AI Act: Das EU-Gesetz zur künstlichen Intelligenz

ChatGPT & Co. rechtssicher einsetzen

Rechtliche Rahmenbedingungen und praktische Massnahmen zum Einsatz von KI

Praxis-Seminar, 1 Tag, SIB, Zürich

Nächster Termin: 17. September 2024

Eine erste Kategorie bilden dabei diejenigen Systeme, welche gemäss dem AI Act grundsätzlich verboten sind. Darunter fallen einerseits Anwendungen, die aufgrund ihrer Effekte verboten sind, wie Systeme, die dem Social Scoring dienen oder das Verhalten von Menschen beeinflussen sollen. Andererseits werden auch Anwendungen basierend auf ihrer Funktion verboten, z. B. Systeme zur biometrischen Kategorisierung und Emotionserkennungssysteme. Einige dieser Verbote wurden jedoch mit Ausnahmeregelungen versehen, wodurch deren Einsatz etwa im Kontext der Strafverfolgung erlaubt bleibt.

Die zweite Kategorie ist diejenige der Hochrisiko-Systeme, wobei die Klassifizierung mehr Raum für Interpretation lässt als bei den verbotenen Anwendungen. Lediglich in zwei Fällen scheint die Einstufung als Hochrisiko-System klar:

• Wann immer die künstliche Intelligenz als Sicherheitskomponente eines Produktes dient (oder selbst das Produkt ist), welches unter bestimmte Vorschriften ausserhalb des AI Acts fällt, die eine Prüfung der Konformität entlang von definierten Standards verlangen – z. B. im Bereich von Medizinprodukten oder der zivilen Luftfahrt.
• Wann immer eine Anwendung in den gemäss Anhang III des AI Acts aufgeführten Bereichen zum Einsatz kommt (Biometrik, Kritische Infrastruktur, Bildung etc.) und Profiling eingesetzt wird.

Darüber hinaus ist Raum für Argumentation. Selbst wenn ein System in die unter dem Annex III aufgeführten Bereiche fällt, muss es nicht zwingend hochriskant sein, sofern es «kein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen birgt». Die entsprechende Bewertung obliegt dem Anbieter, welcher diese zu dokumentieren hat, jedoch bloss auf Verlangen der zuständigen nationalen Behörde vorlegen muss.

Sollen Hochrisiko-Systeme auf den Markt gebracht werden, darf dies nur unter Einhaltung entsprechender Vorschriften geschehen. So müssen sie etwa über ein angemessenes Mass an Genauigkeit, Robustheit und Cybersicherheit verfügen. Zudem müssen sie so konzipiert sein, dass sie «von natürlichen Personen wirksam beaufsichtigt werden können». Während diese Vorgaben die Anbieter betreffen, werden auch weitere Marktakteure in die Verantwortung genommen – namentlich Betreiber, Einführer (Importeure) und Händler – indem ihnen entsprechende Auflagen gemacht werden.

Regulierung von KI-Modellen

Nebst konkreten Anwendungen im Sinne von KI-Systemen werden auch KI-Modelle reguliert. Bei Modellen handelt es sich, vereinfacht gesagt, um den Kern der KI-Anwendungen, welcher aus einem gegebenen Input einen Output erzeugt. Ein KI-System besteht nebst diesem Kern aus weiteren Komponenten, wie etwa einer Nutzerschnittstelle. 

Der AI Act reguliert jedoch einzig KI-Modelle mit allgemeinem Verwendungszweck (general purpose AI models), wobei zusätzliche Vorschriften für solche Modelle gemacht werden, die ein «systemisches Risiko» darstellen. Als letzteres wird ein Modell basierend auf seinen technischen Fähigkeiten eingestuft. Wenn diese denjenigen der fortschrittlichsten KI-Modelle mit allgemeinem Verwendungszweck entsprechen oder diese übersteigen, ist es als systemisch riskant zu betrachten. Das heisst nicht, dass es verboten wird, sondern, dass deren Anbieter zusätzliche Vorschriften zu beachten haben. Darunter fallen die Bewertung und Minderung von Risiken, die Überwachung schwerwiegender Vorfälle und die Gewährleistung eines angemessenen Niveaus der Cybersicherheit.