In unserem letzten Blogbeitrag haben wir uns mit der Frage beschäftigt, welche KI-Systeme als hochriskant eingestuft werden. Denn schwerpunktmäßig formuliert die neue EU-Verordnung Anforderungen an Hochrisiko-KI-Systeme. Im vorliegenden Beitrag soll es nun darum gehen, welche Unternehmen von der neuen EU-Verordnung betroffen sind.
Unterschiedliche Akteure
Der AI Act unterscheidet zwischen Betreibern und Anbietern von KI-Systemen oder KI-Modellen mit allgemeinem Verwendungszweck, aber auch an Händler und Einführer entlang der KI-Wertschöpfungskette werden Anforderungen gestellt.
- Betreiber ist gemäß Art. 3 Ziffer 4 AI Act eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet.
- Anbieter ist gemäß Art. 3 Ziffer 3 eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck – entweder mit oder ohne systemisches Risiko – entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr oder in Betrieb bringt, sei es entgeltlich oder unentgeltlich.
- Einführer ist gemäß Art. 3 Ziffer 6 eine in der Union ansässige oder niedergelassene natürliche oder juristische Person, die ein KI-System in Verkehr bringt, das den Namen oder die Handelsmarke einer in einem Drittland niedergelassenen natürlichen oder juristischen Person trägt.
- Händler ist gemäß Art. 3 Ziffer 7 und 8 eine natürliche oder juristische Person in der Lieferkette, die ein KI-System auf dem Unionsmarkt bereitstellt bzw. vertreibt, mit Ausnahme des Anbieters oder des Einführers.
KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck
Neben den verschiedenen Akteuren unterscheidet die Verordnung auch zwischen KI-Systemen und KI-Modellen mit allgemeinem Verwendungszweck – einmal ohne und einmal mit systemischem Risiko.
Ein KI-System ist gemäß Art. 3 Ziffer 1 AI Act „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.“
Inwieweit ein KI-System als hochriskant eingestuft wird, haben wir ausführlich in diesem Blogbeitrag erläutert. Darüber hinaus verwendet die Verordnung noch den Begriff „bestimmte KI-Systeme“, hierunter fallen u.a. Emotionserkennungssysteme, Systeme zur biometrischen Kategorisierung, ChatBots und Systeme zur Erzeugung von Audio-, Bild- Video- oder Textinhalten.
Ein KI-Modell mit allgemeinem Verwendungszweck ist nach Art. 3 Ziffer 63 AI-Act ein KI-Modell, „das eine erhebliche allgemeine Verwendbarkeit aufweist und in der Lage ist, unabhängig von der Art und Weise seines Inverkehrbringens ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen, und das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert.“ Bei einem KI-Modell mit allgemeinem Verwendungszweck wird gemäß Art. 51 Abs. 2 AI Act. angenommen, dass es über Fähigkeiten mit hohem Wirkungsgrad verfügt und die kumulierte Menge der für sein Training verwendeten Berechnungen, gemessen in Gleitkommaoperationen, mehr als 1025 beträgt.
KI-Modelle mit allgemeinem Verwendungszweck weisen zusätzlich ein systemisches Risiko auf, wenn sie eine hohe Wirkkraft und eine hohe Reichweite entfalten, deren mögliche negative Risiken erhebliche Folgen für die öffentliche Gesundheit, die Sicherheit, die öffentliche Sicherheit, die Grundrechte oder die Gesellschaft insgesamt haben können und die sich in großem Umfang über die gesamte Wertschöpfungskette hinweg verbreiten können.
Unterschiedliche Anforderungen und Pflichten
Insgesamt werden im AI Act zahlreiche Anforderungen und Pflichten an unterschiedlicher Stelle für folgende Akteure formuliert.
Betreiber von KI-Systemen:
- Art. 4: KI-Kompetenz
- Art. 5: Verbotene Praktiken im KI-Bereich
Betreiber von Hochrisiko-KI-Systemen:
- Art.4: KI-Kompetenz
- Art. 5: Verbotene Praktiken im KI-Bereich
- Art. 26: Pflichten der Betreiber von Hochrisiko-KI-Systemen
- Art. 27: Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme
Nicht alle Betreiber müssen eine Grundrechte-Folgenabschätzung durchführen, sondern nur Einrichtungen des öffentlichen Rechts oder private Einrichtungen, die öffentliche Dienste erbringen, oder Betreiber, die Systeme zur Prüfung der Kreditwürdigkeit, zur Bonitätsbewertung oder zur Risikobewertung und Preisbildung bei Lebens- und Krankenversicherungen einsetzen.
Betreiber von bestimmten KI-Systemen:
- Art. 4: KI-Kompetenz
- Art. 5: Verbotene Praktiken im KI-Bereich
- Art. 50 Abs. 3, 4, 5 und 6: Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme
Anbieter von KI-Systemen:
- Art. 4: KI-Kompetenz
- Art. 5: Verbotene Praktiken im KI-Bereich
- Art. 6 Abs. 4: Dokumentations- und Registrierungspflicht in bestimmten Sonderfällen
Anbieter von Hochrisiko-KI-Systemen
- Art. 4: KI-Kompetenz
- Art. 5: Verbotene Praktiken im KI-Bereich
- Art. 8: Einhaltung der Anforderungen
- Art. 9: Risikomanagementsystem
- Art. 10: Daten und Daten-Governance
- Art. 11: Technische Dokumentation
- Art. 12: Aufzeichnungspflichten
- Art. 13: Transparenz und Bereitstellung von Informationen für die Betreiber
- Art. 14: Menschliche Aufsicht
- Art. 15: Genauigkeit, Robustheit und Cybersicherheit
- Art. 16: Pflichten der Anbieter von Hochrisiko-KI-Systemen
- Art. 17: Qualitätsmanagementsystem
- Art. 18: Aufbewahrung der Dokumentation
- Art. 19: Automatisch erzeugte Protokolle
- Art. 20: Korrekturmaßnahmen und Informationspflicht
- Art. 21: Zusammenarbeit mit den zuständigen Behörden
- Art. 22: Bevollmächtigte der Anbieter von Hochrisiko-KI-Systemen
- Art. 43: Konformitätsbewertung
- Art. 47: EU-Konformitätserklärung
- Art. 49: Registrierung
Anbieter von bestimmten KI-Systemen:
- Art. 4: KI-Kompetenz
- Art. 5: Verbotene Praktiken im KI-Bereich
- Art. 50 Abs. 1, 2, 5 und 6: Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme
Anbieter von KI-Modellen mit allgemeinem Verwendungszweck:
- Art. 4: KI-Kompetenz
- Art. 5: Verbotene Praktiken im KI-Bereich
- Art. 53: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck
- Art. 54: Bevollmächtigte der Anbieter von KI-Modellen mit allgemeinem Verwendungszweck
Anbieter von KI-Modellen mit allgemeinem Verwendungszweck mit systemischem Risiko:
- Art. 4: KI-Kompetenz
- Art. 5: Verbotene Praktiken im KI-Bereich
- Art. 52: Verfahren
- Art. 53: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck
- Art. 54: Bevollmächtigte der Anbieter von KI-Modellen mit allgemeinem Verwendungszweck
- Art. 55: Pflichten der Anbieter von KI-Modellen mit allgemeinem Verwendungszweck mit systemischem Risiko
Einführer:
- Art. 5: Verbotene Praktiken im KI-Bereich
- Art. 16 i.V.m. Art. 25
- Art.23
Händler:
- Art. 5: Verbotene Praktiken im KI-Bereich
- Art. 16 i.V.m. Art. 25
- Art. 24
Soweit erst einmal ein Überblick, welche Artikel für welche Akteure von Bedeutung sind. Im nächsten Beitrag werden wir uns ausführlich damit beschäftigen, welche Anforderungen konkret an Anbieter hochriskanter KI-Systeme gestellt werden.