölkerung zu fördern.