Fachbücher zu Daten­schutz und IT-Sicher­heit finden Sie hier.
  1. Home
  2. News
  3. Überblick KI-Verordnung Teil 2
  • Datenschutz

Überblick KI-Verordnung Teil 2

B) Risikobasierter Ansatz der KI-Verordnung

Die KI-VO verfolgt, wie im Überblick KI-Verordnung Teil 1 bereits beschrieben, einen risikobasierten Ansatz. Dies bedeutet, dass der Grad der Regulierung von der Schwere der Risiken, die von den KI-Anwendungen ausgehen, abhängt. Um einschätzen zu können, welche Anforderungen zu erfüllen sind, muss eine betroffene Organisation zunächst prüfen, welche Art von KI-System vorliegt. Generell werden KI-Systeme in vier Kategorien unterteilt:

  • Nach Art. 5 I KI-VO in KI-Systeme für verbotene Praktiken
  • Nach Art. 6 KI-VO in Hochrisiko-Systeme
  • Nach Art. 50 KI-VO in KI-Systeme mit beschränktem Risiko
  • Nach Art. 95 KI-VO in KI-Systeme mit geringem Risiko

Zusätzliche Voraussetzungen werden für Systeme mit allgemeinem Verwendungszweck gefordert. Dazu später mehr. Um einschätzen zu können, welche Anforderungen zu erfüllen sind, muss eine betroffene Organisation zunächst prüfen, welche Art von KI-System vorliegt.

a) Verbotene Praktiken

Verbotene Praktiken werden in Art. 5 KI-VO aufgezählt. Es wird davon ausgegangen, dass die von diesen Systemen ausgehende Gefahr für die Betroffenen zu gravierend ist, um eine Nutzung zu genehmigen. So ist z.B. das Inverkehrbringen, die Inbetriebnahme sowie die Verwendung von KI zur unterschwelligen Beeinflussung außerhalb des Bewusstseins eines Menschen verboten, wenn diese Beeinflussung wesentlich ist und darauf abzielt, dieser oder einer anderen Person physischen oder psychischen Schaden zuzufügen.

b) Hochrisikosysteme

Die Regelung von KI-Hochrisikosystemen stellt einen Großteil der KI-Verordnung dar. Eine genaue Definition für Hochrisikosysteme hat der europäische Gesetzgeber nicht in das Gesetz eingefügt. Er setzt vielmehr darauf, hier möglichst anpassungsfähig zu bleiben und keine zu engen Grenzen zu setzen. Anknüpfungspunkte sind daher auf Art. 6 KI-VO und Art. 7 KI-VO verteilt. Gemäß Art. 6 I KI-VO liegt ein Hochrisikosystem vor, wenn es als Sicherheitskomponente für ein Produkt verwendet wird oder selbst ein Produkt ist, das bestimmten EU-Regulierungen unterliegt. In Art. 7 I KI-VO wird die EU-Kommission dazu ermächtigt, einen Katalog von Lebenssachverhalten bzw. Anwendungen zu erstellen, die unter diese Definition fallen. Weitere Anwendungsfälle können von der EU-Kommission zukünftig hinzugefügt werden. So wurden z.B. als Hochrisikosysteme KI-Systeme bestimmt, die für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere zur Schaltung gezielter Stellenanzeigen, zur Analyse und Filterung von Bewerbungen und zur Bewertung von Bewerbern.

Anforderungen an Hochrisikosysteme

In den Art. 8 ff. KI-VO werden die Compliance-Voraussetzungen für Hochrisiko-KI-Systeme definiert. Zentrale Vorschrift dürfte hier der Art. 9 KI-VO sein, die zur Einrichtung eines Risikomanagementsystems verpflichtet, das den gesamten Lebenszyklus der KI umfasst. Die Risikoanalyse soll hierbei die Gefahren im Hinblick auf Gesundheit, Sicherheit und Grundrechte berücksichtigen, die das KI-System bei einer zweckgemäßen Verwendung mit sich bringt.

c) KI-Systeme mit beschränktem Risiko

Sowohl für Betreiber als auch Anbieter von KI-Systemen mit beschränktem Risiko statuiert Art. 50 KI-VO Informationspflichten. Der Nutzer muss darüber aufgeklärt werden, dass er mit einer KI interagiert, um sich darauf vorbereiten zu können. So müssen KI-Systeme nach Art. 50 I KI-VO derart gestaltet werden, dass eine normale Person eindeutig erkennt, dass sie mit einer KI interagiert.

d) KI-Systeme mit minimalem Risiko

Für KI-Systeme, die weder unter Art. 50 KI-VO fallen noch ein Hochrisikosystem darstellen, kann gemäß Art. 95 KI-VO freiwillig ein Verhaltenskodex befolgt werden. Dies soll nach Aussage des Gesetzgebers dazu dienen, das gesellschaftliche Vertrauen in KI-Anwendungen zu stärken.

e) Sonderbestimmungen für KI-Systeme mit allgemeinem Verwendungszweck

Für KI-Systeme mit allgemeinem Verwendungszweck gelten gemäß Art. 51 ff. KI-VO zusätzliche Pflichten, die neben den Anforderungen der jeweiligen Stufe erfüllt werden müssen.

Es ist zu beachten, dass diese zusätzlichen Pflichten ausschließlich für Anbieter von sogenannten GPAI (General Purpose Artificial Intelligence) gelten. Betreiber solcher Systeme sind von diesen zusätzlichen Pflichten nicht betroffen.

Ein GPAI-Modell ist ein KI-Modell, das, selbst wenn es mit großen Datenmengen unter Verwendung von Selbstüberwachung in großem Maßstab trainiert wurde, eine erhebliche Allgemeinheit aufweist und in der Lage ist, eine breite Palette unterschiedlicher Aufgaben kompetent zu erfüllen. Dies gilt unabhängig davon, wie das Modell auf den Markt gebracht wird. Es kann in eine Vielzahl von nachgelagerten Systemen oder Anwendungen integriert werden, mit Ausnahme von KI-Modellen, die für Forschungs-, Entwicklungs- oder Prototyping-Zwecke verwendet werden, bevor sie auf den Markt gebracht werden.

Ein bekanntes Beispiel für ein GPAI-Modell ist derzeit ChatGPT.

Unternehmen, die beabsichtigen, KI-Systeme einzusetzen oder bereits einsetzen, müssen daher eine Reihe von Aspekten berücksichtigen. Es wird dringend empfohlen, sich durch die Einrichtung einer KI-Compliance sich entsprechend vorzubereiten.

Back
© 2011–2024 GINDAT GmbH

About Cookies

This website uses cookies. Those have two functions: On the one hand they are providing basic functionality for this website. On the other hand they allow us to improve our content for you by saving and analyzing anonymized user data. You can redraw your consent to to using these cookies at any time. Find more information regarding cookies on our Data Protection Declaration and regarding us on the Imprint.
Mandatory

These cookies are needed for a smooth operation of our website.

Name Purpose Lifetime Type Provider
CookieConsent Saves your consent to using cookies. 1 year HTML Website
fe_typo_user Assigns your browser to a session on the server. session HTTP Website
PHPSESSID Temporary cookies which is required by PHP to temporarily store data. session HTTP Website
__cfduid missing translation: trackingobject.__cfduid.desc 30 missing translation: duration.days-session HTTP Cloudflare/ report-uri.com
Statistics

With the help of these statistics cookies we check how visitors interact with our website. The information is collected anonymously.

Name Purpose Lifetime Type Provider
_pk_id Used to store a few details about the user such as the unique visitor ID. 13 months HTML Matomo
_pk_ref Used to store the attribution information, the referrer initially used to visit the website. 6 months HTML Matomo
_pk_ses Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
_pk_cvar Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
MATOMO_SESSID Temporary cookies which is set when the Matomo Out-out is used. session HTTP Matomo
_pk_testcookie missing translation: trackingobject._pk_testcookie.desc session HTML Matomo