Hochrisiko KI-Systeme und wo sie geregelt sind
Mit dem Entwurf einer europäischen Verordnung zur Regelung von künstlicher Intelligenz (dem artificial intelligence act; AIA) soll der ethische und vertrauenswürdige Einsatz von künstlicher Intelligenz unionsweit einheitlich geregelt werden (vgl. „Hilfe der AI Act kommt“, März 2022).
Der AI-Act sieht mit der Verwendung eines risikobasierten Ansatzes verschiedene Einsatzgebiete für Technologien künstlicher Intelligenz vor. Je nach potentiellem Risiko der KI-Verwendung werden verschiedene Voraussetzungen an den Einsatz geknüpft. Entsprechend gibt es nach dem AI-Act folgende Kategorien von KI-Systemen:
- KI-Systeme mit unannehmbarem Risiko
- Hochrisiko-KI-Systeme
- KI-Systeme mit mittlerem Risiko
- KI-Systeme ohne besonderes Risiko
Im Nachfolgenden soll insbesondere auf die Kategorie der Hochrisiko-KI-Systeme eingegangen werden, da diese die meisten Anforderungen an ihren Einsatz stellen, während für Systeme mit mittlerem Risiko lediglich primär Informationspflichten bestehen und für Systeme ohne Risiko gar keine Einschränkungen durch den AI-Act aufgeworfen werden. KI-Systeme mit unannehmbarem Risiko sind nicht akzeptabel und deren Verwendung daher per se verboten.
Was ist ein KI-System?
Um der Frage näher zu kommen, was Hochrisiko-KI-Systeme sind, ist eine Klärung des Begriffs KI-System wichtig.
Für die Zwecke des AI-Act wird der Begriff des KI-Systems in Artikel 3 Nr. 1 AIA legaldefiniert. Demnach ist ein „System der künstlichen Intelligenz eine Software, die mit [bestimmten][…] Techniken und Konzepten entwickelt worden ist und im Hinblick auf die Erreichung von Zielen, die von Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren. Welche Softwaresysteme genau gemeint sind, ist im Anhang I zum AI-Act festgelegt. Die „Auslagerung“ erfolgt, um das Gesetz möglichst flexibel und übersichtlich in Anbetracht zukünftiger technischer Entwicklungen zu halten.
Die im Anhang I geregelten technischen Systeme der künstlichen Intelligenz umfassen derzeit:
- Konzepte des maschinellen Lernens (beaufsichtigt, unbeaufsichtigt und bestärkend) unter „Verwendung einer breiten Palette von Methoden, einschließlich des sog. „Deep Learnings“
- Logik- und wissensgestützte Konzepte, einschließlich „induktiver (logischer) Programmierung, Wissensgrundlagen, Inferenz- und Deduktionsmaschinen, (symbolischer) Schlussfolgerungs- und Expertensysteme“
- „Statistische Ansätze, Bayessche Schätz-, Such- und Optimierungsmethoden“
Wann wird eine KI als Hochrisiko-System eingestuft?
Was ein KI-System als Hochrisiko-KI-System qualifiziert, regelt Artikel 6 AIA. Dafür müssen zwei Bedingungen erfüllt sein:
- Das KI-System fällt unter die in Anhang II AIA aufgezählten Vorschriften – darunter beispielsweise die Maschinenrichtlinie oder die Richtlinie über die Sicherheit von Spielzeug – oder es ist selbst eine Sicherheitskomponente eines solchen Produktes (Art. 6 Abs. 1 a) AIA).
- Das KI-System selbst oder als Sicherheitskomponente eines Produktes muss einer Konformitätsbewertung durch Dritte unterzogen werden. Zugrunde liegen dabei wieder die Vorschriften aus dem Anhang II des AI-Act (Art. 6 Abs. 1 b) AIA).
Darüber hinaus sind die in Anhang III zum AI-Act genannten KI-Systeme generell als Hochrisiko-Systeme einzustufen (Artikel 6 Absatz 2 AIA). Dazu gehören KI-Systeme, die der biometrischen Identifizierung und Kategorisierung natürlicher Personen dienen, beispielsweise Systeme die Gesichter erkennen und Personen zuordnen sollen (Anhang III Nr. 1 AIA). Außerdem umfasst die Auflistung Systeme für den Bereich „Human Resources“, die beispielsweise Bewerbungsprozesse automatisieren oder über Beförderungen entscheiden sollen (Anhang III Nr. 4 AIA).
Welche Anforderungen gelten an Hochrisiko-KI-Systeme?
Die Verwendung eines Hochrisiko-KI-Systems ist komplex und bedarf differenzierter Konzepte. Denn sowohl Anbieter als auch Anwender müssen eine Vielzahl an Anforderungen erfüllen und Regeln beachten. Diese sind in Kapitel 2 des AI-Act geregelt. So bedürfen Hochrisiko KI-Systeme unter anderem eines Risikomanagement-Verfahrens (Art. 9 AIA), einer kontinuierlichen menschlichen Aufsicht (Art. 14 AIA,) einer Aufzeichnung der Tätigkeiten (Art. 12 AIA) und einer technischen Dokumentation (Art. 11 AIA).
Zudem bringen sie Pflichten für den Verwender mit sich, etwa ein besonderes Handling der eingesetzten Trainingsdaten (Art. 10 AIA) oder Aufklärungspflichten gegenüber den Nutzern (Art. 13 AIA). Die Anbieter von Hochrisiko-KI-Systemen müssen weiterhin sicherstellen, dass die Systeme vor dem Inverkehrbringen oder der Inbetriebnahme die entsprechenden Konformitätsbewertungsprüfungen durchlaufen haben (Art. 19 AIA).
