Eine vertrauenswürdige Künstliche Intelligenz kann vielerlei Vorteile mit sich bringen, etwa eine Verbesserung im Bereich der Gesundheitsversorgung, umweltverträgliche und sicherere Verkehrsmittel, eine bessere Nutzung der Energie-Ressourcen durch effizientere Fertigung und damit letztlich geringere Kosten. Andererseits birgt sie Probleme, wie Undurchsichtigkeit, Komplexität und den sogenannten Bias. Der Rat der EU forderte daher im Oktober 2020, dass diese Punkte angegangen werden müssten, um u. a. deren Vereinbarkeit mit den Grundrechten sicherzustellen (vgl. hier).

Die EU-Kommission hat im April 2021 einen Entwurf einer Verordnung zur Regulierung der Nutzung Künstlicher Intelligenz vorgelegt, der einerseits Innovationen Rechnung tragen und andererseits dazu beitragen soll, das Vertrauen der Menschen in diese Technologie zu fördern. Mit den neuen Vorschriften soll sichergestellt werden, dass KI-Systeme, die in der EU verwendet werden, sicher, transparent, ethisch, unparteiisch und unter menschlicher Kontrolle sind. Dazu sollen KI-Systeme in vier Risikostufen eingeteilt werden und je nach Risiko sollen bestimmte Anforderung an deren Einsatz geknüpft werden.

Das Risikosystem

1. Unzulässig:

Alles, was als eindeutige Bedrohung für EU-Bürger angesehen wird, soll verboten werden: z. B. die Bewertung sozialen Verhaltens durch Behörden (Social Scoring) oder Spielzeug mit Sprachassistenten, das Kinder zu riskantem Verhalten verleiten könnte.

2. Hohes Risiko:

Alle Systeme müssen sorgfältig geprüft werden, bevor sie in Verkehr gebracht werden sowie während ihres gesamten Lebenszyklus.

  • Kritische Infrastrukturen (z. B. im Verkehr), in denen Leben und Gesundheit von Personen gefährdet werden könnten
  • Schul- oder Berufsausbildung, wenn der Zugang einer Person zur Bildung und zum Berufsleben beeinträchtigt werden könnte (z. B. Bewertung von Prüfungen)
  • Sicherheitskomponenten von Produkten (z. B. eine KI-Anwendung für die roboterassistierte Chirurgie)
  • Beschäftigung, Personalmanagement und Zugang zu selbstständiger Tätigkeit (z. B. Software zur Auswertung von Lebensläufen für Einstellungsverfahren)
  • Zentrale private und öffentliche Dienstleistungen (z. B. Bewertung der Kreditwürdigkeit, wodurch Darlehen verwehrt werden könnten)
  • Strafverfolgung, die in die Grundrechte der Menschen eingreifen könnte (z. B. Überprüfung der Echtheit von Beweismitteln)
  • Migration, Asyl und Grenzkontrolle (z. B. Überprüfung der Echtheit von Reisedokumenten)
  • Rechtspflege und demokratische Prozesse (z. B. Anwendung der Rechtsvorschriften auf konkrete Sachverhalte)

3. Begrenztes Risiko:

Für KI-Systeme wie sogenannte Chatbots gelten minimale Transparenzverpflichtungen, die es den mit ihnen interagierenden Nutzenden ermöglichen sollen, eine informierte Entscheidung darüber zu treffen, ob sie die Anwendung weiter nutzen wollen oder nicht.

4. Minimales Risiko:

Kostenlose Nutzung von Anwendungen wie KI-gestützten Videospielen oder Spamfiltern. Die große Mehrzahl der KI-Systeme fällt in diese Kategorie, in der die neuen Vorschriften nicht greifen, da sie nur ein minimales oder kein Risiko für die Rechte oder die Sicherheit der Menschen darstellen.

Transparenzpflichten

Daneben soll es Transparenzpflichten für bestimmte KI-Systeme geben. So sieht es Art. 52 des Vorschlags vor. Die Vorschrift enthält auch eine Design-Anforderung, dahingehend, dass KI-Systeme, die für die Interaktion mit Menschen bestimmt sind, so konzipiert und entwickelt werden müssen, dass den Personen mitgeteilt wird, dass sie es mit einem KI-System zu tun haben, soweit dies nicht aufgrund der Umstände und des Kontexts der Nutzung offensichtlich ist. Ferner müssen bei der Verwendung von Emotionserkennungssystemen oder Systemen zur biometrischen Kategorisierung die davon betroffenen Menschen über den Betrieb des Systems informiert werden. Ebenso muss bei sog. Deepfakes offengelegt werden, dass die Inhalte künstlich erzeugt oder manipuliert wurden. Ausnahmen von der Transparenzpflicht gibt es im Bereich der Strafverfolgung.

Zudem soll nach Art. 60 eine eigenständige, öffentlich zugängliche Datenbank mit Informationen über Hochrisiko-KI-Systeme geschaffen werden.

KI-Spielwiese mit Aufsicht

Interessant ist auch die Regelung in Art. 53, die Datenschutzbehörden in Maßnahmen zur Innovationsförderung in Form von KI-Reallaboren einbezieht. Danach werden von den zuständigen Behörden eines oder mehrerer Mitgliedstaaten oder vom Europäischen Datenschutzbeauftragten KI-Reallabore eingerichtet, die eine kontrollierte Umgebung bieten sollen, um die Entwicklung, Erprobung und Validierung innovativer KI-Systeme für einen begrenzten Zeitraum vor ihrem Inverkehrbringen oder ihrer Inbetriebnahme zu erleichtern, unter direkter Aufsicht und Anleitung der Behörden.

Was bedeutet die Verordnung für Unternehmen?

Für Wirtschaftsunternehmen von Bedeutung sind insbesondere Anwendungen, die als Hochrisiko-System eingestuft werden. Um die Anforderungen aus der Verordnung erfüllen zu können, wird ein Risikomanagementsystem einzurichten sein, mit dem u. a. Entscheidungsvorgänge, Datenqualität und Transparenzmaßnahmen dokumentiert und nachgehalten werden können. Zu den Hochrisikosystemen zählen zum Beispiel KI-basierte Anwendungen im Personalmanagement.

Und wann kommt die Verordnung?

Der abschließende Trilog zwischen der Europäischen Kommission, dem Rat der Europäischen Union und dem Europäischen Parlament sollte Ende dieses Jahres stattfinden und die KI-Verordnung demnach Ende 2022 oder Anfang 2023 in Kraft treten. Derzeit sieht es so aus, als lasse die Verordnung noch etwas auf sich warten. Wir bleiben dran.