Die Künstliche Intelligenz-Verordnung der EU (Übersicht)

Künstliche Intelligenz wird unsere (nahe) Zukunft maßgeblich beeinflussen. Die Europäische Union hat dies erkannt und einen Entwurf für eine Verordnung zur Regulierung der Künstlichen Intelligenz (“KI”) veröffentlicht.

Die wichtigsten Punkte dieser EU-KI-VO kompakt zusammengefasst:

EU-KI-VO: Ziele

Der Einsatz von KI kann sowohl positiv (zB Gesundheits-Vorsorge, Verkehrssteuerung) als auch negativ (zB Social Scoring, Überwachung) gesehen werden. Sich diesem Megatrend zu verschließen, ist aber jedenfalls keine Option. Die EU hat dies erkannt und am 21.4.2021 den Entwurf einer Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (“EU-KI-VO“) vorgelegt. Die Ziele sind dabei :

• Einerseits die Förderung der Entwicklung und Nutzung der KI
• Stärkung der EU als globales Zentrum für Exzellenz in der KI
• Andererseits die mit KI einhergehenden Gefahren eindämmen
• und Sicherstellung, dass nur vertrauenswürdige KI-Systeme zum Einsatz kommen
  
  
  

EU-KI-VO: Anwendungsbereich

Der räumliche Anwendungsbereich der EU-KI-VO ist äußerst weit. Die EU-KI-VO soll nicht nur auf Anbieter, die KI-Systeme in der EU auf den Markt bringen, oder auf in der EU ansässige Nutzer angewandt werden, sondern auch auf Anbieter und Nutzer von KI-Systemen, die in einem Drittland ansässig sind, wenn der von dem System erzeugte Output in der EU verwendet wird.

Der sachliche Anwendungsbereich definiert, auf welche Systeme die EU-KI-VO anzuwenden sein soll. Nach der EU-KI-VO sollen KI-Systeme Softwaresysteme sein, die mit einer oder mehreren der in Annex I aufgeführten Techniken und Ansätze entwickelt wurden und die für einen gegebenen Satz von durch den Menschen definierten Zielen Ausgaben wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen erzeugen können, die die Umgebung beeinflussen, mit denen sie interagieren. Als Technologien werden sodann in Annex I angeführt:

• Ansätze des maschinellen Lernen;
• Logik- und wissensbasierte Ansätze;
• Statistische Ansätze.

Die DSGVO soll hinsichtlich ihrer Regelungen im Übrigen unberührt bleiben bzw durch die EU-KI-VO ergänzt werden.

EU-KI-VO: Regelungsansätze

Die EU-KI-VO geht von einem risikobasierten Ansatz aus, der zwischen:

• inakzeptablen Risiken (zB Beeinflussung (unbewussten) Verhaltens; Social Scoring; Biometrische Erkennung durch KI)
• hohen Risiken (zB KI-Systeme im Bereich kritischer Infrastruktur; KI-Systeme zur Bewertung von Schülern und Studenten);
• geringen Risiken (zB Chatbot, Deep Fakes);
• minimalen Risiken (zB KI-gestützte Videospiele, SPAM-Filter);

differenziert.

EU-KI-VO: Regulierungsansätze

Je, nachdem in welchen Klasse die jeweilige KI-Anwendung fällt, müssen unterschiedliche Regulierungsansätze gewählt und umgesetzt werden. Zu diesen Regulierungsansätzen gehören:

• Implementierung von Riskmanagementsystemen: Demnach müssen Risiken identifiziert werden und Maßnahmen ergriffen werden, wie diesen Risiken zu begegnen ist. Letztlich muss das bestehende Restrisiko als “akzeptabel” eingestuft werden können.
• Vorgaben an Data Governance: KI-Systeme bedürfen des Trainings mit Daten. Die EU-KI-VO verlangt eine Auseinandersetzung mit diesen Daten unter anderem in der Form der Wahl der Datensätze, der relevanten Annahmen, möglichen Voreinstellungen, Ausrichtungen sowie Identifizierung möglichen Datenlücken und -mängeln.
• Einführung von Konformitätsbewertungsverfahren: Eine technische Dokumentation, Instrumente der Nachvollziehbarkeit und Zertifizierungsverfahren sollen eine Kontrolle durch die Marktüberwachungsbehörden sicherstellen. Eine wichtige Rolle werden dabei harmonisierte technische Standards spielen.
• Menschliche Aufsicht: Die EU-KI-VO verlangt hinsichtlich hochriskanter KI-Systeme, dass diese ausreichend durch Menschen beaufsichtigt werden.
• Anforderungen an Robustheit, Genauigkeit und IT-Sicherheitsanforderungen: In der EU-KI-VO findet man auch Vorgaben an eine ausreichende Sicherheit, Robustheit und Genauigkeit der KI-Systeme. Im Rahmen der Konformitätsbewertungen bezieht sich die EU-KI-VO dabei auch auf Zertifizierungen nach dem Cybersecurity Act.
• Vorgaben an Transparenz- und Instruktionspflichten: Schließlich müssen KI-System derart gestaltet sein, dass sie ausreichend transparent sind, damit die Nutzer das System richtig verwenden und Ergebnisse interpretieren können.
  

EU-KI-VO: Durchsetzung und Sanktionen

Für die Durchsetzung und Aufsicht der EU-KI-VO werden die nationalen Marktüberwachungsbehörden und der Europäische Ausschuss für künstliche Intelligenz zuständig sein. Diese werden Geldbußen von bis zu 30 Mio EUR bzw 6 % des weltweiten Unternehmensumsatzes verhängen können.

EU-KI-VO: Ausblick

Der aktuelle Vorschlag der EU-KI-VO muss im nächsten Schritt vom Europäischen Parlament und dem Rat der Europäischen Union angenommen werden. Die EU-KI-VO soll schließlich nach aktueller Planung 24 Monate nach deren Inkrafttreten unmittelbar in der gesamten EU anzuwenden sein.

Obgleich davon auszugehen ist, dass sich der Entwurf noch in einigen Punkten ändern bzw konkretisieren wird, sind Unternehmen, die KI einsetzen gut beraten, sich frühzeitig mit dem Entwurf der EU-KI-VO auseinanderzusetzen.

Möglicherweise interessant: KI-Projekte DSGV-konform umsetzen

Lese-Empfehlungen: Grützmacher/Füllsack, ITRB 7/2021, S 159 ff; Spindler, CR 6/2021, S 361 ff

‍