The Future is Now: Welt­weit ers­ter Regu­lie­rungs­rah­men für KI

Als ers­tes Gesetz­ge­bungs­or­gan der Welt hat die Euro­päi­sche Kom­mis­si­on am 21. April 2021 ihren Ent­wurf einer Ver­ord­nung zur Regu­lie­rung von Künst­li­cher Intel­li­genz (KI-Verordnung) (PDF) vorgelegt.

Anwen­dungs­be­reich

Der Vor­schlag ver­folgt einen risi­ko­ba­sier­ten Ansatz und begrün­det Pflich­ten für Pro­vi­der, Nut­zer, Ein­füh­rer, Dis­tri­bu­to­ren und Ope­ra­to­ren von KI mit Sitz inner­halb und außer­halb der EU. Er betrifft das Bereit­stel­len auf dem Markt, die Inbe­trieb­nah­me und die Nut­zung von KI. Art. 3 defi­niert KI als Soft­ware, die mit einer oder meh­re­ren der in Anhang I (PDF) der Ver­ord­nung auf­ge­zähl­ten Tech­ni­ken zur Errei­chung eines vom Men­schen defi­nier­ten Ziels ent­wi­ckelt wur­de. Die Defi­ni­ti­on stellt klar, dass KI sowohl in einem Pro­dukt inte­griert sein als auch als Stand-alone-Software vor­lie­gen kann, jeden­falls aber der Auto­ma­ti­sie­rung von Vor­gän­gen dient. Auch das Wort “Auto­no­mie” fällt in der Definition.

Zu den in Anhang I genann­ten Tech­ni­ken zäh­len u.a. das maschi­nel­le Ler­nen (super­vi­sed; unsu­per­vi­sed; rein­force­ment lear­ning), logik- und wis­sens­ba­sier­te sowie sta­tis­ti­sche Ansätze.

Ver­bo­te­ne KI

In bestimm­ten Berei­chen bzw. für bestimm­te Zwe­cke ver­bie­tet Art. 5 den Ein­satz von KI. Ver­bo­ten sind dem­nach insbesondere

  • Unter­schwel­li­ge Tech­ni­ken zur Ver­hal­tens­steue­rung, die zu Schä­den füh­ren können
  • Aus­nut­zung von Schwach­stel­len auf­grund des Alters, einer Behin­de­rung etc.
  • Social Scoring
  • Echtzeit-Remote-Systeme zur bio­me­tri­schen Identifikation

Es wird deut­lich, dass der risi­ko­ba­sier­te Ansatz vor allem dann greift, wenn Aus­wir­kun­gen auf den Men­schen befürch­tet wer­den und hier­aus Gefah­ren für hohe Rechts­gü­ter her­vor­ge­hen (Leben, Gesund­heit, freie Wil­lens­bil­dung, etc.).

High-Risk-KI

Art. 6 defi­niert in Ver­bin­dung mit den Anhän­gen II und III KI mit einem hohen Risi­ko. Das ist der Fall, wenn die KI die Sicher­heits­kom­po­nen­te eines Pro­dukts dar­stellt oder selbst ein Pro­dukt des har­mo­ni­sier­ten Pro­dukt­be­reichs ist und ein Kon­for­mi­täts­be­wer­tungs­ver­fah­ren durch Drit­te ange­wen­det wer­den muss. Zudem wer­den bestimm­te Ein­satz­ge­bie­te mit einem hohen Risi­ko genannt, z.B.:

  • Kri­ti­sche Infrastruktur
  • Recruit­ment, Ver­tei­lung von Ausbildungsplätzen
  • Bewer­tung der Kreditwürdigkeit
  • Rechts­durch­set­zung und Strafverfolgung
  • Migra­ti­on, Asyl, Grenzkontrollen
  • Legal-Tech-Anwendungen von Sei­ten eines Gerichts

Anfor­de­run­gen an KI

Grund­sätz­lich muss der Ein­satz von KI gemäß Art. 52 für den Ver­brau­cher erkenn­bar sein, wenn sie mit einem Men­schen inter­agiert, also z.B. bei Chat­bots. Außer­dem müs­sen sog. Deep Fakes gekenn­zeich­net wer­den. Dabei han­delt es sich um Video‑, Bild‑, oder Audio­da­tei­en, die von einer KI so ver­fälscht wer­den, dass sie Inhal­te auf­wei­sen, die dort eigent­lich nicht hin­ge­hö­ren. Eine Aus­nah­me für die Kenn­zeich­nungs­pflicht gilt u.a. für die Meinungs‑, Kunst- und Wissenschaftsfreiheit.

Für High-Risk-KI gel­ten hin­ge­gen beson­de­re Anfor­de­run­gen. Kurz gefasst muss KI für die bestim­mungs­ge­mä­ße und die vor­her­seh­ba­re Ver­wen­dung über ihren gesam­ten Lebens­zy­klus sicher sein. Hier­zu stel­len die Artt. 8 ff. bestimm­te Regeln auf, u.a.:

  • Ver­wen­dung dis­kri­mi­nie­rungs­frei­er Trainingsdatensätze
  • (Tech­ni­sche) Dokumentation
  • Trans­pa­renz, d.h. nach­voll­zieh­ba­re Ergebnisse
  • Resi­li­enz, d.h. Inte­gri­tät und Sicher­heit von Daten gegen­über Hacking
  • Robust­heit, d.h. kei­ne Ver­än­der­bar­keit des Sys­tems durch Hacking
  • Über­wa­chung des Sys­tems durch den Menschen

Pro­vi­der­pflich­ten

Die Pflich­ten unter der Ver­ord­nung sol­len in ers­ter Linie den Pro­vi­der tref­fen, der also dem Her­stel­ler im her­kömm­li­chen Pro­dukt­be­reich ent­spricht. Die Pflich­ten für High-Risk-KI umfas­sen u.a.:

  • Gewähr­leis­tung der Ein­hal­tung der Artt. 8 ff.
  • Ein­rich­tung eines Qualitätsmanagementsystems
  • Durch­füh­rung eines Konformitätsbewertungsverfahrens
  • Regis­trie­rung der KI
  • Beob­ach­tung der KI im Markt
  • Feh­ler­infor­ma­tio­nen an Behörden
  • CE-Kennzeichnung

Dane­ben exis­tie­ren auch Pflich­ten für Nut­zer, Ein­füh­rer, Dis­tri­bu­to­ren und Operatoren.

Kon­for­mi­täts­be­wer­tungs­ver­fah­ren

Je nach Art der High-Risk-KI ist ent­we­der die inter­ne Kon­trol­le gemäß Anhang VI mög­lich oder eine Kon­for­mi­täts­be­wer­tung durch eine noti­fi­zier­te Stel­le gemäß Anhang VII erfor­der­lich. Für bei­de Ver­fah­ren ist zum einen das Qua­li­täts­ma­nage­ment­sys­tem maß­geb­lich, zum ande­ren die tech­ni­sche Doku­men­ta­ti­on. Das Bewer­tungs­ver­fah­ren für high-risk KI des har­mo­ni­sier­ten Pro­dukt­be­reichs kann in das jeweils vor­ge­se­he­ne Kon­for­mi­täts­ver­fah­ren inte­griert werden.

Wie schon aus ande­ren Pro­dukt­be­rei­chen bekannt, sol­len auch im Bereich KI har­mo­ni­sier­te Nor­men und Stan­dards geschaf­fen und im Amts­blatt der EU ver­öf­fent­lich wer­den, deren Anwen­dung eine Kon­for­mi­täts­ver­mu­tung auslöst.

Markt­über­wa­chung

Für die Markt­über­wa­chung und die Auf­sicht über die ord­nungs­ge­mä­ße Durch­füh­rung der Kon­for­mi­täts­be­wer­tungs­ver­fah­ren soll ein behörd­li­cher Auf­bau geschaf­fen wer­den. Ver­stö­ße sol­len mit bis zu 30 Mio. € oder 6 % des Jah­res­um­sat­zes geahn­det wer­den können.

Aus­blick und Praxisrelevanz

Der Vor­schlag muss nun im Euro­päi­schen Par­la­ment und auch im Rat bera­ten wer­den. Die Zustän­dig­kei­ten sind inso­fern noch nicht end­gül­tig gere­gelt, das­sel­be gilt auf natio­na­ler Ebe­ne für die betei­lig­ten Minis­te­ri­en. Die EU-Kommission hat als Zeit­plan für die Ver­ab­schie­dung der Ver­ord­nung 18 Mona­te auf­ge­ru­fen, was von eini­gen als zu ambi­tio­niert ange­se­hen wird.

Da es sich zunächst nur um einen Vor­schlag han­delt, besteht der­zeit noch kein unmit­tel­ba­rer Anlass, auf die geplan­te Ände­rung der Rechts­la­ge bei der Bereit­stel­lung von Soft­ware auf dem Markt zu reagie­ren. Auch Her­stel­ler her­kömm­li­cher Pro­duk­te, die von Soft­ware gesteu­ert oder ange­steu­ert wer­den, soll­ten die Ent­wick­lun­gen jedoch unbe­dingt beob­ach­ten, um sich in Zukunft rechts­kon­form zu verhalten.

Über den Fort­gang des Ver­fah­rens wer­den wir Sie auf dem Lau­fen­den halten.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.