Der EU AI Act: Jetzt ist er da
Um die Vorteile ausnutzen bzw. die Nachteile von Künstlicher Intelligenz („KI“) reduzieren zu können, wagte die Europäische Kommission im April 2021 den weltweit ersten Versuch, KI zu regulieren, indem sie einen Vorschlag für ein KI-Gesetz (dem sogenannten „AI Act“) veröffentlichte (COM [2021] 206 final).
Vor etwa einem Jahr berichteten wir über den sich damals in der Trilog-Verhandlung befindlichen AI Act. Seitdem hat sich viel getan: Das Gesetz wurde im Mai 2024 final beschlossen und im Juli 2024 offiziell im europäischen Amtsblatt kundgemacht (VO [EU]) 2024/1689 ABl L 2024/1689). Somit wurde der AI Act verabschiedet und wird nun stufenweise in Kraft treten. Damit hat die EU als erster Kontinent klare Regeln für KI festgelegt.
Wir möchten diesen Meilenstein in der KI-Regulierung zum Anlass nehmen und ein Update hierzu liefern. Dazu werden wir die Schlusspunkte des AI Acts beleuchten und einen Einblick geben, wie wir die nun feststehenden Anforderungen bei MyGPT konkret umsetzen.
- 12. September. 2024
[field title]
[field lso_team_function]
[field title]
[field lso_team_function]
Schlüsselpunkte des AI Act
Der AI Act hat das Ziel, einen klaren Rechtsrahmen für die Entwicklung und den Einsatz von KI-Systemen innerhalb der EU zu schaffen. Er verfolgt mehrere Hauptziele, wie unter anderem die Gewährleistung der Sicherheit und der Grundrechte der Bürger sowie die Förderung von Vertrauen in KI-Systeme. Als Verordnung gilt der AI Act innerhalb der gesamten EU gleich.
Definition KI-System
Dem AI Act liegt die OECD-Definition von KI zugrunde, wonach ein KI-System gemäß Art 3 Z 1 AI Act ein maschinengestütztes System ist,
- das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist,
- das nach seiner Betriebsaufnahme anpassungsfähig sein kann,
- das auf Basis der erhaltenen Eingaben für explizite oder implizite Ziele ableitet, Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen zu erstellen, die physische oder virtuelle Umgebungen beeinflussen können.
Risikobasierter Ansatz
Der AI Act verfolgt einen risikobasierten Ansatz, um ein verhältnismäßiges sowie wirksames Regelwerk für KI-Systeme einzuführen. Dazu werden KI-Systeme entsprechend ihrem Risikopotenzial in mehrere Kategorien eingeteilt, wobei für jede Kategorie eine Reihe spezifischer Vorschriften gilt. Dies bedeutet, je höher das Risiko, desto mehr Anforderungen müssen erfüllt werden.
Risiko definiert der AI Act als „die Kombination aus der Wahrscheinlichkeit des Auftretens eines Schadens und der Schwere dieses Eintritts“ (Art 3 Z 2 AI Act) und bewertet insbesondere mögliche Schäden an individuellen bzw. öffentlichen Interessen (Gesundheit, Sicherheit, Grundrechte, einschließlich Demokratie, der Rechtsstaatlichkeit und des Umweltschutzes).
Demzufolge sind KI-Systeme in vier Risikokategorien einzuteilen:
Risikokategorie | Beschreibung | Risiko |
---|---|---|
KI-Systeme mit minimalem Risiko | KI-Systeme, die ohne spezifische Pflichten nach AI Act erlaubt sind. Als Beispiele sind etwa Spam-Filter oder Videospiele zu nennen. Das Einhalten von Verhaltenskodizes (Code of Practices) wird gefördert – sie sind aber freiwillig. | gering |
KI-Systeme mit begrenztem Risiko | Sind zulässig, müssen jedoch gewisse Transparenzpflichten erfüllen (vgl Art 50 AI Act). Darunter fallen etwa KI-Systeme, die für die Interaktion mit natürlichen Personen (zB Chatbots) oder zur Erstellung von Text, Audio, Bild bzw Ton bestimmt sind. | mittel |
KI-Systeme mit hohem Risiko | (Hochrisiko-KI-Systeme, Art 6 ff AI Act) sind zwar zulässig, haben jedoch die meisten Anforderungen laut AI Act zu erfüllen (wie zB Einführung eines Risikomanagementsystems, Beachtung von Data Governance, technische Dokumentation, Aufzeichnungspflichten etc). Derartige KI-Systeme sind unter anderem im Anhang I und III AI Act aufgelistet. Hochriskant sind etwa KI-Systeme im Bereich Biometrik, kritischer Infrastruktur, Zugang zu beruflicher Aus- und Weiterbildung oder Personalmanagement. | hoch |
KI-Systeme mit inakzeptablem Risiko | (verbotene KI-Praktiken, Art 5 AI Act) sind generell verboten. Dazu zählen etwa KI-Systeme, die das menschliche Verhalten manipulieren oder Schwächen ausnützen oder auch „Social Scoring“ und „Predictive Policing“. | inakzeptabel |
Darüber hinaus führt der AI Act spezifische Regelungen für KI-Modelle mit allgemeinem Verwendungszweck („General-purpose AI“, siehe Art 51 bis 56 AI Act) ein. In diese Kategorie fallen insbesondere LLM-Basismodelle wie GPT von OpenAI oder Gemini von Google. Sie unterliegen Dokumentations- und Transparenzanforderungen. Hochwirksame allgemeine KI-Systeme, von denen systemische Risiken ausgehen können, müssen darüber hinaus einem eingehenden Evaluierungsprozess unterzogen werden.
Rollenverteilung
Je nach Rollenzuweisung knüpft der AI Act unterschiedliche Anforderungen:
Die am stärksten regulierten Akteure im Rahmen des AI Acts sind die Anbieter von KI-Systemen, d.h. Stellen, die ein KI-System entwickeln oder entwickeln lassen, um es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr zu bringen oder in Betrieb zu nehmen (Art 3 Z 3 AI Act).
Schließlich erlegt der AI Act auch den Betreibern von KI-Systemen bestimmte Pflichten auf. Betreiber ist derjenige, der ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht-beruflichen Tätigkeit verwendet (Art 3 Z 4 AI Act).
Kennen Sie schon unseren KI>Inside Podcast?
Der Podcast bietet nicht nur spannende Einblicke in die Mechanismen und Potenziale von KI, sondern beleuchtet auch, was es wirklich braucht, um ein KI-Projekt zum Erfolg zu führen.
Inkrafttreten
Seit dem 2. August 2024 ist der AI Act offiziell in Kraft. Jedoch treten die einzelnen Regelungen stufenweise in Kraft – d.h. die Bestimmungen gelten zu unterschiedlichen Zeitpunkten. Der zeitliche Rahmen sieht wie folgt aus:
- 2. Februar 2025 (+6 Monate): Verbotene KI-Praktiken dürfen nicht mehr angewendet werden. Zusätzlich müssen Unternehmen sicherstellen, dass ihre Mitarbeiter über grundlegende KI-Kompetenzen (Art 4 AI Act) verfügen.
- 2. August 2025 (+12 Monate): Es kommen spezifische Regelungen für General Purpose AI und Governance-Strukturen in Form von Notifizierungsstellen und Behörden hinzu. Darüber hinaus gelten ab diesem Zeitpunkt die Strafbestimmungen.
- 2. August 2026 (+24 Monate): Hochrisiko-KI-Systeme (Anhang III) und KI-Systeme mit geringem und minimalem Risiko haben die Anforderungen gemäß AI Act zu erfüllen.
- 2. August 2027 (+36 Monate): Vollständige Einhaltung der Regelungen für Hochrisiko-KI-Systeme (Anhang I).
MyGPT erfüllt die Kriterien laut Zuordnung als System mit begrenztem Risiko.
Umsetzung bei MyGPT
Risikoklassifizierung
MyGPT ist ein KI-System im Sinn des AI Acts: Es ist ein maschinengestütztes System, das basierend auf dem abgesendeten Prompt Inhalte (wie z.B. Bereitstellung von Informationen, Empfehlungen, andere textbasierte Ergebnisse etc.) als Antwort generiert. Die generierten Antworten sind in der Lage, ihre Umgebung zu beeinflussen, wenn z.B. dadurch der Benutzer aufgrund der bereitgestellten Information eine Handlung vornimmt.
MyGPT erfüllt – mangels der Zuordnung als Hochrisiko-KI-System – die Kriterien eines KI-Systems mit begrenztem Risiko, da es mit natürlichen Personen interagiert. MyGPT ist so konzipiert, dass es mittels Dialogs mit menschlichen Usern kommuniziert – gleich wie ein Chatbot.
Berücksichtigung und Umsetzung des AI Act
Nutzt ein Unternehmen ein KI-System wie MyGPT, ist das Unternehmen Betreiber im Sinn des AI Acts. D.h. das Unternehmen hat auch gewisse Pflichten zu erfüllen. Zwar nutzt MyGPT eine LLM-Komponente, das als KI-Modell mit allgemeinem Verwendungszweck zu qualifizieren ist, jedoch treffen die Pflichten solcher KI-Modelle nur den Entwickler – also z.B. OpenAI, Microsoft, Google etc. Somit hat das einsetzende Unternehmen als Betreiber diesbezüglich keine Anforderungen.
Da es sich bei MyGPT um ein KI-System mit begrenztem Risiko handelt und Unternehmen es im betrieblichen Alltag einsetzen, sind gewisse Aspekte zu beachten. Die nachfolgenden Aufzählungen sollen dem einsetzenden Unternehmen helfen, die Vorgaben des AI Acts zu kennen und zu berücksichtigen:
- Einhaltung der Transparenzpflichten: Betreiber müssen sicherstellen, dass Benutzer informiert werden, dass sie mit einem KI-System interagieren, sofern dies nicht offensichtlich ist (Art 50 Abs 1 AI Act). Die Informationen müssen spätestens zum Zeitpunkt der ersten Interaktion in klarer und eindeutiger Weise bereitgestellt werden – dies wäre durch das einsetzende Unternehmen vorzunehmen. In MyGPT wird z.B. in der Info-Sektion darauf hingewiesen.
- KI-Kompetenz: Betreiber von KI-Systemen müssen Maßnahmen ergreifen, um sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügen. Dabei sollen technische Kenntnisse, Erfahrung, Ausbildung und Schulung sowie der Einsatzkontext berücksichtigt werden (Art 4 AI Act). Wir bei Leftshift One haben ein User Onboarding, das diese Themen berücksichtigt. Die erfolgreiche Absolvierung des User Onboardings kann mittels Teilnahmebestätigung bestätigt werden. Dies kann eine Maßnahme hinsichtlich KI-Kompetenz sein.
- Überprüfungen und Tests: Die Funktionsweise des KI-Systems sollte regelmäßig auf Performance, Genauigkeit und Verlässlichkeit überprüft werden. Fehler, Bugs etc. sollten behoben werden. Ebenso sollte das Benutzer-Feedback zur Verbesserung von MyGPT eingearbeitet werden.
Resümee
Die Verabschiedung des AI Act markiert einen Meilenstein in der Regulierung von KI. Als Unternehmen, das sich bereits frühzeitig mit den regulatorischen Anforderungen auseinandergesetzt hat, sind wir bei Leftshift One gut positioniert, um die nun feststehenden Anforderungen umzusetzen.
Die Herausforderungen, die die Verordnung mit sich bringt, sehen wir weiterhin als Chance, unsere Position als verantwortungsbewusster KI-Anbieter zu stärken und das Vertrauen unserer Kunden weiter auszubauen.
Wir werden auch in Zukunft über wichtige Entwicklungen und unsere Fortschritte bei der Umsetzung des AI Act informieren.
Literaturverzeichnis:
Europäische Kommission, Ein europäischer Ansatz für künstliche Intelligenz, abrufbar unter https://digital-strategy.ec.europa.eu/de/policies/european-approach-artificial-intelligence (Stand 10.09.2024)
Rundfunk und Telekom Regulierungs-GmbH, abrufbar unter https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/AI_Act.de.html (Stand 10.09.2024).
Disclaimer: Der vorliegende Artikel stellt eine generelle Information dar und wurde nach bestem Wissen und Gewissen zusammengestellt. Dennoch kann keine Gewähr für die Richtigkeit, Vollständigkeit, Genauigkeit oder Aktualität der Inhalte übernommen werden. Der Artikel dient ausschließlich zu Informationszwecken und sollte weder als rechtliche Beratung interpretiert werden noch kann eine solche ersetzen. Die Verantwortung für Handlungen, die aufgrund des Artikels getroffen werden, liegt allein beim übernehmenden Anwender. Eine Haftung für Schäden oder Konsequenzen, die sich aus der Nutzung ergeben, ist ausgeschlossen.
Neugierig auf MyGPT? Vereinbaren Sie Ihr kostenloses Erstgespräch!