FOMO-BONBONS & MEISTER RÖHRICH
Ein Prüfungsschema für die Konformität von Anwendungsfällen mit dem EU-AI-Act klingt eher nach einem Dissertationsthema als nach der Überschrift bzw. der Essenz eines lesenswerten Blogartikels. Aber halt, bevor du das in die Welt der überflüssigen Akademik schubst: Sofern du und/oder dein Team/dein Unternehmen KI einsetzt bzw. einzusetzen plant, solltest du weiterlesen. Ich mache das anders als die meisten YouTuber, die unsere tief sitzende Angst, etwas zu verpassen – der altbekannten FOMO – ausnutzen, um dich dazu zu bringen, ihre Videos bis zum bitteren Ende zu schauen. YouTube belohnt schließlich nicht nur die in den virtuellen Himmel gereckten Daumen, sondern vor allem die Zeit, die du auf ihrer Plattform verbringst. Bei mir kriegst du als FOMO-Bonbon die Aussicht darauf, zu den Early-Adoptern zu gehören und zu denen, die nach der Lektüre wissen, dass es neben der DS-GVO ein neues Regelwerk gibt, das man nicht unter dem Kopfkissen zu liegen haben braucht, das man aber, sofern es denn in Kraft getreten ist, tunlichst nicht missachten sollte. Und mit dem Prüfungsschema kannst du bzw. deine Jurist/innen und du schnell mal eine „Pi-mal-Daumen“-Abschätzung wagen. Sonst passiert dir das, was die alten Hasen und Häsinnen, also Leute in meinem biblischen Alter, aus den alten Werner-Filmen kennen. Da hattest du diesen knorrigen Meister Röhrich, den kantigen Chef des witzigen Protagonisten, der mit seinem markanten Hamburger Slang stets unheilvoll verkündete:
„Das wird teuer!“
ZIELGRUPPE
Noch ist es frisch, das Ergebnis des Trilogs. Noch schwebt der Rauch aus der Brüsseler Konklave durch die Luft. Das „Habemus Papam“ für die KI-Welt, das Trilog-Ergebnis, ist (Stand: 2024-02-22 - 18:59) erst wenige Monate alt.
Du wirst dich fragen – zurecht, wie ich finde: Wer sollte sich jetzt schon damit auseinandersetzen?
Ich denke, neben Jurastudent/innen, zu denen ich ja auch mal zählte und dankbar für jedes Schema war, das mir bei der Falllösung half, sind es Leute wie ich, die als Softwarearchitekten (und mittlerweile auch wieder als Jurist) prüfen müssen, ob (geplante/im Betrieb befindliche) KI-Systeme rechtskonform sein werden, sobald der Rauch verzogen ist und der EU AI Act voll wirksam sein wird. Denn, oh Wunder, neben einem KI-Board und einem KI-Office hält das Gesetz auch eine stattliche Keule an Bußgeldern bereit, die die Tradition der DS-GVO nahtlos fortsetzt.
Doch es sind nicht nur die Prüfer und Berater, die sich durch den Dschungel des EU AI Act kämpfen sollten. Auch die Entscheidungsträger, die Macher, die Strategen sollten auf dem Radar haben, was da aus Brüssel anrollt. Firmen, die frühzeitig den EU AI Act in ihr KI-Tagesgeschäft einflechten, könnten sich nicht nur einen (Wettbewerbs-)Vorsprung sichern, sondern auch in einem Umfeld gedeihen, das durch Rechtssicherheit gestärkt wird.
Aber was ist das überhaupt für ein Ding, dieser EU AI Act?
Ok, klären wir erst mal ein paar Begrifflichkeiten.
DER EU AI ACT
DIREKTE WIRKUNG
Aus rechtswissenschaftlicher Sicht handelt es sich beim EU-AI-Act um eine geplante EU-Verordnung. Gemäß Art. 288 Abs. 2 AEUV hat die Verordnung allgemeine Geltung, ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. Es bedarf mithin im Gegensatz zur Richtlinie keines Ausführungsaktes, und es gibt auch keinen Umsetzungsspielraum. Der AI-Act soll also – sobald er in Kraft tritt – in Deutschland, Frankreich, etc. gleichermaßen angewendet werden. Es gibt keine Unterschiede durch nationale Interpretationen.
(HEHRE) ZIELE
Das Hauptziel des EU AI Acts ist es, einheitliche und harmonisierte Regeln für die Entwicklung, Vermarktung und Nutzung von KI-Systemen in der EU festzulegen, um einerseits die Verbreitung von KI-Technologien zu fördern und andererseits ein hohes Maß an Schutz für die öffentlichen Interessen, die Gesundheit, die Sicherheit und die fundamentalen Rechte der Bürger zu gewährleisten. Darüber hinaus soll die Verordnung Innovation unterstützen und die EU als weltweiten Vorreiter bei der Entwicklung von sicherer, vertrauenswürdiger und ethischer KI etablieren. Klingt wie ein Werbeversprechen? Auch in der Welt der Juristerei, wo wir oft zu Recht neue Regelwerke hinterfragen, stößt man hier auf kritische Stimmen. Wer tiefer eintauchen möchte, dem empfehle ich wärmstens den brillanten Fachartikel von RA Dr. David Bomhard und RA Dr. Jonas Siglmüller in der RDI 2024, Ausgabe 25, betitelt „AI Act - das Trilogergebnis“. Ein Muss für jeden, der sich ernsthaft mit dem Thema auseinandersetzen möchte – findet sich auch nochmal in den Quellenangaben.
Ebenfalls in den Quellenangaben findet sich ein Videomitschnitt aus dem Deutschen Bundestag: Sachverständige bewerten EU-Verordnung zur KI unterschiedlich. Für jene, die sich mehr (oder zusätzlich) für die Argumente der verschiedenen Disziplinen und allen voran der Praktiker/innen interessieren.
HORIZONTAL UND RISIKOBASIERT
Die Europäische Kommission verfolgt eine Zwei-Säulen-Strategie für KI: Förderung und Unterstützung der KI-Entwicklung bei gleichzeitiger Bewältigung von Risiken. Bei der Schaffung eines Rechtsrahmens verfolgte sie einen horizontalen Ansatz mit dem Schwerpunkt auf der Klärung von Regeln und dem Schutz der Nutzer, ohne die Innovation zu behindern. Dieser risikobasierte Ansatz kategorisiert KI-Anwendungen nach ihrem Risikograd, wobei bestimmte Anwendungen wie Social Scoring ganz verboten sind und andere, von denen ein hohes Risiko ausgeht, einen Katalog an Zusatzmaßnahmen erfordern. Und dann gibt es da noch die General Purpose Systeme, die als Subset noch jene mit systemischem Risiko enthalten.
DAS PRÜFUNGSSCHEMA
Hinweis: Die meisten ins Rampenlicht gerückte Vorschriften sind vornehmlich für die Finanzbranche von Relevanz. Das liegt nicht (nur) daran, dass ich meine Banker/innen wegen meines überzogenen Dispos hofieren will, sondern daran dass ich im Moment viel geschäftlichen Kontakt mit der Finanzbranche habe.
TATBESTAND
SCHUTZBEREICH
ZEITLICHER SCHUTZBEREICH
(Punkt kann nach Wirksamwerden gestrichen werden, jetzt: 2024-02-22 - 21:09)
Grundprinzip: Die EU AI-Verordnung tritt am 20. Tag nach ihrer Veröffentlichung im EU-Amtsblatt in Kraft und wird nach 24 Monaten wirksam.
Vorschriften:
Art. 85 Abs. 2: EU-AI-Akt: Allgemeine Umsetzungsfrist von 24 Monaten nach Inkrafttreten.
Art. 85 Abs. 3 EU-AI-Akt: Bestimmte Bestimmungen treten zu unterschiedlichen Zeiten in Kraft:
Verbote in Titel I und II (Art. 5) gelten sechs Monate nach Inkrafttreten.
Verhaltenskodizes sollen neun Monate nach Inkrafttreten des EU AI-Gesetzes fertig sein.
Sanktionen treten nach 12 Monaten in Kraft.
GPAI-Modelle erhalten 12 Monate oder 24 Monate, wenn sie bereits auf dem Markt sind.
Verpflichtungen für KI-Systeme mit hohem Risiko im Sinne von Art. 6 Abs. 1 (d.h. KI-Systeme, die als Sicherheitskomponente eines Produkts verwendet werden sollen, oder KI-Systeme, die in Anhang II aufgeführt sind) werden nach 36 Monaten gelten.
Besonderheiten:
Die Mitgliedsstaaten müssen mindestens eine notifizierende Behörde und eine Marktüberwachungsbehörde benennen und der Kommission die Identität der zuständigen Behörden mitteilen.
Von jedem Mitgliedstaat wird erwartet, dass er innerhalb von 24 Monaten nach Inkrafttreten der EU AI Act mindestens eine regulatorische Sandbox einrichtet (Art. 53)
SACHLICHER SB
Bestimmen, ob die verwendete Technologie als KI-System gemäß der Definition des EU AI Acts anzusehen ist.
Vorschrift(en): Art. 3 Abs. 1 EU AI Act in der Fassung vom 2024-02-06 (https://www.euaiact.com/article/3(https://www.euaiact.com/article/3), last visit @: 2024-02-21 11:19)
„(1) ‘AI system‘ is a - machine-based system - designed to operate with varying levels of autonomy - and that may exhibit adaptiveness after deployment - and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as - predictions, - content, - recommendations, - or decisions - that can influence physical or virtual environments;“
Output und Input: Das KI-System muss in der Lage sein, auf der Grundlage des Inputs, den es erhält, Outputs zu generieren. Dies bedeutet, dass der Output des Systems direkt aus den eingespeisten Daten abgeleitet wird.
Adaptivität: Das System muss adaptiv sein, also die Fähigkeit besitzen, nach der Implementierung Anpassungen vorzunehmen. Es darf nicht statisch sein, sondern muss sich im Laufe der Zeit entwickeln und verbessern können.
Einfluss auf Umgebungen: Ein KI-System muss das Potenzial haben, physische oder virtuelle Umgebungen zu beeinflussen. Dieses Kriterium ist jedoch nicht eindeutig, da im Grunde jede Software einen gewissen Einfluss hat. Der entscheidende Faktor ist hier der Umfang und die Art des Einflusses.
Autonomie: Der wesentliche Unterschied zwischen einem KI-System und herkömmlicher Software liegt im Grad der Autonomie. KI-Systeme sind so konzipiert, dass sie mit verschiedenen Autonomiegraden operieren und in bestimmtem Maße unabhängig von menschlicher Einwirkung agieren können.
Richtlinien und Vorentwürfe: Die Betonung der Autonomie in der Definition war bereits im Erwägungsgrund 6 des ursprünglichen Gesetzentwurfs der Europäischen Kommission enthalten und wurde im Parlamentsentwurf in die Definition aufgenommen.
Unabhängigkeit von menschlichem Eingreifen: Es wird geprüft, ob das System einen gewissen Grad an Unabhängigkeit von menschlicher Beteiligung und die Fähigkeit zur Operation ohne menschliches Eingreifen besitzt.
Vorsichtiges Vorgehen: Bei Unsicherheiten, ob ein System als KI-System einzustufen ist, sollte man auf der sicheren Seite bleiben und es vorsichtshalber als KI-System einordnen, um sicherzustellen, dass alle relevanten rechtlichen Anforderungen berücksichtigt und befolgt werden.
KEIN AUSSCHLUSS (SHORT CIRCUIT EVALUATION)
Short Circuit stammt aus der Informatik und beschreibt eine Auswertungsmethode für logische (boolsche) Ausdrücke, bei der die Auswertung abgebrochen wird, sobald das Ergebnis feststeht.
Die Verordnung schließt die Verwendung von KI-Systemen im Rahmen rein persönlicher und nicht-beruflicher Tätigkeiten aus dem persönlichen Schutzbereich aus.
Wird das bejaht => Ende, Gelände.
PERSÖNLICHER SB
Hinweise:
Bei der Beurteilung der Rolle eines Anbieters ist die Intention, das KI-System auf den Markt zu bringen, entscheidend.
Die Pflichten im AI Act betreffen vor allem den Anbieter, aber auch den Betreiber, während andere Beteiligte wie Händler oder Endnutzer nur punktuell einbezogen sind.
Es ist ratsam, die Eigenschaften als Anbieter oder Betreiber sicherheitshalber anzunehmen, um Compliance zu gewährleisten.
Anbieter (Provider)
Definition: Natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die KI-Systeme entwickeln oder entwickeln lassen, um diese unter eigenem Namen oder Marke auf den Markt zu bringen.
Vorschrift: Art. 3 Abs. 1 AI Act
Erwägungsgrund: ErwG 6 AI Act-COM; ErwG 70a
Besonderheit: Hersteller im produktrechtlichen Sinne.
Betreiber (Deployer)
Definition: Natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die KI-Systeme in eigener Verantwortung verwenden, ausgenommen bei rein persönlichen und nicht-beruflichen Tätigkeiten.
Vorschrift: Art. 29, 29a AI Act (auf neueste Fassung achten, in alten Fassungen gibt es keinen 29a, am besten hier nachschauen: https://www.consilium.europa.eu/en/press/press-releases/2023/12/09/artificial-intelligence-act-council-and-parliament-strike-a-deal-on-the-first-worldwide-rules-for-ai/und dort unten bei den PDFs)
Besonderheit: Einschluss des Eigenbetriebs des KI-Systems auf fremder Infrastruktur (z.B. IaaS).
Weitere im EU-Raum ansässige Beteiligte
Einführer, Händler, Bevollmächtigte, benannte Stellen, Endnutzer: Diese Akteure sind nur punktuell betroffen und tragen spezifische, in der Verordnung definierte Verantwortlichkeiten.
Vorschriften: Verschiedene Artikel des AI Acts, je nach Rolle und Verantwortlichkeit.
Internationale Beteiligte
Anbieter und Betreiber aus Drittländern: Anwendbarkeit der Verordnung auch auf Anbieter und Betreiber, die ihren Sitz in Drittländern haben, wenn der Output ihrer Systeme in der EU verwendet wird.
Vorschrift: Art. 2 Abs. 1 lit. c AI Act
RÄUMLICHER SB
Grundprinzip: Extensives Verständnis des Marktortprinzips, Technologie-Importverbot zur Verhinderung der Umgehung der AI Act-Anforderungen durch Anbieter in weniger regulierten Ländern.
Vorschrift: Art. 2 Abs. 1 AI Act
Besonderheit: Nutzung des Outputs in der EU als maßgebliches Kriterium, auch wenn die KI-Systeme weder in der EU in Verkehr gebracht noch betrieben werden.
RISIKOKLASSIFIZIERUNG
VERBOTENE SYSTEME (SHORT CIRCUIT EVALUATION)
Grundprinzip: Art. 5 des EU AI Acts verbietet KI-Anwendungen in Spezialfällen -, die zumindest in Deutschland meist durch andere Rechtsvorschriften abgedeckt sind (DSGVO, BDSG, §§ 201 ff. StGB, uvm.)
Vorschrift: Die Artikel legen fest, dass bestimmte KI-Systeme verboten sind, z.B. solche, die manipulative Techniken nutzen oder persönliche Schwächen ausnutzen, um Personen zu schädigendem Verhalten zu bewegen.
Beispiele:
Systeme, die Menschen manipulieren oder soziales Scoring betreiben
Systeme zur biometrischen Fernidentifizierung in Echtzeit
Systeme, die zur Unterdrückung oder Ausbeutung von Menschen eingesetzt werden
Besonderheit: Die genauen Anwendungsfälle und die Abgrenzung zu KI-gesteuerten Social Media Feeds und personalisierter Werbung sind noch zu klären.
Trifft eines der Verbote zu, ist die Prüfung abgeschlossen und das System darf nicht eingesetzt werden.
HOCHRISIKOSYSTEME (ART. 6 FF.)
Erfüllt das KI-System nicht die Kriterien für verbotene Systeme, wird geprüft, ob es als Hochrisikosystem gemäß Art. 6 ff. EU AI Act einzustufen ist. Hierbei sind folgende Punkte relevant:
Grundprinzipien: Hochrisiko-KI-Systeme umfassen Maschinen, Spielzeug, Medizinprodukte und andere, die in Anhang II und/oder III aufgeführten kritischen Bereichen eingesetzt werden, wie z.B. kritische Infrastrukturen, Beschäftigung und Personalmanagement, oder die Risikobewertung und Preisgestaltung in Versicherungen beeinflussen.
Wie unterscheiden sich Anhang II und III?
Anhang II bezieht sich auf KI-Systeme, die als Sicherheitskomponente eines Produkts oder als eigenständiges Produkt gelten, das unter die in Anhang II aufgeführte EU-Harmonisierungsgesetzgebung fällt und einer Konformitätsbewertung durch Dritte unterliegen muss. Anhang III hingegen listet spezifische Anwendungsbereiche auf, in denen KI-Systeme als Hochrisiko eingestuft werden, unabhängig davon, ob sie mit Produkten verbunden sind, die in Anhang II genannt sind.
Zusammenfassend lässt sich sagen, dass sowohl Anhang II als auch Anhang III relevante Kriterien für die Einstufung von KI-Systemen als Hochrisiko bieten, wobei Anhang II sich auf die Integration in Produkte bezieht und Anhang III spezifische Anwendungsbereiche abdeckt, in denen KI-Systeme unabhängig von ihrer Produktbindung als Hochrisiko betrachtet werden.
Vorschriften & Use Cases:
Art. 6–51 definieren spezielle Vorschriften für Hochrisiko-KI-Systeme, die entweder unter bestimmte EU-Harmonisierungsvorschriften fallen oder einer Konformitätsbewertung unterzogen werden müssen.
Artikel 9: Dieser Artikel besagt, dass KI-Systeme, die bestimmte in Anhang III aufgeführte Tätigkeiten ausführen, als Hochrisikosysteme gelten. Für die Finanzbranche relevante Tätigkeiten sind:
Kreditwürdigkeitsprüfung (Art. 9 Abs. 1 lit. a)
Betrugsprävention (Art. 9 Abs. 1 lit. b)
Anlageberatung (Art. 9 Abs. 1 lit. c)
Portfolioverwaltung (Art. 9 Abs. 1 lit. d)
Handelsentscheidungen (Art. 9 Abs. 1 lit. e)
Versicherungen
Anhang III: Dieser Anhang enthält eine detailliertere Liste von Bereichen, in denen KI-Systeme als Hochrisiko eingestuft werden können. Für die Finanzbranche relevante Punkte sind:
Biometrische Identifizierung (z.B. zur Kundenauthentifizierung) (Art. 3 lit. a)
Kreditvergabe (Art. 7 lit. b)
Finanzmärkte (Art. 8)
Besonderheit: KI-Systeme, die keinen wesentlichen Einfluss auf die Entscheidungsfindung haben oder für Vorbereitungshandlungen genutzt werden, fallen nicht unter die Hochrisikokategorie! // Hier wäre ich aber äußerst vorsichtig, mit eigener Subsumtion, das würde ich eher den Gerichten überlassen, hier erst mal eine Kasuistik zu entwickeln, auf die man sich berufen kann!
GPAI-SYSTEME
Der neu geschaffene Titel 8a (Art. 52a ff.) reguliert nun „General Purpose AI Models“ (GPAIModels). Darunter ist ein KI-Modell zu verstehen, „that displays significant generality and iscapable to competently perform a wide range of distinct tasks” .
Grundprinzip: GPAI-Modelle sind KI-Modelle mit signifikanter Allgemeingültigkeit und der Kompetenz, eine breite Palette unterschiedlicher Aufgaben zu erfüllen.
Vorschrift: Titel 8a (Art. 52a ff.) des EU AI Acts regelt speziell GPAI-Modelle, die nachdem sie auf den Markt gebracht wurden, reguliert werden.
Besonderheit: Die Unterscheidung zwischen GPAI-Modellen und Hochrisiko-KI-Systemen ist komplex, da GPAI-Modelle oft als grundlegende KI-Struktur hinter verschiedenen KI-Systemen fungieren.
TWO TIER APPROACH: GPAI MODEL WITH SYSTEMIC RISK
Grundprinzip: GPAI-Modelle mit systemischem Risiko sind KI-Modelle von genereller Natur, die eine hohe Wirkungskapazität aufweisen und die Fähigkeit haben, eine breite Palette unterschiedlicher Aufgaben zu erfüllen. Sie werden als solche klassifiziert, wenn der kumulative Rechenaufwand für das Training mehr als 10^25 Gleitkommaoperationen (FLOPs) beträgt.
FLOPs: Vor allem müssen sie über ordentlich Dampf unter der Haube verfügen. Sprich eine hohe Wirkungskapazität aufweisen:
Bewertung anhand geeigneter technischer Instrumente und Methoden (z.B. Indikatoren, Benchmarks)
Kumulativer Rechenaufwand für das Training > 10^25 Gleitkommaoperationen (FLOPs) 10^25 FLOPs entsprechen etwa der Rechenleistung, die benötigt wird, um:
100 Millionen Jahre lang in HD-Qualität zu filmen.
10 Milliarden hochauflösende Bilder des gesamten Erdballs zu erstellen.
Ein durchschnittlicher Laptop hat eine Rechenleistung von etwa 10^12 FLOPs.
Ein Supercomputer wie der Fugaku in Japan hat eine Rechenleistung von etwa 10^18 FLOPs.
Wer kommt da heute ran?
ChatGPT: Das von OpenAI entwickelte Sprachmodell ChatGPT hat mit einem kumulativen Rechenaufwand von 1.5T FLOPs die Grenze von 10^25 FLOPs zwar noch nicht überschritten (zumindest laut offizieller "Gerüchte" - Stand: 2024-02-23 08:51) , zeigt aber großes Potenzial in diese Richtung.
Midjourney: Midjourney ist ein KI-System, das Bilder aus Textbeschreibungen generieren kann. Der genaue Rechenaufwand ist nicht bekannt, liegt aber wahrscheinlich im Bereich von 10^24 FLOPs. Aber auch hier - sehr unwissenschaftlich, ich weiß - nur Gerüchtewissen!
LaMDA: LaMDA (Language Model for Dialogue Applications) von Google AI ist ein weiteres Sprachmodell mit großem Potenzial. Es wurde mit einem Datensatz von 1,56T Wörtern trainiert und kann komplexe Gespräche führen und verschiedene kreative Textformate generieren. Der genaue Rechenaufwand ist nicht bekannt, liegt aber wahrscheinlich deutlich über 10^25 FLOPs.
uDao 2.0:* WuDao 2.0 ist ein von der Beijing Academy of Artificial Intelligence (BAAI) entwickeltes Sprachmodell, das mit einem Datensatz von 1,75T Wörtern trainiert wurde. Es kann verschiedene Aufgaben wie Textgenerierung, Übersetzung und Beantwortung von Fragen bewältigen. Der kumulative Rechenaufwand liegt bei 1.75T FLOPs und damit knapp unter der Grenze von 10^25 FLOPs.
Fazit: Der kumulative Rechenaufwand von 10^25 FLOPs ist enorm und entspricht der Rechenleistung, die für extrem komplexe und rechenintensive Aufgaben benötigt wird. KI-Modelle, die diese Schwelle überschreiten, haben daher ein hohes Potenzial, die Gesellschaft zu beeinflussen und sollten daher besonders streng reguliert werden.
Vorschrift: Spezielle Anforderungen für GPAI-Modelle mit systemischem Risiko sind in Titel 8a (Art. 52a ff.) des EU AI Acts festgelegt. Diese Modelle müssen bestimmte Kriterien erfüllen oder es muss von der Kommission angenommen werden, dass sie solche Kriterien erfüllen, um als solche eingestuft zu werden.
Zusammenfassung: GPAI-Modelle mit systemischem Risiko stellen aufgrund ihrer breiten Anwendbarkeit und hohen Wirkungskapazität besondere Herausforderungen dar. Sie erfordern eine sorgfältige Überwachung und Regulierung, um potenzielle negative Auswirkungen auf die Gesellschaft zu vermeiden. Stichwort: AGI
SONSTIGE KI-SYSTEME
Alle KI-Systeme, die nicht unter die vorbezeichneten Kategorien fallen, gelten als sonstige KI-Systeme.
Es ist wichtig zu beachten, dass die Abgrenzung zwischen den Kategorien nicht immer eindeutig ist. Im Zweifelsfall sollte man sich an die zuständige Aufsichtsbehörde wenden.
Grundprinzip: KI-Systeme, die nicht als verboten oder Hochrisiko eingestuft werden, unterliegen weniger strengen Regulierungen.
Vorschrift: Die Anforderungen an diese KI-Systeme sind im Gesetzestext weniger detailliert und ergeben sich meist aus allgemeineren Prinzipien und der Anwendung von Standards.
Besonderheit: Für diese Kategorie von KI-Systemen gibt es mehr Flexibilität und Gestaltungsspielraum in Bezug auf Compliance und Integration in Geschäftsprozesse.
RECHTSFOLGEN
TECHNISCHE ANFORDERUNGEN
FÜR JEDES KI-SYSTEM
Transparenz:
Implementierung von Funktionen zur Offenlegung der Funktionsweise des KI-Systems und seiner Nutzung von Daten.
Erstellung von leicht zugänglichen und verständlichen Erklärungen für Endnutzer und andere interessierte Parteien.
Verwendung von standardisierten Formaten und Schnittstellen für die Offenlegung von Informationen.
Ethische Richtlinien:
Einhaltung der in der EU AI Act Verordnung festgelegten ethischen Grundsätze, wie z. B. Fairness, Transparenz, Rechenschaftspflicht und Vermeidung von Schaden.
Entwicklung und Implementierung eines unternehmenseigenen Ethikkodex für die Nutzung von KI-Systemen.
Berücksichtigung ethischer Aspekte in allen Phasen des Lebenszyklus eines KI-Systems, von der Entwicklung bis zur Nutzung und Außerbetriebnahme.
Aufsichtsbehörden:
Kenntnis der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörden für die Durchsetzung des EU AI Acts.
Benennung eines Ansprechpartners für die Zusammenarbeit mit den Aufsichtsbehörden.
Regelmäßige Überprüfung der Compliance mit den Anforderungen des EU AI Acts.
Betroffenenrechte:
Implementierung von Verfahren zur Wahrung der Rechte der Betroffenen, z. B. das Recht auf Auskunft, Berichtigung, Löschung, Widerspruch und Einschränkung der Verarbeitung.
Bereitstellung von leicht zugänglichen und verständlichen Informationen über die Rechte der Betroffenen.
Schulung der Mitarbeiter im Umgang mit Anfragen von Betroffenen (AI Literacy).
Dokumentation:
Erstellung und Pflege einer umfassenden Dokumentation über das KI-System, einschließlich seiner Architektur, Funktionsweise, Datenquellen und -verwendung, Risiken und ethischen Bewertungen.
Sicherstellen, dass die Dokumentation aktuell und zugänglich ist.
Berichtspflichten:
Erfüllung aller Berichtspflichten, die in der EU AI Act Verordnung festgelegt sind.
Führen von Aufzeichnungen über die Nutzung des KI-Systems und die damit verbundenen Risiken.
ZUSÄTZLICHE ANFORDERUNGEN FÜR GPAI-SYSTEME
Einbettung in das Foundation-Modell:
Sicherstellen, dass die Maßnahmen zur Risikoklassifizierung und die daraus resultierenden Verpflichtungen in die bestehenden organisatorischen und technischen Strukturen des Foundation-Modells integriert werden.
Entwicklung eines einheitlichen Ansatzes für die Compliance mit dem EU AI Act auf Ebene des Foundation-Modells.
Zusammenarbeit mit anderen Akteuren des Foundation-Modells, um die Einhaltung der Anforderungen zu gewährleisten.
ZUSÄTZLICHE ANFORDERUNGEN FÜR GPAI-SYSTEME MIT SYSTEMISCHEM RISIKO
Model Evaluation: Durchführung einer Modellbewertung.
Dokumentation und Meldung von schweren Vorfällen: Verfolgung, Dokumentation und Meldung von schweren Vorfällen sowie von Abhilfemaßnahmen an das AI Office.
Cybersicherheit und physische Infrastruktur: Sicherstellung eines angemessenen Niveaus an Cybersicherheit und der physischen Infrastruktur.
Systemic Risks at Union Level: Bewertung und Minderung möglicher systemischer Risiken auf Unionsebene.
Besonderheit: Die Anbieter von GPAI-Modellen mit systemischem Risiko müssen die Kommission unverzüglich informieren, dass das Modell die benannten Anforderungen erfüllt oder erfüllen wird. Sie müssen auch zusätzliche Pflichten gemäß Art. 52d einhalten.
Entscheidungsprozess der Kommission: Die Kommission entscheidet auf Basis von Annex YY/IXc darüber, ob das betroffene GPAI-Modell als solches mit systemischem Risiko eingestuft wird oder nicht, basierend auf den Meldungen der Anbieter oder eigenem Ermessen.
ZUSÄTZLICHE ANFORDERUNGEN FÜR HOCHRISIKO-KI-SYSTEME
Risikomanagement:
Implementierung eines umfassenden Risikomanagementsystems zur Identifizierung, Bewertung und Steuerung der Risiken im Zusammenhang mit dem KI-System.
Regelmäßige Überprüfung und Aktualisierung des Risikomanagementsystems.
Daten und Data Governance:
Einhaltung der in der EU AI Act Verordnung festgelegten Anforderungen an die Datenverarbeitung und Data Governance.
Implementierung von Maßnahmen zur Sicherstellung der Qualität, Sicherheit und Integrität der Daten.
Etablierung eines transparenten Systems für die Datenzugriffsrechte.
Technische Dokumentation:
Erstellung einer detaillierten technischen Dokumentation des KI-Systems, einschließlich seiner Architektur, Algorithmen, Datensätze und Modellparameter.
Verwendung standardisierter Formate und Schnittstellen für die technische Dokumentation.
Menschliche Überwachung und Feedback:
Implementierung von Mechanismen zur menschlichen Überwachung und Kontrolle des KI-Systems.
Sicherstellen, dass Menschen die Möglichkeit haben, in kritischen Situationen einzugreifen und Entscheidungen zu treffen.
Audit-Trails:
Einführung eines Systems zur Nachverfolgung aller Aktivitäten des KI-Systems, einschließlich der Eingabedaten, der Entscheidungen und der Outputs.
Sicherstellen, dass die Audit-Trails für die Aufsichtsbehörden zugänglich sind.
Transparenz und Kommunikation:
Bereitstellung von transparenten Informationen über das KI-System und seine Nutzung an alle interessierten Parteien.
Entwicklung eines Kommunikationsplans zur Information der Öffentlichkeit über das KI-System und seine potenziellen Auswirkungen.
CE-Konformitätsbewertung:
Durchführung einer CE-Konformitätsbewertung durch eine benannte Stelle, um die Konformität des KI-Systems mit den Anforderungen des EU AI Acts zu bestätigen.
FORTLAUFEND
Regelmäßige Überwachung der Entwicklungen im Bereich des EU AI Acts und anderer relevanter Regulierungen sowie Anpassung interner Prozesse und Verfahren an neue Anforderungen.
QUELLEN
PRIMÄRQUELLEN
https://eur-lex.europa.eu/search.html?scope=EURLEX&text=0106cod&lang=en&type=quick&qid=1707752821504
Fast Primärquelle, enthält die besten Verweise auf die Originaldokumente: https://www.consilium.europa.eu/en/press/press-releases/2023/12/09/artificial-intelligence-act-council-and-parliament-strike-a-deal-on-the-first-worldwide-rules-for-ai/
URSPRUNGSTEXT
ÄNDERUNGEN
SEKUNDÄRQUELLEN
WEB
https://www.youtube.com/watch?v=hp6je00HcqI&t=1739s (last visit @: 2024-02-08 - 10:07) Podiumsdiskussion. U.a. mit Dr. Johann Bade, ein Experte für KI-Regulierung, der auch für die Humboldt-Universität arbeitet, Jörg Bienert, Gründer und Präsident des Bundesverbands künstliche Intelligenz, und Robert Kilian, Rechtsanwalt und Rechtsberater für KI in Unternehmen.
https://www.youtube.com/watch?v=-QIB6pIIeWo&t=1484 (last visit @: 2024-02-09 - 09:48) - Deutscher Bundestag: Sachverständige bewerten EU-Verordnung zur KI unterschiedlich
Für die ganz Eiligenhttps://www.tagesschau.de/ausland/europa/ki-gesetz-eu-100.html (last visit @: 2024-02-08 - 14:33)
https://artificialintelligenceact.eu/de/ai-act-explorer/ (last visit @: 2024-02-08 - 16:34)
https://cms.law/en/svk/publication/comprehensive-guidance-for-ai-businesses/where-are-we-now-how-much-time-for-compliance-readiness-do-we-have (last visit @: 2024-02-08 - 16:41)
BÜCHER
Dr. Rudolf Streinz em. o. Professor an der Ludwig-Maximilians-Universität München, in: Schwerpunktbereich Europarecht, 12., neu bearbeitete Auflage, 2023
AUFSÄTZE
RA Dr. David Bomhard / RA Dr. Jonas Siglmüller, in: RDI 2024, 25 - "AI Act - das Trilogergebnis" (hervorragender juristischer Aufsatz!)