Pflichten hängen vom jeweiligen Anwendungsbereich des KI-Systems ab

Der AI Act verfolgt einen risikobasierten Ansatz. Hierfür teilt er KI-Systeme in Risikoklassen ein. Maßgeblich ist nicht die Technik selbst, sondern die Art der Anwendung. Je nach Risiko gelten strengere oder weniger strenge Anforderungen. Künstliche Intelligenz, die ein unannehmbares Risiko mit sich bringt, ist verboten. Hochrisikosysteme sind Systeme, die die Sicherheit oder Grundrechte gefährden. Welche Pflichten jeweils für ein KI-System gelten, hängt vom individuellen Anwendungsbereich ab. Das gilt auch für generative KI.

Für KI-Systeme sind vor allem Transparenzpflichten zu beachten

Der AI Act sieht für KI-Systeme in Art. 50 Transparenzpflichten vor:

• Natürliche Personen müssen informiert werden, dass sie mit einem KI-System interagieren.
• Wenn künstliche Intelligenz in einer nicht verbotenen Weise zur Emotionserkennung oder biometrischen Identifizierung bei natürlichen Personen eingesetzt wird, müssen diese darüber informiert werden.
• Deepfake-Inhalte müssen als Inhalte offengelegt werden, die künstlich erzeugt oder manipuliert wurden.

Wird die generative KI aufgrund ihrer Anwendung als Hochrisiko-KI-System eingestuft, gelten sehr strenge regulatorische Anforderungen:

• Das Unternehmen muss ein angemessenes Risikomanagement-System über den gesamten Lebenszyklus der KI gewährleisten.
• Angemessene Daten-Governance- und Datenverwaltungsverfahren müssen sichergestellt werden.
• Unternehmen müssen die Einhaltung der Pflichten technisch dokumentieren.
• Ereignisse sind zu protokollieren.
• Hochrisikosituationen müssen aufgezeichnet und nachverfolgt werden.
• Zu protokollieren sind auch Verwendung, Daten und Mitarbeiterkennung.
• Hochrisiko-KI-Systeme sind in der EU-Datenbank zu registrieren.

Für GPAI-Modelle gelten eigene Anforderungen

Der AI Act sah zunächst nur Regeln für KI-Systeme vor, also Anwendungen mit einem speziellen Einsatzgebiet. Später im Laufe des Gesetzgebungsprozesses kamen dann auch Vorschriften für KI-Modelle hinzu, genauer für sogenannte General Purpose AI- (GPAI) Modelle. Das sind KI-Modelle, die eine große Bandbreite verschiedener Aufgaben erledigen können und nicht auf einzelne Anwendungen spezialisiert sind.

GPAI-Modelle werden mit einer großen Menge an Daten trainiert und lassen sich an unterschiedliche Aufgaben anpassen. Ein Beispiel ist GPT-4, das GPAI-Modell der neuesten Version von ChatGPT.

Die-KI-Modelle unterfallen nicht der oben genannten Risikopyramide, sondern werden in gewöhnliche GPAI-Modelle und GPAI-Modelle mit systemischem Risiko eingeteilt. Die Transparenzanforderungen für die GPAI umfassen eine technische Dokumentation, die Einhaltung des Urheberrechts der EU und Angaben zu den für das Training verwendeten Daten.

Besonders leistungsfähige GPAI-Modelle mit mindestens 10²⁵ FLOPs (Floating Point Operations) gelten als systemisch riskant und unterliegen strengeren Auflagen. Anbieter solcher Modelle müssen Modellbewertungen durchführen, systemische Risiken bewerten und mindern. Sie müssen Angriffstests durchführen und die EU-Kommission über schwerwiegende Vorfälle unterrichten. Außerdem sind Cybersicherheit und Energieeffizienz sicherzustellen.

Unternehmen sollten sich vorbereiten

Die neuen Regeln gelten ab 2026, beziehungsweise für allgemeine KI schon ab 2025. Verbotene KI-Systeme müssen innerhalb von sechs Monaten nach Inkrafttreten des AI Acts abgeschaltet werden. Mitarbeitende sollten sich zeitnah auf die Einhaltung des AI Acts vorbereiten. Das KI-Gesetz definiert verschiedene Rollen, unter anderem für die Bereiche Recht, Datenschutz, Data Science sowie Risikomanagement und Einkauf. Es empfiehlt sich, eine multidisziplinäre Taskforce aufzustellen, die dieses Spektrum abdeckt. Die Expert:innen sollten die im Unternehmen eingesetzte KI kategorisieren und entsprechende Pflichten ableiten.

Unternehmen sollten eine angemessene Governance definieren, die sowohl Rahmenwerke zu Standards und gewährten Praktiken als auch eine Daten-Governance umfasst. Wichtig ist, dass die Unternehmen die mit der verwendeten künstlichen Intelligenz verbundenen Risiken kennen und geeignete Maßnahmen einleiten.

Auch digitale Ethik sollte einfließen

Die Entwicklung neuer Technologien ist meistens schneller als der Gesetzgeber. Daher sollten Unternehmen bei der Kategorisierung ihrer KI-Systeme Gesetzesänderungen antizipieren, indem sie ethische Gesichtspunkte immer mitberücksichtigen. Ermöglicht eine neue KI manipulative oder gar ausbeuterische Kontrollpraktiken oder ist sie eine Gefahr für die Gesundheit oder Sicherheit von Personen, ist zu erwarten, dass sie früher oder später als Hochrisiko- oder verbotene KI eingestuft wird.