Gesetz über Künstliche Intelligenz : AI Act: KI-Anwendungen im EU-Recht
Mit 1. August trat der AI Act, das Gesetz über Künstliche Intelligenz der EU, in Kraft. Der erste Rechtsrahmen der Europäischen Union für KI-Anwendungen tritt nun schrittweise in Kraft. Diese müssen damit nicht nur effizient, sondern auch sicher, transparent, ethisch korrekt und grund- rechtskonform gestaltet sein. Bußgelder betragen je nach Verstoß bis zu 35 Millionen Euro bzw. sieben Prozent des weltweiten Jahresumsatzes.
Lesetipp: Die beeindruckendsten industriellen KI-Anwendungen der Zukunft
Das Risikopotenzial wird anhand von vier Risikofeldern qualifiziert:
- inakzeptables Risiko: betrifft KI-Systeme, die eine Bedrohung für Sicherheit, Lebensgrundlage und Menschenrechte darstellen
- hohes Risiko: betrifft KI-Systeme in sensiblen Lebensbereichen (kritische Infrastruktur, Bildungs- und Berufswesen, Strafverfolgung, private und öffentliche Dienstleistung) – der bedeutendste Anwendungsbereich des AI Act
- begrenztes Risiko: umfasst KI-Systeme wie Chatbots
- minimales Risiko: zum Beispiel Spamfilter oder Videogames – freie Nutzung von KI-Systemen
Vom AI-Act sind unterschiedliche Akteure umfasst: Anbieter (A), Betreiber (B), Importeure und Händler (C), Produkthersteller (D), Bevollmächtigte von Anbietern (E) sowie betroffene Personen (F). Der Sitz in einem Drittstaat entbindet A, B und E nicht von Verpflichtungen, wenn das KI-System für die EU bestimmt ist oder in der EU verwendet wird.
AI Act: allgemeine Fragen
- Wurde das von Ihnen vertriebene KI-Modell für den alleinigen Zweck wissenschaftlicher Forschung und Entwicklung in Betrieb genommen (A, B, D)?
Anmerkung: In diesem Fall unterliegt es nicht dem AI Act. - Führen Sie Forschungs-, Test- und Entwicklungstätigkeiten zu KI-Modellen durch (A, D)?
Anmerkung: So weit diese nicht in Verkehr gebracht bzw. in Betrieb genommen wurden, unterliegen sie nicht dem AI Act. - Verwenden Sie ein KI-System ausschließlich für die persönliche und nicht-berufliche Tätigkeit?
Anmerkung: Der AI Act kommt nicht zur Anwendung. - Werden KI-Systeme unter freien und quelloffenen Lizenzen bereitgestellt (A, B, C, D)?
Anmerkung: Der AI Act kommt nicht zur Anwendung. - Ist die Schulung von Mitarbeitenden und Personen, die mit Betrieb und Nutzung von KI-Systemen befasst sind, gesichert (A, B)?
Anmerkung: Der AI Act erfordert für betreffende Personen ein ausreichendes Maß an KI-Kompetenz.
-
Der Ai Act verfolgt einen risikobasierten Ansatz, die Bußgelder bei Nichtbeachtung sind hoch.
Hans-Jürgen Pollirer, Secur-Data-Gründer und Datenschutzexperte
Hochrisiko-Systeme
- Verwenden Sie – wie in Artikel 9, Absatz 1 gefordert – ein Risikomanagementsystem, das dokumentiert und aufrecht erhalten wird (A, B, D, E)?
- Artikel 10 normiert Daten-Governance- und Datenverwaltungsverfahren. Entsprechen Ihre Trainings-, Validierungs- und Testdatensätze diesen Vorgaben (A, B, D)?
- Liegt eine technische Dokumentation gemäß Artikel 11, AI Act vor (A, B, D)?
- Ist die automatische Protokollierung von Ereignissen während des gesamten Lebenszyklus des KI-Systems – wie in Artikel 12, Absatz 1 gefordert – technisch möglich (A, B, D)?
- Liegt für das System eine Gebrauchsanweisung in einem geeigneten digitalen Format vor – wie in Artikel 13 vorgegeben (A, D)?
- Kann das KI-System entsprechend den Vorgaben in Artikel 14 von natürlichen Personen wirksam beaufsichtigt werden (A, B, D)?
- Erreicht das Hochrisiko-KI-System das in Artikel 15 vorgeschriebene Maß an Genauigkeit, Robustheit und Cybersicherheit (A, B, D)?
- Erfüllen Anbieter (A) und Betreiber (B) die in Artikel 16 normierten Pflichten (Angabe der Kontaktdaten, Qualitätsmanagementsystem, Konformitätsbewertungsverfahren, EU-Konformitätserklärung, CE-Kennzeichnung, Registrierungspflichten, Barrierefreiheit ...)?
- Wurde seitens des Anbieters ein Qualitätsmanagementsystem gemäß Artikel 17 implementiert (A, B)?
- Kann der Anbieter (A) der Behörde auf begründete Nachfrage alle Informationen zur Verfügung stellen, um die Konformität des Systems nachzuweisen (gemäß Artikel 21)?
- Wurde von einem Anbieter in einem Drittstaat entsprechend Artikel 22 ein in der EU niedergelassener Bevollmächtigter ernannt (A, E)?
- Beachten Sie als Importeur (C) die Pflichten gemäß AI Act (Konformitätsbewertungsverfahren, technische Dokumentation, CE-Kennzeichnung, EU-Konformitätserklärung, Gebrauchsanweisungen)?
- Beachten Sie als Händler (C) die Pflichten gemäß AI Act (CE-Kennzeichnung, EU-Konformitätserklärung, Gebrauchsanweisungen)?
- Beachten Sie als Betreiber (B) die Pflichten gemäß AI Act?
Anmerkung: Mittels technischer und organisatorischer Maßnahmen ist sicherzustellen, dass das KI-System entsprechend der Gebrauchsanweisung verwendet wird. Beaufsichtigende Mitarbeitende müssen über erforderliche Kompetenz, Ausbildung und Befugnis verfügen. Eingabedaten haben der Zweckbestimmung zu entsprechen. Der Betrieb ist zu überwachen.
Systeme mit begrenztem Risiko
Erfüllen KI-Systeme, die für die direkte Interaktion mit natürlichen Personen bestimmt sind, die Transparenzpflichten gemäß Artikel 50 (A, B, D)?
Lesetipp
Beim vorliegenden Beitrag handelt es sich um einen stark gekürzten Auszug des Fachartikels „Checkliste AI Act“ von Hans-Jürgen Pollirer. In voller Länge nachzulesen ist dieser in Ausgabe 3/2024 der Manz-Zeitschrift „Datenschutz konkret“ (Dako).