Teil 1: Die Grundsätze vertrauenswürdiger KI

Was sind die grundlegenden ethischen Prinzipien des AI Acts?

Der EU AI Act baut auf sieben fundamentalen ethischen Grundsätzen auf, die ursprünglich in den Ethikleitlinien für vertrauenswürdige KI von 2019 durch die von der Kommission eingesetzte unabhängige hochrangige Expertengruppe für künstliche Intelligenz entwickelt wurden. Diese Grundsätze bilden das Fundament, auf dem die rechtlich verbindlichen Anforderungen der Verordnung aufbauen und ihre Kenntnis hilft, die Grundgedanken des Gesetzes besser zu verstehen.

 

Die sieben Grundprinzipien umfassen:

 

  1. Menschliches Handeln und menschliche Aufsicht: KI-Systeme müssen als Instrument entwickelt und verwendet werden, das dem Menschen dient, die Menschenwürde sowie persönliche Autonomie achtet und einer angemessenen menschlichen Kontrolle und Überwachung unterliegt. Dies reflektiert den anthropozentrischen Ansatz der Verordnung, der den Menschen stets in den Mittelpunkt stellt.
  2. Technische Robustheit und Sicherheit: Die Entwicklung und Verwendung von KI-Systemen muss so erfolgen, dass sie gegen Störungen und böswillige Manipulationsversuche widerstandsfähig sind und unbeabsichtigte Schäden minimiert werden. Dies schließt Aspekte der Systemresilienz und der Abwehr von Angriffen ein.
  3. Privatsphäre und Daten-Governance: KI-Systeme müssen im Einklang mit den geltenden Datenschutzvorschriften entwickelt und eingesetzt werden, wobei Daten von hoher Qualität verwendet werden sollen. Die Verordnung ergänzt die bestehenden Datenschutzregelungen wie die DSGVO, ohne diese zu ersetzen.
  4. Transparenz: Die Funktionsweise von KI-Systemen sollte für betroffene Personen nachvollziehbar sein, insbesondere wenn sie Entscheidungen mit Auswirkungen auf Menschen treffen.
  5. Vielfalt, Nichtdiskriminierung und Fairness: KI-Systeme dürfen keine diskriminierenden Wirkungen entfalten und müssen unterschiedliche menschliche Eigenschaften berücksichtigen.
  6. Soziales und ökologisches Wohlergehen: KI-Entwicklung muss gesellschaftliche und ökologische Auswirkungen berücksichtigen und nachhaltig gestaltet werden.
  7. Rechenschaftspflicht: Entwickler und Betreiber von KI-Systemen müssen Verantwortung für deren Funktionsweise übernehmen.

 

Diese Grundsätze sind, obwohl nicht unmittelbar rechtsverbindlich, entscheidend für die Auslegung und praktische Anwendung der Verordnung. Sie unterstützen die Entwicklung kohärenter, vertrauenswürdiger und menschenzentrierter KI im Einklang mit der Charta der Grundrechte der EU und den Werten, auf die sich die Union gründet.

 

Wie definiert der AI Act künstliche Intelligenz?

Der AI Act enthält eine technologieneutrale Legaldefinition des Begriffs "KI-System". Nach Art. 3 KI-VO bezeichnet dieser Ausdruck ein "maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können".

 

Diese bewusst weit gefasste Definition umfasst verschiedene Technologien und Ansätze der künstlichen Intelligenz, angefangen von regelbasierten Expertensystemen bis hin zu selbstlernenden neuronalen Netzen. Entscheidende Merkmale sind dabei:

 

  • Die Autonomie des Systems
  • Die Anpassungsfähigkeit nach Inbetriebnahme
  • Die Fähigkeit, aus Eingaben Ausgaben abzuleiten
  • Das Potenzial, physische oder virtuelle Umgebungen zu beeinflussen

 

Die technologieneutrale Formulierung stellt sicher, dass die Regulierung auch bei fortschreitender technologischer Entwicklung anwendbar bleibt.

 

Der risikobasierte Ansatz der KI-Verordnung

Was bedeutet der risikobasierte Ansatz im AI Act?

Der risikobasierte Ansatz bildet das Kernprinzip und die Grundlage für das verbindliche Regelwerk des AI Acts. Dieser Ansatz differenziert KI-Anwendungen nach dem von ihnen ausgehenden Risikopotenzial und unterwirft sie entsprechend abgestuften regulatorischen Anforderungen.

 

Die KI-Verordnung unterscheidet vier Risikokategorien:

 

  1. Verbotene KI-Anwendungen (inakzeptables Risiko): Diese Kategorie umfasst KI-Systeme, die als grundsätzlich unvereinbar mit den Werten der Europäischen Union betrachtet werden. Die entsprechenden Verbote nach Art. 5 KI-VO traten bereits sechs Monate nach Inkrafttreten der Verordnung Anfang 2025 in Kraft.
  2. Hochrisiko-KI-Systeme: Diese Kategorie umfasst KI-Anwendungen, die ein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte von Personen darstellen können. Für diese gelten besonders strenge Anforderungen hinsichtlich Risikomanagement, Datenverwaltung, Transparenz, menschlicher Aufsicht und Robustheit.
  3. KI-Systeme mit begrenztem Risiko: Diese Kategorie unterliegt spezifischen Transparenzpflichten, etwa die Kenntlichmachung, dass Inhalte durch KI generiert wurden.
  4. KI-Systeme mit minimalem Risiko: Für KI-Anwendungen mit minimalem Risiko gelten keine spezifischen Pflichten nach dem AI Act, jedoch werden freiwillige Verhaltenskodizes empfohlen.

 

Welche Akteure werden durch den AI Act reguliert?

Der AI Act definiert verschiedene Akteure entlang der Wertschöpfungskette von KI-Systemen und weist ihnen spezifische Pflichten zu.

Zu den wichtigsten Akteuren gehören:

 

  1. Anbieter: Eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder in Betrieb nimmt. Anbieter tragen die primäre Verantwortung für die Konformität des KI-Systems mit den Anforderungen der Verordnung.
  2. Betreiber: Die Bezeichnung ist irritierend, gemeint sind aber die Nutzer von KI-Angeboten. Also eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet. Betreiber müssen sicherstellen, dass die Verwendung des Systems im Einklang mit den Anforderungen der Verordnung erfolgt.
  3. Bevollmächtigter: Eine in der Union ansässige oder niedergelassene natürliche oder juristische Person, die vom Anbieter eines KI-Systems schriftlich dazu bevollmächtigt wurde, in seinem Namen die in der Verordnung festgelegten Pflichten zu erfüllen.
  4. Einführer: Eine in der Union ansässige oder niedergelassene natürliche oder juristische Person, die ein KI-System, das den Namen oder die Handelsmarke einer in einem Drittland niedergelassenen natürlichen oder juristischen Person trägt, in Verkehr bringt.
  5. Händler: Eine natürliche oder juristische Person in der Lieferkette, die ein KI-System auf dem Unionsmarkt bereitstellt, mit Ausnahme des Anbieters.

 

Diese differenzierte Zuordnung von Verantwortlichkeiten stellt sicher, dass in der gesamten Wertschöpfungskette angemessene Sorgfaltspflichten eingehalten werden und klare Zuständigkeiten bestehen.

 

Verhältnis zu anderen Rechtsgebieten

Wie verhält sich der AI Act zum Datenschutzrecht?

Der AI Act ergänzt die bestehenden datenschutzrechtlichen Regelungen der Europäischen Union, ersetzt diese jedoch nicht. Die Verordnung stellt ausdrücklich klar, dass sie die Anwendung des bestehenden Unionsrechts zur Verarbeitung personenbezogener Daten nicht berühren soll.

 

Hierzu gehört insbesondere die DSGVO. Die KI-Verordnung lässt die Pflichten der Anbieter und Betreiber von KI-Systemen in ihrer Rolle als Verantwortliche oder Auftragsverarbeiter unberührt, die sich aus dem Unionsrecht oder dem nationalen Recht über den Schutz personenbezogener Daten ergeben. Betroffene Personen verfügen weiterhin über alle Rechte und Garantien, die ihnen durch das Datenschutzrecht gewährt werden, einschließlich der Rechte im Zusammenhang mit der ausschließlich automatisierten Entscheidungsfindung im Einzelfall und dem Profiling.

 

Die harmonisierten Vorschriften des AI Acts sollen vielmehr die wirksame Durchführung erleichtern und die Ausübung der Rechte betroffener Personen und anderer Rechtsbehelfe aus dem Datenschutzrecht unterstützen. Dies schafft ein komplementäres aber auch kompliziertes und bürokratisches Regelungsregime, das sowohl die spezifischen Risiken von KI-Systemen adressiert als auch die bestehenden Datenschutzstandards wahren soll.

Datenschutz

Ihre Daten werden nur zweckgebunden zur Bearbeitung Ihrer Kontaktanfrage verarbeitet, weitere Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung.