B) Risikobasierter Ansatz der KI-Verordnung
Die KI-VO verfolgt, wie im Überblick KI-Verordnung Teil 1 bereits beschrieben, einen risikobasierten Ansatz. Dies bedeutet, dass der Grad der Regulierung von der Schwere der Risiken, die von den KI-Anwendungen ausgehen, abhängt. Um einschätzen zu können, welche Anforderungen zu erfüllen sind, muss eine betroffene Organisation zunächst prüfen, welche Art von KI-System vorliegt. Generell werden KI-Systeme in vier Kategorien unterteilt:
- Nach Art. 5 I KI-VO in KI-Systeme für verbotene Praktiken
- Nach Art. 6 KI-VO in Hochrisiko-Systeme
- Nach Art. 50 KI-VO in KI-Systeme mit beschränktem Risiko
- Nach Art. 95 KI-VO in KI-Systeme mit geringem Risiko
Zusätzliche Voraussetzungen werden für Systeme mit allgemeinem Verwendungszweck gefordert. Dazu später mehr. Um einschätzen zu können, welche Anforderungen zu erfüllen sind, muss eine betroffene Organisation zunächst prüfen, welche Art von KI-System vorliegt.
a) Verbotene Praktiken
Verbotene Praktiken werden in Art. 5 KI-VO aufgezählt. Es wird davon ausgegangen, dass die von diesen Systemen ausgehende Gefahr für die Betroffenen zu gravierend ist, um eine Nutzung zu genehmigen. So ist z.B. das Inverkehrbringen, die Inbetriebnahme sowie die Verwendung von KI zur unterschwelligen Beeinflussung außerhalb des Bewusstseins eines Menschen verboten, wenn diese Beeinflussung wesentlich ist und darauf abzielt, dieser oder einer anderen Person physischen oder psychischen Schaden zuzufügen.
b) Hochrisikosysteme
Die Regelung von KI-Hochrisikosystemen stellt einen Großteil der KI-Verordnung dar. Eine genaue Definition für Hochrisikosysteme hat der europäische Gesetzgeber nicht in das Gesetz eingefügt. Er setzt vielmehr darauf, hier möglichst anpassungsfähig zu bleiben und keine zu engen Grenzen zu setzen. Anknüpfungspunkte sind daher auf Art. 6 KI-VO und Art. 7 KI-VO verteilt. Gemäß Art. 6 I KI-VO liegt ein Hochrisikosystem vor, wenn es als Sicherheitskomponente für ein Produkt verwendet wird oder selbst ein Produkt ist, das bestimmten EU-Regulierungen unterliegt. In Art. 7 I KI-VO wird die EU-Kommission dazu ermächtigt, einen Katalog von Lebenssachverhalten bzw. Anwendungen zu erstellen, die unter diese Definition fallen. Weitere Anwendungsfälle können von der EU-Kommission zukünftig hinzugefügt werden. So wurden z.B. als Hochrisikosysteme KI-Systeme bestimmt, die für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere zur Schaltung gezielter Stellenanzeigen, zur Analyse und Filterung von Bewerbungen und zur Bewertung von Bewerbern.
Anforderungen an Hochrisikosysteme
In den Art. 8 ff. KI-VO werden die Compliance-Voraussetzungen für Hochrisiko-KI-Systeme definiert. Zentrale Vorschrift dürfte hier der Art. 9 KI-VO sein, die zur Einrichtung eines Risikomanagementsystems verpflichtet, das den gesamten Lebenszyklus der KI umfasst. Die Risikoanalyse soll hierbei die Gefahren im Hinblick auf Gesundheit, Sicherheit und Grundrechte berücksichtigen, die das KI-System bei einer zweckgemäßen Verwendung mit sich bringt.
c) KI-Systeme mit beschränktem Risiko
Sowohl für Betreiber als auch Anbieter von KI-Systemen mit beschränktem Risiko statuiert Art. 50 KI-VO Informationspflichten. Der Nutzer muss darüber aufgeklärt werden, dass er mit einer KI interagiert, um sich darauf vorbereiten zu können. So müssen KI-Systeme nach Art. 50 I KI-VO derart gestaltet werden, dass eine normale Person eindeutig erkennt, dass sie mit einer KI interagiert.
d) KI-Systeme mit minimalem Risiko
Für KI-Systeme, die weder unter Art. 50 KI-VO fallen noch ein Hochrisikosystem darstellen, kann gemäß Art. 95 KI-VO freiwillig ein Verhaltenskodex befolgt werden. Dies soll nach Aussage des Gesetzgebers dazu dienen, das gesellschaftliche Vertrauen in KI-Anwendungen zu stärken.
e) Sonderbestimmungen für KI-Systeme mit allgemeinem Verwendungszweck
Für KI-Systeme mit allgemeinem Verwendungszweck gelten gemäß Art. 51 ff. KI-VO zusätzliche Pflichten, die neben den Anforderungen der jeweiligen Stufe erfüllt werden müssen.
Es ist zu beachten, dass diese zusätzlichen Pflichten ausschließlich für Anbieter von sogenannten GPAI (General Purpose Artificial Intelligence) gelten. Betreiber solcher Systeme sind von diesen zusätzlichen Pflichten nicht betroffen.
Ein GPAI-Modell ist ein KI-Modell, das, selbst wenn es mit großen Datenmengen unter Verwendung von Selbstüberwachung in großem Maßstab trainiert wurde, eine erhebliche Allgemeinheit aufweist und in der Lage ist, eine breite Palette unterschiedlicher Aufgaben kompetent zu erfüllen. Dies gilt unabhängig davon, wie das Modell auf den Markt gebracht wird. Es kann in eine Vielzahl von nachgelagerten Systemen oder Anwendungen integriert werden, mit Ausnahme von KI-Modellen, die für Forschungs-, Entwicklungs- oder Prototyping-Zwecke verwendet werden, bevor sie auf den Markt gebracht werden.
Ein bekanntes Beispiel für ein GPAI-Modell ist derzeit ChatGPT.
Unternehmen, die beabsichtigen, KI-Systeme einzusetzen oder bereits einsetzen, müssen daher eine Reihe von Aspekten berücksichtigen. Es wird dringend empfohlen, sich durch die Einrichtung einer KI-Compliance sich entsprechend vorzubereiten.