Mit der EU-Verordnung zur Regulierung von künstlicher Intelligenz (kurz: KI-Verordnung) bzw. Artificial Intelligence (AI) assoziieren viele die Schaffung von gesetzlichen Rahmenbedingungen hinsichtlich intelligenter Fahrzeuge, hochentwickelter Roboter oder denkender Maschinen. Hingegen ist oftmals nicht bekannt, dass der Anwendungsbereich der KI-Verordnung äußerst weit gefasst ist, sodass zunächst auch gängige Spamfilteranwendungen sowie Chatbots umfasst werden.
Risikobasierter Ansatz
Welche gesetzlichen Vorgaben die Anbieter oder Nutzer von KI-Systemen letztlich zu beachten haben, richtet sich nach dem schon aus der Datenschutz-Grundverordnung (DSGVO) bekannten risikobasierten Ansatz. Dieser besagt im Kern, dass sich mit steigendem Risiko für die Sicherheit, Gesundheit oder Grundrechte die Regelungsdichte für das KI-System erhöht. Die KI-Verordnung kennt dabei vier Kategorien:
- Verbotene KI-Anwendungen
- Hochrisiko-KI-Systeme
- KI-Systeme mit geringem Risiko
- KI-Systeme mit minimalem Risiko
Einstufung als Hochrisiko-KI-Systeme
Eine Vielzahl von KI-Systemen wird in Zukunft als Hochrisiko-KI eingestuft werden. Das betrifft zum einen KI-Anwendungen, die Bestandteil von Produkten sind, welche in Anhang II der KI-Verordnung aufgeführt und schon Gegenstand von EU-Regelungen sind, beispielsweise Fahrstühle, medizinische Geräte und Spielzeuge. Zum anderen gilt das für eigenständige KI-Systeme, welche von den in Anhang III genannten Regelungsbereichen umfasst werden. Hierunter fallen insbesondere (unverzichtbare) private und öffentliche Dienstleistungen wie das Kreditscoring, sofern damit Bürgern die Möglichkeit verwehrt werden kann, einen Kredit zu erhalten, oder sogenannte Applicant-Tracking-Systeme, mittels derer der Bewerbungs- und Einstellungsprozess im Unternehmen automatisiert wird.
Anforderungen für die Einführung von Hochrisiko-KI-Systemen in den EU-Binnenmarkt
Bevor ein Hochrisiko-KI-System auf dem EU-Binnenmarkt angeboten werden kann, hat es eine Konformitätsbewertung zu durchlaufen. Hierbei ist das KI-System unter anderem anhand seiner Funktionalitäten, menschlicher Kontrollinstanzen, IT-Sicherheit, Genauigkeit sowie transparenter Informationen zu begutachten. Daneben sind eigenständige KI-Systeme in einer EU-Datenbank einzutragen und das Conformité-Européenne (CE)-Zeichen ist zu erlangen. Die Regelungen der KI-Verordnung sind dabei auch auf Anbieter anwendbar, die ihren Sitz in einem Drittstaat, also außerhalb der EU haben.
Aktueller Stand im Gesetzgebungsprozess: Trilogverfahren
Ob die KI-Anwendung einen klaren und sicheren Rechtsrahmen schafft, der den Wettbewerb zwischen Tech-Unternehmen fördert und zugleich die Grundrechte der Nutzer schützt oder einen Innovationshemmer darstellt, bleibt noch offen. Derzeit ist die KI-Verordnung Gegenstand des Trilogverfahrens, im Rahmen dessen sich der Rat, das Parlament und die EU-Kommission abstimmen, sodass mit einem Inkrafttreten erst 2025 oder 2026 zu rechnen ist.
Weiterlesen:
Datenschutzrechtliche Vorgaben für Softwarehersteller (DSGVO)
Datenschutz: Das ist beim Einsatz von Trackingtools zu beachten
