AI Act: Das EU-Gesetz zur künstlichen Intelligenz
Passende Arbeitshilfen
Grundgedanke & Geschichte
Die Anfänge des AI Acts finden sich im «White Paper on Artificial Intelligence», welches von der Europäischen Kommission bereits im Februar 2020 veröffentlicht wurde. Es zeigte auf beschaulichen 26 Seiten, wie ein koordinierter europäischer Ansatz in Bezug auf die künstliche Intelligenz (KI) aussehen könnte. Bereits damals wurde von einer doppelten Zielsetzung gesprochen. Einerseits sollten Entwicklung und Nutzung der KI mit entsprechenden Investitionen gefördert werden, andererseits sollten Risiken, die mit bestimmten Anwendungen dieser Technologie verbunden sind, adäquat adressiert und entsprechend reguliert werden. Der Balance-Akt zwischen Förderung und Regulierung von Innovation ist auch einer der zentralen Diskussionspunkte rund um den AI Act, welcher im April 2021 durch die Europäische Kommission erstmalig vorgestellt und am 13. März diesen Jahres durch das Europäische Parlament verabschiedet wurde. Unter anderem soll ein risikobasierter Regulierungsansatz diesen Spagat ermöglichen.
Regulierung von KI-Systemen
Im Kern der Regulierung steht die Einteilung von KI-Systemen entlang der potenziellen Gefahren, welche deren Anwendung mit sich bringen.
Eine erste Kategorie bilden dabei diejenigen Systeme, welche gemäss dem AI Act grundsätzlich verboten sind. Darunter fallen einerseits Anwendungen, die aufgrund ihrer Effekte verboten sind, wie Systeme, die dem Social Scoring dienen oder das Verhalten von Menschen beeinflussen sollen. Andererseits werden auch Anwendungen basierend auf ihrer Funktion verboten, z. B. Systeme zur biometrischen Kategorisierung und Emotionserkennungssysteme. Einige dieser Verbote wurden jedoch mit Ausnahmeregelungen versehen, wodurch deren Einsatz etwa im Kontext der Strafverfolgung erlaubt bleibt.
Die zweite Kategorie ist diejenige der Hochrisiko-Systeme, wobei die Klassifizierung mehr Raum für Interpretation lässt als bei den verbotenen Anwendungen. Lediglich in zwei Fällen scheint die Einstufung als Hochrisiko-System klar:
- Wann immer die künstliche Intelligenz als Sicherheitskomponente eines Produktes dient (oder selbst das Produkt ist), welches unter bestimmte Vorschriften ausserhalb des AI Acts fällt, die eine Prüfung der Konformität entlang von definierten Standards verlangen – z. B. im Bereich von Medizinprodukten oder der zivilen Luftfahrt.
- Wann immer eine Anwendung in den gemäss Anhang III des AI Acts aufgeführten Bereichen zum Einsatz kommt (Biometrik, Kritische Infrastruktur, Bildung etc.) und Profiling eingesetzt wird.
Darüber hinaus ist Raum für Argumentation. Selbst wenn ein System in die unter dem Annex III aufgeführten Bereiche fällt, muss es nicht zwingend hochriskant sein, sofern es «kein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen birgt». Die entsprechende Bewertung obliegt dem Anbieter, welcher diese zu dokumentieren hat, jedoch bloss auf Verlangen der zuständigen nationalen Behörde vorlegen muss.
Sollen Hochrisiko-Systeme auf den Markt gebracht werden, darf dies nur unter Einhaltung entsprechender Vorschriften geschehen. So müssen sie etwa über ein angemessenes Mass an Genauigkeit, Robustheit und Cybersicherheit verfügen. Zudem müssen sie so konzipiert sein, dass sie «von natürlichen Personen wirksam beaufsichtigt werden können». Während diese Vorgaben die Anbieter betreffen, werden auch weitere Marktakteure in die Verantwortung genommen – namentlich Betreiber, Einführer (Importeure) und Händler – indem ihnen entsprechende Auflagen gemacht werden.
Regulierung von KI-Modellen
Nebst konkreten Anwendungen im Sinne von KI-Systemen werden auch KI-Modelle reguliert. Bei Modellen handelt es sich, vereinfacht gesagt, um den Kern der KI-Anwendungen, welcher aus einem gegebenen Input einen Output erzeugt. Ein KI-System besteht nebst diesem Kern aus weiteren Komponenten, wie etwa einer Nutzerschnittstelle.
Der AI Act reguliert jedoch einzig KI-Modelle mit allgemeinem Verwendungszweck (general purpose AI models), wobei zusätzliche Vorschriften für solche Modelle gemacht werden, die ein «systemisches Risiko» darstellen. Als letzteres wird ein Modell basierend auf seinen technischen Fähigkeiten eingestuft. Wenn diese denjenigen der fortschrittlichsten KI-Modelle mit allgemeinem Verwendungszweck entsprechen oder diese übersteigen, ist es als systemisch riskant zu betrachten. Das heisst nicht, dass es verboten wird, sondern, dass deren Anbieter zusätzliche Vorschriften zu beachten haben. Darunter fallen die Bewertung und Minderung von Risiken, die Überwachung schwerwiegender Vorfälle und die Gewährleistung eines angemessenen Niveaus der Cybersicherheit.
Jetzt weiterlesen mit
- Unlimitierter Zugriff auf über 1100 Arbeitshilfen
- Alle kostenpflichtigen Beiträge auf weka.ch frei
- Täglich aktualisiert
- Wöchentlich neue Beiträge und Arbeitshilfen
- Exklusive Spezialangebote
- Seminargutscheine
- Einladungen für Live-Webinare