logo_klein
AI Act: Was ist Hochrisiko-KI?
AI Act: Was ist Hochrisiko-KI?

Besonders im Fokus des vor kurzem vom EU-Parlament beschlossenen AI-Acts steht die sogenannte Hochrisiko-KI. In den Erwägungsgründen, im Verordnungstext und in den Anhängen kommt der Begriff über 400 Mal vor. Doch was macht eine KI gemäß dem AI-Act zur Hochrisiko-KI?

Hochrisiko-KI im Kapitel III des AI-Act

Hochrisiko-KI-Systeme stellen eine potenzielle Bedrohung für die Gesundheit, Sicherheit und grundlegenden Rechte der Menschen dar. Daher werden den Anbietern strenge Auflagen auferlegt, darunter die Pflicht zur ausführlichen Dokumentation und die Einrichtung eines Systems zur Risikobewertung und Qualitätssicherung. Diese werden in zwei Hauptkategorien unterteilt.

Verschiedene Kategorien von KI-Systemen

Die erste Kategorie betrifft KI-Systeme, die entweder als Sicherheitskomponenten in Produkten dienen oder selbst als Produkte gelten, die einer Konformitätsbewertung gemäß den EU-Rechtsakten unterliegen, die in Anhang II des AI Acts aufgeführt sind. Beispiele hierfür sind KI-Systeme, die als Sicherheitskomponenten in medizinischen Geräten, Aufzügen, bestimmten Fahrzeugen und Flugzeugen verwendet werden.

Die zweite Kategorie umfasst eigenständige KI-Systeme, die sich auf die Grundrechte auswirken. Eine Liste solcher KI-Systeme ist in Anhang III des AI Acts aufgeführt und umfasst beispielsweise:

  • KI-Systeme, die für die Sicherheit kritischer Infrastrukturen verwendet werden sollen,
  • KI-Systeme, die in Bildungseinrichtungen eingesetzt werden sollen, um Zugang zu Bildungseinrichtungen zu regeln oder Schüler zu bewerten,
  • KI-Systeme, die im Arbeitskontext eingesetzt werden sollen, zB bei der Personalbeschaffung oder bei der Leistungsüberwachung von Mitarbeitern,
  • KI-Systeme für die Kreditwürdigkeitsprüfung von Personen, ausgenommen solche, die zur Betrugsbekämpfung eingesetzt werden.

Ausnahmen und Zulassung am EU-Markt

Die im Anhang III aufgeführten KI-Systeme gelten nicht als Hochrisiko-KI, wenn spezifische Ausnahmen gelten, wie beispielsweise die Verbesserung einer menschlichen Tätigkeit durch das KI-System. Diese Ausnahmen müssen dokumentiert und das KI-System in der EU-Datenbank registriert werden.

Um auf dem europäischen Markt zugelassen zu werden, müssen Hochrisiko-KI-Systeme bestimmte Anforderungen erfüllen und einer Ex-ante-Konformitätsbewertung unterzogen werden. Dazu gehören die Einrichtung eines Qualitätsmanagementsystems und eines Risikomanagementsystems sowie die Erstellung detaillierter technischer Dokumentation gemäß dem AI Act.

Pflichten für Anbieter und Hersteller

Anbieter außerhalb der EU, die ihre KI-Systeme auf dem EU-Markt anbieten, müssen einen Bevollmächtigten in der EU benennen. Ähnliche Regelungen gibt es etwa auch in der DSGVO. Hersteller von Produkten, die Hochrisiko-KI-Systeme enthalten, müssen dieselben Verpflichtungen wie die Anbieter erfüllen. Einführer und Händler müssen sicherstellen, dass die KI-Systeme den Anforderungen des AI Acts entsprechen.

Betreiber von Hochrisiko-KI-Systemen müssen diese gemäß den Anweisungen verwenden, Eingabedaten sorgfältig auswählen, den Betrieb überwachen und Protokolle aufbewahren. Einige Betreiber müssen auch eine Grundrechte-Folgenabschätzung durchführen, bevor sie Hochrisiko-KI-Systeme in Betrieb nehmen.

Die technischen Anforderungen an Hochrisiko-KI-Systeme sind ebenfalls festgelegt. Sie müssen beispielsweise in der Lage sein, Vorgänge und Ereignisse zu protokollieren und von Menschen effektiv überwacht zu werden. Hochrisiko-KI-Systeme müssen transparent gestaltet sein, damit die Nutzer ihre Ergebnisse interpretieren und nutzen können.

Fazit: Handlungsbedarf für Unternehmer

Für Betreiber und Anbieter von KI-Systemen gibt es Umsetzungsfristen, die angesichts der komplexen rechtlichen und technischen Fragestellungen knapp bemessen sind. Innerhalb von spätestens 18 Monaten nach Inkrafttreten des AI Acts wird die Kommission Richtlinien zur praktischen Umsetzung von Hochrisiko-KI herausgeben und eine Liste von Beispielen für solche KI-Systeme zur Verfügung stellen. So lange sollten die betroffenen Akteure jedoch nicht unbedingt warten, da die Umsetzung auf Inkrafttreten des AI Act nur 24 Monate beträgt. Erfahrungen zur Umsetzung der DSGVO zeigen, dass ein Zuwarten bis wenige Monate vor Ablauf der Umsetzungsfrist zu erhöhten Beratungsaufwänden, Kosten und unter Umständen Compliance-Lücken führt.

Sie haben weitere Fragen zum Thema KI und Recht?

Sie haben weitere Fragen zum Entwurf des AI-Acts der EU oder wollen sich zu ähnlichen Rechtsfragen zu künstlicher Intelligenz von einem Rechtsanwalt beraten lassen? Schauen Sie gerne bei unseren Services vorbei oder melden Sie sich per E-Mail unter office@geuer.at bzw telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.

Seminar- und Eventtipps zum Thema Künstliche Intelligenz und Recht:

KI-Stammtisch am 17.4.2024 in Linz

AWAK-Seminar am 23.4.2024 in Wien

Link zum AI-Act (Version des EU-Parlaments)

https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138_DE.pdf

Scroll to Top