DER NETZWERK INSIDER – Ausgabe September 2023

Die Organe der Europäischen Union (EU), hauptsächlich der EU-Rat, die EU-Kommission und das Europäische Parlament, befassen sich mit dem Entwurf eines KI-Gesetzes (Artificial Intelligence Act, AIA). Der vorliegende Beitrag geht auf einige Aspekte des bisherigen Entwurfs ein. Die damit verbundenen gesetzlichen und regulatorischen Entwicklungen werden höchstwahrscheinlich gravierende Auswirkungen auf die Arbeit aller Menschen haben, die Künstliche Intelligenz (KI) nutzen oder nutzen werden.

Gesetzliche Definition von KI

Zunächst etwas aus meiner Sicht Positives: Im Anhang I des Vorschlags für eine „Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union“ (so der sperrige Titel des Entwurfs) ist eine gesetzliche Definition von KI enthalten. Demnach weist KI die folgenden Hauptmerkmale und Konzepte auf:

• Konzepte des maschinellen Lernens, mit beaufsichtigtem, unbeaufsichtigtem und bestärkendem Lernen unter Verwendung einer breiten Palette von Methoden, einschließlich des tiefen Lernens (Deep Learning),
• Durch Logik und Wissen gestützte Konzepte, einschließlich Wissensrepräsentation, induktiver (logischer) Programmierung, Wissensgrundlagen, Inferenz- und Deduktionsmaschinen, (symbolischer) Schlussfolgerungs- und Expertensysteme, sowie
• statistische Ansätze, Bayessche Schätz-, Such- und Optimierungsmethoden.

Um weltweit eindeutige Begriffe zu verwenden, kann man bei einem System von KI sprechen, wenn es Machine Learning (ML), Reasoning und Modelling anwendet.

Gegenstand des KI-Gesetzes

Laut Artikel 1 des vorliegenden Entwurfs ist der Gegenstand des vorliegenden Entwurfs wie folgt:

• Vorschriften für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI
• Verbote bestimmter Praktiken im KI-Bereich
• Anforderungen an Hochrisiko-KI-Systeme und Verpflichtungen für Betreiber solcher Systeme
• Transparenzvorschriften für KI-Systeme, die mit natürlichen Personen interagieren sollen, für KI-Systeme zur Emotionserkennung und zur biometrischen Kategorisierung sowie für KI-Systeme, die zum Erzeugen oder Manipulieren von Bild-, Ton- oder Videoinhalten verwendet werden
• Vorschriften für die Marktbeobachtung und Marktüberwachung

Unter Hochrisiko-KI-Systemen werden Systeme für folgende Zwecke verstanden:

• Biometrische Echtzeit-Fernidentifizierung und nachträgliche biometrische Fernidentifizierung natürlicher Personen
• Betrieb des Verkehrswesens sowie der Wasser-, Gas-, Wärme- und Elektrizitätsversorgung
• Entscheidungen über den Zugang oder die Zuweisung natürlicher Personen zu Einrichtungen der allgemeinen und beruflichen Bildung
• Bewertung von Schülern in Bildungseinrichtungen und für die Bewertung der Teilnehmer an Tests für die Zulassung zu Bildungseinrichtungen
• Einstellung oder Auswahl natürlicher Personen für freie Stellen, Sichten oder Filtern von Bewerbungen und das Bewerten von Bewerbern in Vorstellungsgesprächen oder Tests
• Entscheidungen über Beförderungen und Kündigungen von Arbeitsvertragsverhältnissen, für die Aufgabenzuweisung sowie für die Überwachung und Bewertung der Leistung und des Verhaltens von Personen in Beschäftigungsverhältnissen
• Beurteilung, ob natürliche Personen Anspruch auf öffentliche Unterstützungsleistungen und -dienste haben und ob solche Leistungen zu gewähren, einzuschränken, zu widerrufen oder zurückzufordern sind
• Kreditwürdigkeitsprüfung und Kreditpunktebewertung
• Entsendung oder Priorisierung des Einsatzes von Not- und Rettungsdiensten
• Zwecke der Strafverfolgung
• Zwecke der Migration, Asyl und Grenzkontrolle

Artikel 2 nimmt KI-Systeme, die ausschließlich für militärische Zwecke entwickelt oder verwendet werden, vom Anwendungsbereich des KI-Gesetzes aus.

Verbote

Der Entwurf des KI-Gesetzes enthält im Artikel 5 u.a. die folgenden ausdrücklichen Verbote:

• Techniken der unterschwelligen Beeinflussung einer Person, um das Verhalten einer Person in einer Weise wesentlich zu beeinflussen, die dieser Person oder einer anderen Person einen Schaden zufügen kann
• Ausnutzung einer Schwäche oder Schutzbedürftigkeit einer bestimmten Gruppe von Personen, um das Verhalten einer dieser Gruppe angehörenden Person in einer Weise wesentlich zu beeinflussen, die dieser Person oder anderen einen Schaden zufügen kann
• Soziale Bewertung von Personen durch Behörden
• Verwendung biometrischer Fernidentifizierungssysteme in öffentlichen Räumen zu Strafverfolgungszwecken, mit folgenden von der Justiz zu genehmigenden Ausnahmen:
  • Suche nach potenziellen Opfern von Straftaten oder nach vermissten Kindern
  • Abwenden einer konkreten, erheblichen und unmittelbaren Gefahr für das Leben oder die körperliche Unversehrtheit natürlicher Personen oder eines Terroranschlags
  • Erkennen, Aufspüren, Identifizieren oder Verfolgen eines Täters oder Verdächtigen einer Straftat, der in dem betreffenden Mitgliedstaat nach dessen Recht mit einer Freiheitsstrafe oder einer freiheitsentziehenden Maßregel der Sicherung im Höchstmaß von mindestens drei Jahren bedroht ist

Anforderungen an Hochrisiko-KI-Systeme

Kapitel 2 des Entwurfs enthält die Anforderungen an Hochrisiko-KI-Systeme. Diese Systeme müssen die folgenden Anforderungen erfüllen:

• Vorhandensein eines Risikomanagementsystems
• Existenz von Daten-Governance- und Datenverwaltungsverfahren
• Technische Dokumentation
• Protokollierung von Vorgängen und Ereignissen
• Transparenz und Bereitstellung von Informationen für die Nutzer
• Existenz von Einrichtungen für menschliche Aufsicht
• Genauigkeit, Robustheit und Cybersicherheit

Normen und Konformitätsbewertung

Unerlässlich für die Anwendung des KI-Gesetzes sind Normen und Verfahren für die Konformitätsbewertung von KI-Systemen. Wo es keine Normen gibt, die bestimmte Eigenschaften von KI-Systemen regeln, kann die Kommission Spezifikationen für die Anforderungen an KI-Systeme festlegen.

Die Konformitätsbewertung erfolgt entweder auf der Grundlage einer internen Kontrolle oder auf der Grundlage der Bewertung des Qualitätsmanagementsystems und der Bewertung der technischen Dokumentation durch eine der dafür zuständigen Stellen.

So viel ist sicher: Compliance-Aufwand

Auch wenn bis zur Verabschiedung des KI-Gesetzes am vorliegenden Entwurf Änderungen vorgenommen werden, gilt als sicher, dass der Betrieb und die Nutzung von KI zumindest für die benannten Hochrisikobereiche mit einem Compliance-Aufwand verbunden sein werden, ergänzt durch einen Verhaltenskodex für KI-Systeme, die kein hohes Risiko darstellen. Die Praktikabilität der Compliance-Vorschriften muss sich erst erweisen. Wir werden irgendwo im Spektrum zwischen laschen Kontrollen und Kompatibilitätsprüfungen bis hin zu einem Bürokratiemonster landen. Es empfiehlt sich auf jeden Fall, das KI-Gesetz zu kennen.