Anforderungen an Hersteller und Nutzer von KI nach dem KI Act
Mit der Verordnung (EU) 2024/1689, dem sogenannten KI Act, hat die Europäische Union erstmals ein umfassendes Regelwerk zur Regulierung Künstlicher Intelligenz eingeführt. Ziel ist es, Innovation zu fördern, gleichzeitig jedoch Risiken zu minimieren und einen verantwortungsvollen Umgang mit KI-Technologien sicherzustellen.
Anforderungen an Hersteller
Hersteller von KI-Systemen sind verpflichtet, je nach Risikokategorie ihrer Technologie unterschiedliche Sicherheits- und Transparenzmaßnahmen umzusetzen. Der KI Act unterscheidet zwischen vier Risikostufen:
- Unzulässige KI: Systeme, die als unannehmbares Risiko eingestuft werden, sind in der EU verboten. Dazu gehören unter anderem manipulative KI-Technologien, die das Verhalten von Nutzern unterbewusst beeinflussen, sowie biometrische Identifikation in Echtzeit im öffentlichen Raum, sofern keine spezifischen gesetzlichen Ausnahmen bestehen. Beispiel: Ein KI-gestütztes System, das durch subtile psychologische Tricks Menschen zu Kaufentscheidungen drängt, wäre verboten.
- Hochrisiko-KI: Diese Kategorie umfasst Systeme, die in sicherheitskritischen oder gesellschaftlich sensiblen Bereichen eingesetzt werden. Dazu zählen KI-Anwendungen in der kritischen Infrastruktur, im Gesundheitswesen, in der Strafverfolgung, im Finanzsektor oder bei automatisierten Entscheidungsprozessen im Personalmanagement. Hersteller solcher Systeme müssen eine Risikobewertung durchführen, umfassende Datenqualitätssicherungen implementieren und regelmäßige Überwachung und Tests sicherstellen. Zudem sind sie zur Registrierung in der EU-Datenbank für Hochrisiko-KI verpflichtet. Beispiel: Eine KI, die in einem Krankenhaus zur automatisierten Diagnose von Krankheiten eingesetzt wird, muss strenge Validierungsverfahren durchlaufen.
- Begrenztes Risiko: KI-Systeme mit potenziellen, aber nicht kritischen Risiken fallen in diese Kategorie. Hierzu gehören beispielsweise Chatbots oder automatisierte Empfehlungssysteme. Für diese Systeme gelten Transparenzpflichten, etwa die klare Kennzeichnung von KI-generierten Inhalten oder die Offenlegung der Funktionsweise gegenüber den Nutzern. Beispiel: Ein KI-gestützter Kundenservice-Chatbot, der Nutzerfragen beantwortet, muss klar machen, dass es sich um eine KI handelt.
- Minimales Risiko: KI-Systeme, die keine nennenswerten Risiken bergen, unterliegen keinen besonderen Vorschriften. Beispiele hierfür sind KI-gestützte Übersetzungsdienste oder Textverarbeitungstools. Beispiel: Eine automatische Rechtschreibprüfung in einer Textverarbeitungssoftware fällt unter diese Kategorie.
KI-Modelle, die als generativ oder allgemein einsetzbar gelten, müssen ebenfalls Transparenzpflichten erfüllen, dazu gehören die Kennzeichnung von KI-generierten Inhalten sowie die Dokumentation über die Herkunft der Trainingsdaten.
Anforderungen an Nutzer
Unternehmen und Organisationen, die KI-Systeme einsetzen, müssen sicherstellen, dass sie diese verantwortungsbewusst und regelkonform nutzen. Hochrisiko-KI darf nur eingesetzt werden, wenn sie vollständig zertifiziert ist und die vorgeschriebenen Sicherheitsstandards erfüllt. Zudem sind Nutzer verpflichtet, ihre Mitarbeitenden über den Einsatz von KI zu informieren, insbesondere in sensiblen Bereichen wie Personalmanagement oder automatisierter Entscheidungsfindung. Wer KI für die Interaktion mit Verbrauchern nutzt, muss sicherstellen, dass diese erkennen können, wenn sie mit einer KI kommunizieren.
Strafen und Umsetzung
Unternehmen, die gegen den KI Act verstoßen, drohen empfindliche Strafen. Je nach Verstoß können Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes verhängt werden. Die Verordnung tritt schrittweise in Kraft: Während Grundprinzipien bereits seit 2024 gelten, müssen Hochrisiko-KI-Systeme spätestens bis 2026 vollständig konform sein. Unternehmen sollten frühzeitig Maßnahmen ergreifen, um ihre KI-Anwendungen an die neuen Anforderungen anzupassen, um Haftungsrisiken zu vermeiden.