Erstellt oder entwickelt Ihr Unternehmen KI-Systeme, die für den EU-Markt bestimmt sind? Wenn ja, dann gelten Sie als Anbieter im Sinne des EU-KI-Gesetzes. Innerhalb der Wertschöpfungskette haben Anbieter von KI-Systemen die umfangreichsten Verpflichtungen.
Erfahren Sie, welche Anforderungen Sie als Anbieter erfüllen müssen, nachdem das EU-KI-Gesetz am 1. August 2024 in Kraft getreten ist. Auch wenn die Verpflichtungen im Rahmen des Gesetzes schrittweise umgesetzt werden, ist es wichtig, die bevorstehenden Anforderungen zu kennen—sie könnten auch Sie betreffen.
In diesem Beitrag:
Wie definiert das EU-KI-Gesetz künstliche Intelligenz?
Bevor wir uns mit den spezifischen Klassifizierungen und Anforderungen befassen, werfen wir zunächst einen genaueren Blick darauf, wie das EU-KI-Gesetz künstliche Intelligenz definiert. Dem Gesetz zufolge umfasst ein KI-System vier Hauptelemente:
- Systeme, die mit unterschiedlichen Autonomiestufen arbeiten
- Systeme, die nach der Bereitstellung Adaptivität zeigen können
- Systeme, die lernen und Ausgaben generieren
- Generierte Ausgaben können physische oder virtuelle Umgebungen beeinflussen
Das letzte Element ist von entscheidender Bedeutung, da ein System, das die Möglichkeit hat, unsere Umgebung zu verändern, Risiken für die Gesellschaft birgt. Dies wiederum unterstreicht die Notwendigkeit von Rechtsvorschriften zum Schutz des Einzelnen vor negativen Folgen durch KI-Systeme.
Das könnte Sie auch interessieren: Entdecken Sie den ultimativen Leitfaden zum EU-KI-Gesetz
Welche Risikostufen sieht das EU-KI-Gesetz vor?
Menschen können zwar von diversen KI-Systemen bedroht werden, aber das Gefahrenpotenzial unterscheidet sich. Finden wir heraus, wie das EU-KI-Gesetz die verschiedenen Risikostufen kategorisiert und was dies für bestimmte KI-Systeme bedeutet.
1. Minimales Risiko: zulässig
KI-Systemen mit minimalem Risiko, wie Chatbots und Spam-Filter, haben wenige bis keine Auswirkungen auf die Rechte des Einzelnen. Daher müssen sie nur bestimmte Transparenzkriterien erfüllen, wenn sie direkt mit Personen in Kontakt treten.
2. Begrenztes Risiko: zulässig
Systeme, von denen nur begrenzte Risiken ausgehen, sind meist nicht reguliert und unterliegen nur einigen Transparenzanforderungen. KI-Systeme mit allgemeinem Verwendungszweck (GPAI) fallen unter diese Klassifizierung, wenn sie kein systemisches Risiko darstellen, wie etwa negative Auswirkungen auf die öffentliche Gesundheit, die Grundrechte oder die Gesellschaft.
3. Hohes Risiko: zulässig
Für Systeme mit hohem Risiko gelten die strengsten Anforderungen und Standards gemäß dem EU-KI-Gesetz. Diese Systeme werden in Bereichen wie wesentlichen wirtschaftlichen und öffentlichen Diensten, in der Beschäftigung, in Sicherheitskomponenten, in der Biometrie und in kritischen Infrastrukturen.
Typische Einsatzbereiche für diese Systeme sind die Personaleinstellung, Bonitätsprüfungen und Zulassungsverfahren. Die unsachgemäße Nutzung solcher Systeme könnte erhebliche Folgen haben, weshalb sich das EU-KI-Gesetz auf die Regulierung dieser Systeme konzentriert.
4. Untragbares Risiko: verboten
Bestimmte Systeme werden zuletzt als unannehmbare Risiken für die Sicherheit und die Rechte des Einzelnen eingestuft und sind daher nach dem EU-KI-Gesetz verboten.
Zu diesen verbotenen Systemen gehören solche, die Verletzlichkeiten ausnutzen, Personen manipulieren oder in die Irre führen, Emotionen ableiten, Gesichtserkennungsdatenbanken auswerten oder biometrische Daten zur Kategorisierung von Personen verwenden (z. B. Sozialkredit-Systeme).
Wer wird im Rahmen des EU-KI-Gesetzes als Anbieter definiert?
An der Wertschöpfungskette für KI-Systeme sind viele Akteure beteiligt, darunter Anbieter und Betreiber. In diesem Artikel konzentrieren wir uns auf die Rolle der Anbieter, die KI-Systeme erstellen oder entwickeln, die auf den Markt gebracht werden. Diese Definition umfasst Unternehmen und staatliche Stellen.
Denken Sie daran, dass das EU-KI-Gesetz ähnlich wie die DSGVO einen extraterritorialen Geltungsbereich hat. Das bedeutet, dass ein Anbieter, auch wenn er seinen Sitz außerhalb der EU hat, verpflichtet sein kann, einen Vertreter in der EU zu benennen.
Sehen Sie sich dieses Webinar (EN) für noch mehr Informationen an: Video | The EU AI Act II: the providers awaken (dataguard.uk)
Pflichten für Anbieter von Hochrisiko-KI-Systemen
Anbieter von Hochrisiko-KI-Systemen sind bei der Entwicklung und Erstellung der Systeme mit den strengsten Anforderungen konfrontiert. Hier erfahren Sie, welche Pflichten Sie als Anbieter erfüllen müssen.
1. Erfüllung der Anforderungen (Artikel 16)
Die Anbieter müssen sicherstellen, dass ihre Hochrisiko-KI-Systeme die in Abschnitt 2 (Artikel 8-15) der EU-KI-Richtlinie festgelegten Anforderungen erfüllen.
2. Risikomanagementsystem (Artikel 9)
Als Anbieter müssen Sie ein Risikomanagementsystem für den gesamten Lebenszyklus von Hochrisiko-KI-Systemen einrichten, implementieren, dokumentieren und pflegen, um Risiken effektiv zu erkennen und zu mindern—intern und extern.
Das könnte Sie auch interessieren: Was ist Risikomanagement und wie können Risiken identifiziert werden?
3. Daten und Daten-Governance (Artikel 10)
Die vom KI-System verwendeten Datensätze müssen relevant, repräsentativ, fehlerfrei und so vollständig wie möglich sein. Die Anbieter müssen außerdem Maßnahmen zum Datenmanagement einführen, um die Datenqualität und -integrität zu gewährleisten und mögliche Verzerrungen in den Daten zu vermeiden. Andernfalls kann sich das Training von KI-Systemen mit schlechter Datenqualität dauerhaft negativ auswirken, insbesondere im Kontext von Hochrisiko-Systemen.
4. Technische Dokumentation (Artikel 11)
Die Anbieter müssen technische Dokumente erstellen und pflegen, bevor das System in Verkehr gebracht oder in Betrieb genommen wird. Diese Verpflichtung folgt der wesentlichen Grundhaltung des EU-KI-Gesetzes, das KI-Systeme als regulierungsbedürftige Produkte ansieht.
5. Aufzeichnungen und Dokumentation (Artikel 12, 18 & 19)
Darüber hinaus sind Anbieter verpflichtet, Aktivitäten automatisch aufzuzeichnen und diese Protokolle während der gesamten Lebensdauer des Systems aufzubewahren. Spezifische Unterlagen müssen mindestens 10 Jahre lang aufbewahrt und den Behörden zur Verfügung gestellt werden, um im Falle eines Fehlers bestimmte Ereignisse auf einen Zeitpunkt während der Lebensdauer des Systems zurückzuverfolgen. Dies unterstreicht die langfristige Rechenschaftspflicht, die die Regulierungsbehörden für bestimmte KI-Systeme erwarten.
6. Transparenz und Bereitstellung von Informationen (Artikel 13)
Die Anbieter sind verpflichtet, die Nutzer darüber zu informieren, dass sie mit einem KI-System interagieren, und klare Anweisungen für dessen Nutzung zu geben. Außerdem müssen sie den Betreibern detaillierte Angaben über die Funktionsweise, die Grenzen und die Risiken des KI-Systems machen.
7. Menschliche Aufsicht (Artikel 14)
Anbieter müssen geeignete Überwachungsmaßnahmen einführen, einschließlich der Überprüfung durch Menschen. Dadurch soll sichergestellt werden, dass KI-Systeme wie vorgesehen funktionieren und keine Risiken für die Gesundheit, die Sicherheit oder die Grundrechte des Einzelnen darstellen.
Dies unterstreicht die Bedeutung menschlicher Kontrollen und regt dazu an, die Auswirkungen, die diese Systeme auf den Einzelnen haben können, kritisch zu hinterfragen.
8. Genauigkeit, Robustheit und Cybersicherheit (Artikel 15)
Darüber hinaus müssen die Anbieter sicherstellen, dass die KI-Systeme genau, robust und sicher sind, indem sie Maßnahmen ergreifen, um die Risiken im Zusammenhang mit der Cybersicherheit während ihres gesamten Lebenszyklus zu mindern.
9. Qualitätsmanagementsystem (Artikel 17)
Um die Einhaltung des EU-KI-Gesetzes zu gewährleisten, müssen die Anbieter ein dokumentiertes Qualitätsmanagementsystem (QMS) in Bezug auf ihre KI-Systeme einführen. Wenn Ihre Organisation bereits nach ISO 27001 zertifiziert ist, können Sie Ihr bestehendes Informationssicherheits-Managementsystem (ISMS) nutzen, um einige der QMS-Anforderungen zu erfüllen.
Das könnte Sie auch interessieren: 12 Vorteile von ISO 27001: Compliance und Zertifizierung
10. Korrekturmaßnahmen (Artikel 20)
Das EU-KI-Gesetz erkennt an, dass die Entwicklung eines KI-Systems nicht von heute auf morgen passiert und Prozesse deshalb fehlschlagen oder nicht auf Anhieb funktionieren können. Diese Verpflichtung regelt, wie mit Situationen umzugehen ist, in denen ein System nicht die gewünschten Ausgaben generiert.
In diesen Fällen müssen die Anbieter Korrekturmaßnahmen ergreifen, einschließlich der Deaktivierung oder des Rückrufs von nicht konformen KI-Systemen, und allen Anweisungen der zuständigen Behörden nachkommen.
11. Zusammenarbeit mit den zuständigen Behörden (Artikel 21)
Die Anbieter sind verpflichtet, auf begründete Anfragen hin mit den zuständigen Behörden zusammenzuarbeiten und Compliance-Unterlagen bereitzustellen.
12. Bevollmächtigte der Anbieter von Hochrisiko-KI-Systemen (Artikel 22)
Anbieter in Drittländern, die nicht in der EU ansässig sind, müssen einen bevollmächtigten Vertreter in der EU benennen, der bestimmte Aufgaben wahrnimmt.
13. Verantwortlichkeiten entlang der KI-Wertschöpfungskette (Artikel 25)
Händler, Einführer, Betreiber oder andere Dritte können als Anbieter von Hochrisikosystemen angesehen werden, wenn sie z. B. ein Rebranding oder wesentliche Änderungen vornehmen.
14. Konformitätsbewertung (Artikel 43)
Die Anbieter müssen sicherstellen, dass das Hochrisiko-KI-System das entsprechende Konformitätsbewertungsverfahren durchläuft, bevor es in Verkehr gebracht wird. Bei dieser Bewertung wird geprüft, ob das System alle rechtlichen Anforderungen erfüllt.
15. EU-Konformitätserklärung (Artikel 47)
Diese Pflicht ist eng mit der vorherigen verknüpft. Sie verpflichtet die Anbieter, eine EU-Konformitätserklärung zu erstellen und zu erlangen, aus der hervorgeht, dass das Hochrisiko-KI-System den einschlägigen Anforderungen des EU-KI-Gesetzes entspricht. Dieses Dokument muss den Regulierungsbehörden auf Anfrage zur Verfügung gestellt werden.
16. CE-Kennzeichnung (Artikel 48)
Als bekannter Standard für Produkte in der EU sind auch Anbieter von Hochrisiko-KI-Systemen verpflichtet, das System mit der CE-Kennzeichnung zu versehen, um die Konformität mit der Verordnung zu demonstrieren. Diese Kennzeichnung zeigt, dass das System dem EU AI-Gesetz und anderen einschlägigen EU-Rechtsvorschriften entspricht.
17. Registrierung (Artikel 49)
Die Anbieter müssen sich und ihre KI-Systeme in der EU-Datenbank registrieren lassen, bevor sie ein System auf den Markt bringen.
18. Beobachtung nach dem Inverkehrbringen (Artikel 72)
Wenn Sie alles Notwendige erledigt haben, um Ihr KI-System auf den Markt zu bringen, müssen Sie ein System zur Überwachung nach dem Inverkehrbringen einrichten und dokumentieren. Dieses System muss der Art und den Risiken des KI-Systems entsprechen, die kontinuierliche Compliance sicherstellen und alle aufkommenden Risiken identifizieren.
19. Meldung schwerwiegender Vorfälle (Artikel 73)
Die Anbieter müssen alle schwerwiegenden Vorfälle an die zuständige Aufsichtsbehörde melden. Der Zeitrahmen für die Meldung hängt von der Schwere des Vorfalls ab.
Diese Verpflichtung ähnelt anderen Vorschriften, wie der DSGVO. Viele Organisationen verfügen möglicherweise bereits über Prozesse und Verfahren, die für die Einhaltung des EU-KI-Gesetzes genutzt werden können.
Pflichten für Anbieter von GPAI
Die Anforderungen an Hochrisiko-KI-Systeme sind die umfangreichsten. Doch auch die Anbieter von GPAI müssen Pflichten erfüllen. Entdecken Sie die Anforderungen, die Sie erfüllen müssen, wenn Sie eine GPAI entwickeln und anbieten.
1. Technische Dokumentation (Artikel 53)
Wie bei Hochrisiko-Systemen müssen auch die Anbieter von GPAI eine technische Dokumentation für das KI-System erstellen und pflegen. Diese Dokumentation sollte Informationen über die Schulungs- und Testverfahren sowie die Bewertungsergebnisse enthalten.
2. Transparenzpflichten (Artikel 50)
Die Anbieter müssen bei einer direkten Interaktion zwischen dem KI-System und Einzelpersonen zudem für Transparenz sorgen, indem sie den Nutzern deutlich machen, dass sie mit einem KI-System interagieren.
3. Menschliche Aufsicht (Artikel 14)
Ähnlich wie bei Hochrisiko-Systemen müssen GPAI-Anbieter sicherstellen, dass bei allgemeinen KI-Systemen Maßnahmen zur menschlichen Aufsicht implementiert werden. Diese Maßnahmen sollten dem Risiko und dem Kontext der Nutzung angemessen sein.
4. Beobachtung nach dem Inverkehrbringen (Artikel 72)
Die Anbieter müssen für GPAI ein System zur Überwachung nach dem Inverkehrbringen einrichten und dokumentieren, das den Anforderungen für Hochrisikosysteme entspricht.
5. Bewertung und Minderung systemischer Risiken (Artikel 55)
Das EU-KI-Gesetz erkennt an, dass GPAI auch systemische Risiken haben können. Daher müssen Anbieter potenzielle systemische Risiken, die sich aus der Entwicklung, der Platzierung auf dem Markt oder der Nutzung von GPAI-Systemen ergeben können, bewerten und mindern. Wenn Sie als Anbieter bereits über ein Risikomanagementsystem verfügen, erleichtert das die Erfüllung dieser Verpflichtung.
Pflichten für Anbieter von KI-Systemen mit begrenztem Risiko
Mit bestimmten KI-Systemen sind geringere Risiken verbunden. Deshalb stellt das EU-KI-Gesetz weniger Anforderungen an Organisationen, die diese Systeme entwickeln. Bei der Anbietung von KI-Systemen, die als begrenzte Risiken eingestuft werden, haben Sie unter anderem die folgenden Verpflichtungen.
1. Transparenz und Bereitstellung von Informationen (Artikel 13)
Transparenz ist der Schlüssel—das gilt bereits für die Einhaltung der DSGVO und nun auch für das EU-KI-Gesetz. Anbieter von KI-Systemen mit begrenztem Risiko müssen klare Anweisungen für die Nutzung von KI-Systemen und erforderliche Informationen bereitstellen, um Transparenz zu gewährleisten. Auf diese Weise helfen die Anbieter den Nutzern, die Fähigkeiten und Grenzen des KI-Systems zu verstehen und zu erkennen, wie ihre Daten verarbeitet werden—auch wenn es sich in diesem Fall nicht um personenbezogene Daten handelt.
2. KI-Kompetenz (Artikel 4)
Die Anbieter sind außerdem verpflichtet, Maßnahmen zu ergreifen, um die KI- Kompetenz ihrer Mitarbeiter und anderer Personen, die das KI-System nutzen, zu verbessern.
3. Freiwilliger Verhaltenskodex (Artikel 69)
Die Anbieter von KI-Systemen mit begrenztem Risiko werden ermutigt, freiwillige Verhaltenskodizes zu verabschieden und einzuhalten, um eine ethische und verantwortungsvolle Nutzung dieser Systeme zu gewährleisten.
Es gibt verbindliche Anforderungen, weil spezifische KI-Systeme Auswirkungen auf unsere Umgebung, Rechte und Freiheiten haben können. Darüber hinaus ermutigt das EU-KI-Gesetz die Anbieter aller KI-Systemen, bewährte Verfahren anzuwenden und innovative Technologien mit ethischen und verantwortungsvollen Grundsätzen in Einklang zu bringen.
Die nächsten Schritte für Ihre Organisation
Jetzt ist es für Ihr Unternehmen an der Zeit, sich auf die bevorstehenden Verpflichtungen des EU-KI-Gesetzes vorzubereiten, um konform zu bleiben. Bewerten Sie Ihre geschäftlichen Anforderungen und Ihre Strategie im Hinblick auf die Umsetzung des KI-Gesetzes.
Identifizieren Sie den aktuellen oder geplanten Einsatz von KI-Systemen in Ihrem Unternehmen und vergleichen Sie ihn mit den Risikoklassifizierungsstufen. Planen Sie proaktiv die Umsetzung eines KI-Governance-Frameworks, um den Vorschriften einen Schritt voraus zu sein. Berücksichtigen Sie die gestaffelte Durchsetzung des Gesetzes und setzen Sie Prioritäten, welche Anforderungen und Risiken Sie zuerst angehen müssen.
Benötigen Sie zusätzliche Informationen über das EU AI-Gesetz? Laden Sie Ihren vollständigen Leitfaden zum EU-KI-Gesetz herunter und verschaffen Sie sich einen Überblick über alles, was Sie wissen müssen.
