Am 12. Juli wurde die Verordnung (EU) 2024/1689, besser bekannt als AI Act, im Amtsblatt veröffentlicht. Sie schafft neue Pflichten – nicht nur für die Hersteller von KI-Systemen.
Innovationen sollen gefördert werden
Künstliche Intelligenz soll nicht nur reguliert, sondern auch gefördert werden. Dazu werden die Mitgliedstaaten verpflichtet, Reallabore einzurichten, die spätestens bis 2. August 2026 betriebsbereit sein müssen (Artikel 57). So können in einer kontrollierten Umgebung Tests und Entwicklungen unter Realbedingungen durchgeführt werden. Die zuständigen Behörden unterstützen die Nutzenden umfassend, insbesondere im Hinblick auf Grundrechte, Gesundheit und Sicherheit, Tests und Risikominderungsmaßnahmen sowie deren Wirksamkeit. Die Mitgliedstaaten gewähren KMU und Start-ups, die ihren Sitz oder eine Zweigniederlassung in der EU haben, vorrangigen Zugang zu den Reallaboren. Unterstützt werden die Mitgliedstaaten hierbei – wie auch bei anderen Aufgaben – durch das ebenfalls durch den AI Act eingeführte Büro für Künstliche Intelligenz der EU (Artikel 64).
Zeitlich abgestuftes Inkrafttreten
Der AI Act tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU in Kraft, also am 2. August 2024. Die vollständige Anwendbarkeit der Verordnung erfolgt jedoch gestaffelt (Artikel 113):
- Februar 2025: Verbot von KI-Systemen mit inakzeptablem Risiko (Artikel 1 bis 5);
- August 2025: insbesondere Sanktionen (Artikel 99 ff.) und Verhaltenskodizes und Regeln für KI mit allgemeinem Verwendungszweck (Artikel 51 ff);
- August 2026: Allgemeine Anwendbarkeit der meisten Vorschriften bis auf Artikel 6 Abs. 1 und die entsprechenden Pflichten;
- August 2027: Verpflichtungen für Hochrisiko-KI-Systeme (Artikel 6 Abs. 1).
Nicht jede KI wird reguliert
Der AI Act verfolgt einen risikobasierten Ansatz. Er teilt KI-Systeme in Risiko-Kategorien ein:
- Inakzeptables Risiko
- Hochrisiko KI-Systeme (Artikel 6 ff.)
- Begrenztes Risiko (Artikel 50 ff.)
Inakzeptables Risiko
Diese Kategorie bezeichnet der AI Act als „verbotene Praktiken“ (Artikel 5). Hier liegt der Fokus auf dem Einsatz der KI, aber auch das Inverkehrbringen und die Inbetriebnahme solcher Systeme sind in der EU verboten. Dies betrifft zum Beispiel sogenannte Social Scoring Systeme, die das Verhalten von Bürgerinnen und Bürgern aufzeichnen, bewerten und klassifizieren. Auch andere Arten der Beeinflussung und Manipulation des Verhaltens einer Person oder Personengruppe sind verboten, wenn sie geeignet sind, diesen Personen oder Gruppen Schaden zuzufügen.
Hochrisiko KI-Systeme (Artikel 6 ff.)
Diese Systeme sind in Anhang III der Verordnung aufgezählt. Sie fallen allerdings nur dann in diese Kategorie, wenn sie ein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen bergen. Hochrisiko KI wird sehr streng reguliert. So muss ein Risikomanagementsystem eingerichtet, angewandt, dokumentiert und aufrechterhalten werden. Das System muss registriert werden, es muss eine technische Dokumentation erstellt werden, seine Aktionen müssen aufgezeichnet werden und es muss einer menschlichen Steuerung zugänglich sein. Hochrisiko KI-Systeme müssen zudem eine Konformitätsbewertung durchlaufen und mit einer CE-Kennzeichnung versehen werden.
Begrenztes Risiko (Artikel 50 ff.)
Hier stehen die Transparenzpflichten im Vordergrund (siehe insbesondere Artikel 50). So müssen Chatbots als solche erkennbar sein, entsprechendes gilt für KI-generierte Audio-, Bild-, Video- oder Textinhalte. Weitere Pflichten betreffen insbesondere die Anbieter von KI (Artikel 53 ff.): technische Dokumentation, eine Strategie zur Einhaltung von Urheberrechten und eine Dokumentation der für das Training der KI-Modelle verwandten Daten sind obligatorisch.
Alle anderen KI-Systeme sind – abgesehen von den Transparenzpflichten (siehe oben) – nicht spezifisch reguliert.
Neue Pflichten – nicht nur für OpenAI & Co
Hochrisiko-KI-Systeme schaffen nicht nur Pflichten für Anbieter, sondern auch für Bevollmächtigte der Anbieter (Artikel 22), Einführer (Artikel 23), Händler (Artikel 24) und Betreiber (Artikel 26). Bei Einfuhr und Inverkehrbringen muss insbesondere darauf geachtet werden, dass für die Systeme CE-Kennzeichnung und Konformitätsbewertung vorliegen; Betreiber müssen geeignete technische und organisatorische Maßnahmen treffen, um sicherzustellen, dass sie solche Systeme entsprechend der den Systemen beigefügten Betriebsanleitungen verwenden. Außerdem übertragen sie die Aufsicht über die Systeme ausschließlich natürlichen Personen, die über die erforderliche Kompetenz, Ausbildung und Befugnis verfügen. Gemäß Artikel 25 treffen Händler, Einführer, Betreiber oder sonstige Dritte als Anbieter eines Hochrisiko-KI-Systems sogar die kompletten Anbieterpflichten aus Artikel 16 der Verordnung, nämlich dann, wenn sie ein System mit ihrem Namen oder ihrer Handelsmarke versehen oder eine wesentliche Veränderung vornehmen, insbesondere, wenn diese Veränderung dazu führt, dass das System als Hochrisiko-System einzustufen ist.
Quelle: GTAI