Es gibt kaum ein Unternehmen oder eine Institution, die KI nicht anwendet, wenn man bedenkt, dass Spam-Filter, Virenschutz und automatisierten Sprachübersetzungen auf KI-Technologien basieren. Während KI-Anwendungen unternehmensinterne Prozesse verschlanken und damit Kosten gespart werden können, gehen auch Gefahren damit einher, welche der europäische Gesetzgeber einheitlich adressieren will. Der vorliegende Blog-Beitrag gibt einen Überblick über den Regelungsgehalt der KI-Verordnung und formuliert konkrete Handlungsempfehlungen, damit Unternehmen die kommenden KI-Regularien reibungslos umsetzen können.
Was wird Regelungsinhalt der KI-Verordnung?
Einer der wichtigsten Aspekte der andauernden Diskussionen war in Anbetracht der strengen Regulierung die Festlegung einer gemeinsamen Definition des Begriffs „künstliche Intelligenz“. Diese ist aktuell recht weitgehend:
KI-System ist eine Software, die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren (vgl. Art. 3 Nr. 1 KI-Verordnung).
Kurzum, nach der aktuellen Definition ist ein „System mit künstlicher Intelligenz“ ein maschinelles System, das mit unterschiedlichem Grad an Autonomie arbeitet und Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen hervorbringt, die die physische oder virtuelle Umgebung beeinflussen können.
Wie auch die 2018 in Kraft getretene Datenschutzgrundverordnung („DSGVO“) wird sich die KI-Verordnung am sog. risikobasierten Ansatz orientieren, der sich aus den nachfolgend aufgelisteten OECD-Grundsätzen ableiten lässt:
- Inklusives Wachstum, nachhaltige Entwicklung und Lebensqualität
- Menschenzentrierte Werte und Fairness
- Transparenz und Erklärbarkeit
- Robustheit und Sicherheit
- Rechenschaftspflicht
Demnach gilt es die einzelnen KI-Anwendungen nach potentiellem Risiko zu klassifizieren, um sodann die je nach Risikoklasse geltenden Vorgaben zu erfüllen. Dabei unterscheidet die KI-Verordnung nach vier verschiedenen Kategorien:
1. Verbotene KI-Systemen
Hierbei handelt es sich um KI-Systeme mit inakzeptablem Risiko, d.h. solche, die als Bedrohung für Menschen gelten.
Sie umfassen:
- Kognitive Verhaltensmanipulation von Menschen oder bestimmten gefährdeten Gruppen:
zum Beispiel sprachgesteuertes Spielzeug, das gefährliches Verhalten bei Kindern fördert
- Soziales Scoring: Klassifizierung von Menschen aufgrund von Verhalten, sozioökonomischem Status oder
persönlichen Merkmalen
- Biometrische Identifikationssysteme in Echtzeit und aus der Ferne, z. B. Gesichtserkennung
2. KI-Systeme mit hohem Risiko
Dies sind KI-Systeme, die sich negativ auf die Sicherheit oder die Grundrechte auswirken. Sie werden grundsätzlich in zwei Kategorien eingestuft:
a) KI-Systeme, die in Produkten verwendet werden, die unter die Produktsicherheitsvorschriften der EU fallen, z.B.
- Medizinische Geräte
- Luftfahrtrelevante Systeme
- Spielzeuge
b) KI-Systeme, die in acht spezifische Bereiche fallen, die in einer EU-Datenbank registriert werden müssen:
- Biometrische Identifizierung und Kategorisierung von natürlichen Personen
- Verwaltung und Betrieb von kritischen Infrastrukturen
- Allgemeine und berufliche Bildung
- Beschäftigung, Arbeitnehmermanagement und Zugang zur Selbstständigkeit
- Zugang zu und Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten und Leistungen
- Rechtsdurchsetzung
- Verwaltung von Migration, Asyl und Grenzkontrollen
- Unterstützung bei der Rechtsauslegung und Rechtsanwendung.
3. KI-Systeme mit geringem Risiko
Solche Systeme sollen nur minimalen Transparenzanforderungen unterfallen. Dadurch soll der Nutzer in die Lage versetzt werden, eine fundierte Entscheidung über die Verarbeitung zu treffen, ob er die Interaktion mit dem KI-System wünscht. Dazu gehören beispielsweise KI-Systeme, die Bild-, Audio- oder Videoinhalte erzeugen oder manipulieren, beispielsweise Deepfakes.
Verpflichtungen für KI-Systeme für allgemeine Verwendung
Eine wichtige Verpflichtung trifft Anbieter von sog. Basismodellen. Das sind Systeme, die in der Lage sind, die Fähigkeiten und Kenntnisse, die sie während eines Trainingsprozesses erlernt haben, auf einen anderen Bereich zu übertragen. Bevor diese Anbieter ihre KI auf den EU-Markt bringen, müssen die damit verbundenen Risiken für die Gesundheit, Umwelt, Individualrechte von Menschen identifizieren und mitigieren.
Die mittlerweile weltweit bekannten generativen KI-Systeme, die auf solchen Basismodellen aufbauen, z.B. ChatGPT, sind daher verpflichtet, für Transparenz und Rechtmäßigkeit zu sorgen. Beispielsweise müssen KI-generierte Inhalte als solche gekennzeichnet werden. Daneben ist anzugeben, welche urheberrechtlich geschützten Werke zu Trainingszwecken genutzt wurden.
Wann wird die KI-Verordnung in Kraft treten?
Im Juni 2023 hat das EU-Parlament über den Entwurf der KI-Verordnung abgestimmt und diesen mit Mehrheit angenommen. Nunmehr wird die Verordnung im Rahmen sog. Trilog-Verhandlungen zwischen der Kommission, dem Rat und dem EU-Parlament verhandelt. Nachdem sich diese drei Parteien auf eine finale Fassung geeinigt haben, erhalten Anbieter von KI zwei Jahre Zeit, die Vorgaben der finalen KI-Verordnung umzusetzen.
Jetzt steht schon fest, dass Anbieter von KI prüfen sollten, wie sie die Vorgaben der KI-Verordnung erfüllen können, damit sie von Anfang an ein rechtssicheres Produkt entwickeln.
Handlungsempfehlungen:
- Prüfen Sie, wo in Ihrer Organisation KI eingesetzt wird, und erstellen Sie eine Übersicht mit den KI-Anwendungen und ihrem Einsatzgebiet bzw. ergänzen Sie eine vorhandene Softwareübersicht um dieses Merkmal.
- Halten Sie fest, ob es eine Dokumentation zu dieser KI gibt. Zum Beispiel könnte bereits eine Datenschutzfolgeabschätzung existieren, welche sich mit der Verarbeitung personenbezogener Daten befasst und auf KI eingeht. In vielen Fällen kann man hieraus bereits wertvolle Informationen für die Dokumentation nach der KI-Verordnung gewinnen.
- Ordnen Sie die eingesetzten KI-Anwendungen nach dem risikobasierten Ansatz des gegenwärtigen Entwurfs einer Risikostufe zu.
- Sofern eine mit hohen Risiken verbundene oder sogar verbotene KI vorliegen würde, sollten Sie mit Personen aus der IT-Abteilung, Rechtsabteilung sowie weiteren zuständigen Personen besprechen, inwieweit die KI-Anwendung angepasst werden kann oder welche weiteren risikominimierende Maßnahmen ergriffen werden können.
- Prüfen Sie, ob die bisher eingesetzten KI-Anwendungen im Haftungsfall von ihrem Versicherungsschutz abgedeckt sind. Vor allem im Hinblick auf die in dem Entwurf zur KI-Haftungsrichtlinie angedachte Vermutung zur haftungsbegründenden Kausalität, welche Geschädigten die Durchsetzung von Schadensersatzansprüchen erleichtern soll, könnte sich das Haftungsrisiko für Unternehmen erheblich erhöhen. Eine entsprechende Versicherung, welche die finanziellen Unabwägbarkeiten abdeckt, welche mit KI-Anwendungen einhergehen, sollte im unternehmerischen Interesse abgeschlossen werden.
