Artificial Intelligence Act

Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz  (Gesetz über Künstliche Intelligenz)

Den aktuellen Entwurf des Artificial Intelligence Acts COM2021/206 final, auf den die nachfolgende Zusammenfassung basiert, finden Sie hier.

Was ist der neue Artificial Intelligence Act der EU? Was davon ist relevant für Unternehmen?

Mit dem Artificial Intelligence Act (AIA) hat die EU-Kommission im Rahmen der EU-Digitalstrategie ein Gesetz über Künstliche Intelligenz veröffentlicht. Der Entwurf enthält in dieser Form konkrete Vorschläge zur Regelung im Umgang mit Künstlicher Intelligenz (KI) in der Forschung und Wirtschaft.

Was der Artificial Intelligence Act (AIA) für Unternehmen bedeutet, wer davon betroffen ist und wie diese Regulierungen nach dem aktuellen Entwurf aussehen, lesen Sie hier.

Wer ist vom AI Act betroffen?

Wer vom AIA betroffen ist, wird in Artikel 2 des Entwurfs festgelegt. Danach gelten die Regularien für:

  • Anbieter, die KI-Systeme in der Union in Verkehr bringen oder in Betrieb nehmen. Gemeint sind damit alle juristischen Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System entwickeln oder entwickeln lassen
  • Nutzer von KI-Systemen, die sich in der Union befinden. Das umfasst auch natürliche, und somit Privatpersonen

Auch wenn die genannten Akteure in einem Drittland niedergelassen oder ansässig sind, finden die Regularien Anwendung, sobald die KI in der Union eingesetzt wird. Damit hält der Gesetzgeber an dem aus der DSGVO bekannten Marktortprinzip fest.

Was fällt unter den Begriff der Künstlichen Intelligenz?

Der Gesetzgeber fasst den Begriff der Künstlichen Intelligenz relativ weit, indem auf die in Anhang I des Entwurfs genannte Techniken verwiesen wird.
Wenn eine Software

  • Konzepte des maschinellen Lernens oder tiefen Lernen (Deep Learning),
  • Logik- und wissensgestützte Konzepte, einschließlich Wissensrepräsentation, induktiver (logischer) Programmierung, Inferenz- und Deduktionsmaschinen, Schlussfolgerungs- und Expertensysteme oder
  • Statistische Ansätze, Bayessche Schätz-, Such- und Optimierungsmethoden

nutzt, und sie zudem

  • Ziele, die vom Menschen festgelegt werden, verfolgt,
  • Ergebnisse oder Inhalte vorhersagt, empfiehlt oder entscheidet und
  • das Umfeld, mit dem sie interagiert, beeinflusst,

spricht der Gesetzgeber von Künstlicher Intelligenz, womit einige IT-Unternehmen in den Anwendungsbereich der Verordnung fallen dürften.

Einordnung in Risikogruppen

Der Artificial Intelligence Act folgt dem Ansatz des bestehenden Weissbuchs zur Künstlichen Intelligenz der EU-Kommission, in dem die Anwendungen der KI in vier Kategorien eingeteilt werden. Die Einordnung richtet sich nach dem potenziellen Risiko, das mit dem Einsatzbereich der Künstlichen Intelligenz einhergeht.

Die Risikogruppen sind eingeteilt in:

  • Ein unannehmbares Risiko
  • Ein hohes Risiko und (Hochrisiko-KI-Systeme)
  • ein geringes oder minimales Risiko

Je höher das Risiko, desto strenger die Regulierungen, die nachfolgend aufgelistet werden.

Verbot gewisser KI-Anwendungen

Nach Art. 5 Nr. 1 sind KI-Anwendungen der unannehmbarem Risikogruppe untersagt. Hierzu zählen Anwendungen, die:

  • menschliches Verhalten manipulieren und Menschen schaden könnten
  • aufgrund von sozialem Verhalten oder persönlicher Charakteristik eine nachteilige Bewertung ermöglicht. Beispiel: System nach Sozialkredit in China, wonach der Freiraum einer Person auf den sozialen Status beschränkt wird.
  • in Echtzeit ferne Systeme in der Öffentlichkeit erkennen und eine biometrische Identifizierung von Menschen ermöglichen. Ausnahmen bestehen zur Abwehr von Terrorismus oder um schwere Straftaten aufzuklären.

Anforderungen an Hochrisiko-KI-Systeme

Wenn ein System als Hochrisiko-KI-System eingestuft wird, finden die Art. 8 ff. des Entwurfs Anwendung. Konkrete Pflichten für die Betroffenen Akteure sind:

  • Die Einrichtung, Dokumentation und Aufrechthaltung eines Risikomanagementsystems
  • Das Einhalten von Daten-Governance- und Datenverwaltungsverfahren für die zu verwendenden Trainings-, Validierungs- und Testdatensätze, darunter relevante Datenaufbereitungsvorgänge wie Kommentierung, Kennzeichnung, Bereinigung, Anreicherung und Aggregierung und eine vorherige Bewertung der Verfügbarkeit, Menge und Eignung der benötigten Datensätze
  • Das Führen einer technischen Dokumentation
  • Die Aufsichtsführung durch menschliches Personal
  • Eine Aufzeichnungspflicht über die Vorgänge und Ereignisse, sodass diese automatisch während des gesamten Lebenszyklusses der KI aufgezeichnet werden und
  • Transparente Informationen für die Nutzer, darunter die Merkmale, Fähigkeiten und Leistungsgrenzen des Hochrisiko-KI-Systems

Was ist mit KI-Systemen, die ein geringes oder minimales Risiko bergen?

KI-Systeme, die nach Ansicht der Gesetzgeber ein geringeres Manipulationsrisiko aufweisen, fallen unter den Art. 52 des Entwurfs. Das umfasst Systeme, die

  • mit Menschen interagieren
  • zur Erkennung von Emotionen oder zur Assoziierung (gesellschaftlicher) Kategorien anhand biometrischer Daten eingesetzt werden oder
  • Inhalte erzeugen oder manipulieren.

Darunter fallen Spamfilter, Videospiele, Suchalgorithmen, Deep Fakes oder Chatbots.

Für sie gilt nur eine minimale Transparenz- und Informationspflicht über den Einsatz selbst oder darüber, dass die dargestellten Inhalte manipuliert und nicht echt sind.

Hierbei kann kritisiert werden, dass der aktuelle Entwurf das Gefahrenpotenzial solcher Arten Künstlicher Intelligenz unterschätzt.

Fazit

Wie andere Gesetzgebungen der EU-Digitalstrategie auch verfolgt der Gesetzgeber mit dem Artifical Intelligence Act einen wichtigen Ansatz zur Regulierung von IT, die einen immer größeren Stellwert einnimmt. Die EU macht mit dem Entwurf deutlich, dass sie sich der Gefahr, dass KI-Anwendungen beispielsweise zur Beeinflussung und Überwachung von Menschen missbräuchlich eingesetzt werden können, bewusst ist.

Im Vergleich zu anderen Entwürfen im Rahmen der Strategie weist er eine sinnvolle Strukturierung auf und bietet eine geeignete Grundlage für weitere Präzisierungen. Die bisher angegebenen Pflichten, an die Anbieter und Nutzer von KI, sind keinesfalls unbedeutsam. Da der Begriff der KI relativ weit gefasst wird, sollten sich IT-Unternehmen und Entwickler, frühzeitig Gedanken über die Umsetzung der bevorstehenden Regulierungen machen und die Entwicklungen der Gesetzgebung im Auge behalten.

Bei Fragen oder ersten Umsetzungsempfehlungen stehen wir Ihnen gerne zur Seite.

– ink solutions