Der rasante technologische Fortschritt hat die Institutionen der Europäischen Union veranlasst, einheitliche Regularien im Bereich der Künstlichen Intelligenz (KI) auf Schiene zu bringen, die den europäischen Grundrechten sowie Sicherheitsanforderungen entsprechen und gleichzeitig Innovationen im KI-Bereich fördern sollen. Rund drei Jahre nach dem ersten Entwurf der Europäischen Kommission hat das Europäische Parlament am 13. März 2024 dem finalen Vorschlag der Verordnung zugestimmt.

Die KI-Verordnung gilt sowohl für Nutzer von KI-Systemen, die sich in der EU befinden, als auch für Anbieter (bzw. deren „Bevollmächtigte“), die KI-Systeme in der Union in Verkehr bringen oder in Betrieb nehmen, unabhängig davon, wo diese Anbieter niedergelassen sind. Vom Geltungsbereich der Verordnung sind auch KI-Systeme umfasst, deren hervorgebrachtes Ergebnis in der EU verwendet wird. Als „Nutzer“ gelten sowohl natürliche oder juristische Personen als auch Behörden oder sonstige Stellen, die ein KI-System in eigener Verantwortung verwenden – es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet.

Die KI-Verordnung stellt im Wesentlichen auf das Risikopotential von KI-Anwendungen ab, die in Risikostufen klassifiziert werden. Mit steigendem Risiko wachsen proportional auch die Anforderungen an die jeweiligen KI-Systeme und ihre Akteure. Gewisse Praktiken von KI-Anwendungen, die mit einem unannehmbaren Risiko verbunden sind, werden zur Gänze verboten (z. B. das sogenannte Social Scoring).

Aufsicht & Transparenz

Im Fokus der Verordnung stehen Hochrisiko-KI-Systeme, die aufgrund der Risikoeinschätzung klar definierte Anforderungen erfüllen müssen und deren Akteuren während des gesamten KI-Lebenszyklus diverse Pflichten auferlegt werden, u. a. die Einrichtung eines Qualitätsmanagementsystems. Hochrisiko--KI-Systeme, dazu zählt etwa kritische Infrastruktur, müssen unter „menschliche Aufsicht“ gestellt werden. Transparenzpflichten treffen KI-Systeme, die für die Interaktion mit Menschen bestimmt sind. So muss ein sogenanntes Deepfake als solches gekennzeichnet werden. KI-Systeme, die in keine Risikokategorie fallen, können zunächst ohne weitere Auflagen betrieben werden.

Angesichts von Sanktionen bei Verstößen ist es insbesondere für Anbieter von KI-Systemen empfehlenswert, sich bis zum Inkrafttreten der KI-Verordnung 2026 zu erkundigen und bedarfsweise erste Compliance-Maßnahmen zu ergreifen. Die KI-Verordnung ist zweifellos ein Meilenstein in der europäischen KI-Strategie und trägt dem technologischen Zeitalter Rechnung. Allerdings muss man ihre Praktikabilität abwarten. Ob das Regelwerk jene Sicherheit im Umgang mit KI bei gleichzeitiger Wahrung von Grundrechten tatsächlich gewährleisten kann, wird sich erst zeigen.   

Lesen Sie diesen Artikel auf Seite 57 der aktuellen Ausgabe 2-24 oder am Austria Kiosk!