Die Europäische Kommission legte am 21. April 2021 einen Vorschlag für eine Verordnung zur Regulierung von KI-Systemen vor („KI-VO-Entwurf“). Hiermit möchte sie harmonisierte Vorschriften festlegen, wie KI-Systeme in den Verkehr gebracht, in Betrieb genommen und verwendet werden dürfen. An wen richtet sich der Entwurf? Weshalb sollten sich Unternehmen früh damit auseinandersetzen? Und welche Tools sind erfasst?
So begründet die Europäische Kommission ihren Vorschlag
Laut Europäischer Kommission kann der Einsatz von künstlicher Intelligenz („KI“) dabei helfen, z.B. Prognosen zu verbessern oder Abläufe zu optimieren. Außerdem kann er Wettbewerbsvorteile verschaffen. Andererseits können hieraus auch neue Risiken oder Nachteile für den Einzelnen oder die Gesellschaft entstehen.
Deshalb möchte die Europäische Kommission mit dem KI-VO-Entwurf einen Rechtsrahmen für eine „vertrauenswürdige KI“ schaffen. Derzeit befindet sich der KI-VO-Entwurf im Gesetzgebungsprozess beim Rat der Europäischen Union.
Für wen gilt der KI-VO-Entwurf?
Der KI-VO-Entwurf enthält Vorschriften, um Systeme der KI in den Verkehr zu bringen, sie in Betrieb zu nehmen und zu verwenden. Er richtet sich an Anbieter von KI-Systemen, z.B. Entwickler einer entsprechenden Software, ebenso wie an Nutzer von KI-Systemen, z.B. Unternehmen, welche die Software anschaffen und verwenden. Hierbei kann es sich um öffentliche und private Akteure handeln.
Was versteht man unter einem „System der künstlichen Intelligenz“?
Art. 3 Nr. 1 des KI-VO-Entwurfs definiert den Begriff „System der künstlichen Intelligenz“ (KI-System) als „Software, die mit einer oder mehreren in Anhang I aufgeführten Techniken und Konzepten entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren.“
Anhang I des KI-VO-Entwurfs führt folgende Techniken und Konzepte auf:
- Konzepte des maschinellen Lernens, mit beaufsichtigtem, unbeaufsichtigtem und bestärkendem Lernen unter Verwendung einer breiten Palette von Methoden, einschließlich des tiefen Lernens (Deep Learning);
- Logik- und wissensgestützte Konzepte, einschließlich Wissensrepräsentation, induktiver (logischer) Programmierung, Wissensgrundlagen, Inferenz- und Deduktionsmaschinen, (symbolischer) Schlussfolgerungs- und Expertensysteme;
- Statistische Ansätze, Bayessche Schätz-, Such- und Optimierungsmethoden.
Die Definition sowie Anhang I sind auslegungsbedürftig und konkrete Beispiele sind nicht genannt. Daher empfiehlt der Europäische Wirtschafts- und Sozialausschuss, Anhang I zu streichen. Zudem plädiert er dafür, die Definition in Art. 3 Abs. 1 umzuformulieren. Denn KI-Wissenschaftler betrachten die in Anhang I genannten Beispiele teilweise gar nicht als KI.
Welche Regulierung sieht der KI-VO-Entwurf vor?
Der KI-VO-Entwurf sieht eine abgestufte Regulierung anhand von Risikoklassen vor: Unannehmbares Risiko, Hohes Risiko und Geringes Risiko. KI-Systeme mit einem minimalen oder keinem Risiko können entwickelt und genutzt werden, wenn man das allgemein geltende Recht einhält.
Unannehmbares Risiko
Bestimmte Praktiken im KI-Bereich sind verboten. Art. 5 des KI-VO-Entwurfs regelt diese Verbote. Diese erfassen bestimmte staatliche Praktiken, z.B. die Bewertung des sozialen Verhaltens durch Behörden (Social Scoring). Zu den verbotenen Praktiken gehören – mit eng gefassten Ausnahmen – auch biometrische Echtzeit-Fernidentifizierungssysteme, die zu Strafverfolgungszwecken im öffentlich zugänglichen Raum eingesetzt werden.
Art. 5 des KI-VO-Entwurfs verbietet auch besonders schädliche Praktiken im KI-Bereich. Hierzu gehören z.B. Techniken, die das Bewusstsein einer Person unterschwellig beeinflussen außerhalb deren Bewusstseins, um das Verhalten wesentlich zu beeinflussen – mit der Möglichkeit, dass hieraus physische oder psychische Schäden für Personen resultieren.
Weiterhin zählt hierzu, eine Schwäche oder Schutzbedürftigkeit einer bestimmten Personengruppe wegen ihres Alters oder ihrer körperlichen oder geistigen Behinderung auszunutzen, um das Verhalten einer zu dieser Gruppe gehörenden Person wesentlich zu beeinflussen – mit dem Potential, dass hieraus physische oder psychische Schäden entstehen.
Hohes Risiko
Art. 6 des KI-VO-Entwurfs regelt, was Hochrisiko-KI-Systeme sind: Es handelt sich um KI-Systeme, die als Sicherheitskomponente in einem gemäß Anhang II regulierten Produkt, das einer Konformitätsbewertung bedarf, verwendet werden oder ein solches Produkt darstellen, z.B. Kraftfahrzeuge und Medizinprodukte.
Außerdem gelten KI-Systeme in den Bereichen als hochriskant, die Anhang III des KI-VO-Entwurfs aufzählt. In diesem Zusammenhang dürften für Unternehmen v.a. die Bereiche Personalmanagement und Kreditwürdigkeitsprüfung praxisrelevant sein.
An Hochrisiko-KI-Systeme stellt der KI-VO-Entwurf besondere Anforderungen. Anbieter von Hochrisiko-Systemen müssen z.B. ein Risikomanagementsystem einrichten. Zudem müssen sie KI-Systeme mit Daten entwickeln, die bestimmten Qualitätskriterien entsprechen sowie das System dokumentieren und Informationen für die Nutzer bereitstellen. Außerdem haben Anbieter von Hochrisiko-Systemen Registrierpflichten nachzukommen und das System einem Konformitätsbewertungsverfahren zu unterziehen. Nutzer von Hochrisiko-KI-Systemen müssen diese u.a. entsprechend der Gebrauchsanweisung verwenden.
In einem Positionspapier kritisiert der Gesamtverband der deutschen Versicherungswirtschaft, dass eine Reihe risikoloser KI-Anwendungen als Hochrisikosysteme eingestuft würden. Hierzu gehören z.B. Systeme zur Aufgabenzuweisung. Diese sollen nur die Effizienz von Arbeitsabläufen steigern und Kosten reduzieren und damit auch die Kundenzufriedenheit erhöhen.
Geringes Risiko
Art. 52 des KI-VO-Entwurfs enthält Vorschriften für KI-Systeme mit geringem Risiko. Das sind sonstige KI-Systeme, die mit natürlichen Personen interagieren sollen oder der Emotionserkennung und biometrischen Kategorisierung dienen. Hinzu kommen KI-Systeme, um Bild-, Ton- oder Videoinhalte zu erzeugen oder zu manipulieren, die wirklichen Personen, Gegenständen, Orten oder anderen Einrichtungen oder Ereignissen merklich ähneln und einer Person fälschlicherweise als echt oder wahrhaftig erscheinen würden. Lt. FAQ der Europäischen Kommission sollen hierzu z.B. Chatbots gehören.
Für KI-Systeme mit geringem Risiko sieht der KI-VO-Entwurf Transparenzvorschriften vor.
Sonstige KI-Systeme
Sonstige KI-Systeme mit minimalem oder keinem Risiko soll man unter Einhaltung des allgemein geltenden Rechts entwickeln und verwenden dürfen. Laut FAQ der Europäischen Kommission fällt die große Mehrheit der KI-Systeme in der EU in die Kategorie mit minimalem Risiko. Hierzu sollen laut der Pressemitteilung der Europäischen Kommission zum KI-VO-Entwurf Anwendungen wie KI-gestützte Videospiele oder Spamfilter fallen.
Sanktionen
Art. 71 sieht folgende Sanktionen vor:
- Bis zu 30 Mio. Euro oder 6 Prozent des gesamten weltweiten Vorjahresumsatzes (je nachdem, welcher Wert höher ist), wenn das Verbot bestimmter KI-Praktiken (Art. 5 KI-VO-Entwurf) missachtet oder die Anforderungen an die zum Training der Modelle von Hochrisiko-KI-Systemen verwendeten Daten (Art. 10 KI-VO-Entwurf) verletzt werden.
- Bis zu 20 Mio. Euro oder 4 Prozent des gesamten weltweiten Vorjahresumsatzes bei Verstößen gegen andere Anforderungen oder Pflichten des KI-VO-Entwurfs;
- Bis zu 10 Mio. Euro oder 2 Prozent des gesamten weltweiten Vorjahresumsatzes bei falschen, unvollständigen oder irreführenden Angaben auf Auskunftsverlangen gegenüber notifizierten Stellen und zuständigen nationalen Behörden.
Ausblick
Der Kommissionsvorschlag wird vermutlich im weiteren Verlauf des Gesetzgebungsverfahrens noch angepasst werden. Lt. KI-VO-Entwurf soll die Verordnung am 20. Tag nach Veröffentlichung in Kraft treten. Sie sieht eine Frist von 24 Monaten vor, bis sie gilt.
Für bereits in Verkehr gebrachte oder in Betrieb genommene KI-Systeme gilt die Verordnung nur in bestimmten Fällen (Art. 83 KI-VO-Entwurf). Wie die zweijährige Übergangsfrist der Datenschutzschutzgrundverordnung bereits zeigte: Das ist nicht viel Zeit. Deshalb sollten sich Unternehmen schon früh mit dem KI-VO-Entwurf auseinandersetzen und das Gesetzgebungsverfahren im Blick behalten.
