Teil 2: Risiko­ka­te­go­ri­sierung und Regulierungsansätze

Ein zentrales Element der EU-KI-Verordnung ist der risiko­ba­sierte Ansatz, der KI-Systeme je nach ihrem poten­zi­ellen Einfluss auf die Gesell­schaft in vier Risikoklassen einteilt. Diese Klassi­fi­zierung bestimmt, welche regula­to­ri­schen Anfor­de­rungen und Kontrollen für die jewei­ligen Systeme gelten.

1. Verbotene KI-Praktiken

Diese Kategorie umfasst KI-Anwen­dungen, die als unethisch oder gefährlich einge­stuft werden und daher innerhalb der EU verboten sind.

  • Manipu­lative KI-Systeme: Systeme, die das Verhalten von Menschen durch unter­be­wusste Techniken beein­flussen und ihnen poten­ziell schaden können.
    Beispiel: Eine App, die durch subli­minale Botschaften Nutzer dazu verleitet, impulsive Käufe zu tätigen oder bestimmte politische Meinungen anzunehmen, ohne dass sie sich dessen bewusst sind.
  • Soziale Bewertung: KI-Systeme, die das gesell­schaft­liche Verhalten von Personen bewerten, um sie zu belohnen oder zu bestrafen.
    Beispiel: Ein Scoring-System, das das Online-Verhalten von Menschen analy­siert und ihnen basierend darauf den Zugang zu Dienst­leis­tungen wie Krediten oder Wohnraum verweigert.
  • Biome­trische Echtzeit-Überwa­chung: Der Einsatz von Techno­logien wie Gesichts­er­kennung im öffent­lichen Raum ohne klare gesetz­liche Grundlage.
    Beispiel: Eine Stadt, die Kameras mit Gesichts­er­kennung einsetzt, um Personen in Echtzeit zu identi­fi­zieren und zu verfolgen, ohne dass die Betrof­fenen darüber infor­miert sind oder einge­willigt haben.

2. Hochrisiko-KI-Systeme

KI-Systeme, die als hohes Risiko einge­stuft werden, können erheb­liche Auswir­kungen auf das Leben und die Rechte von Menschen haben. Daher unter­liegen sie strengen Anfor­de­rungen und müssen bestimmte Kriterien erfüllen.

  • Quali­täts­ma­nagement: Anbieter müssen ein robustes Quali­täts­ma­nage­ment­system imple­men­tieren, das die Einhaltung aller gesetz­lichen Vorschriften sicherstellt.
    Beispiel: Ein Hersteller von medizi­ni­schen KI-Diagno­se­tools muss sicher­stellen, dass seine Systeme regel­mäßig überprüft und aktua­li­siert werden, um genaue und zuver­lässige Diagnosen zu gewährleisten.
  • Daten­an­for­de­rungen: Die verwen­deten Daten­sätze müssen von hoher Qualität, reprä­sen­tativ und frei von Verzer­rungen sein, um diskri­mi­nie­rende oder fehler­hafte Ergeb­nisse zu vermeiden.
    Beispiel: Eine KI, die bei der Perso­nal­re­kru­tierung einge­setzt wird, muss mit diversen Daten trainiert werden, um sicher­zu­stellen, dass keine Bewerber aufgrund von Geschlecht, Alter oder ethni­scher Herkunft benach­teiligt werden.
  • Dokumen­tation und Trans­parenz: Anbieter müssen umfas­sende technische Unter­lagen bereit­stellen und Nutzer klar über die Funkti­ons­weise und die poten­zi­ellen Risiken des KI-Systems informieren.
    Beispiel: Ein Finanz­in­stitut, das eine KI für Kredit­ent­schei­dungen nutzt, muss offen­legen, welche Kriterien die KI berück­sichtigt und wie diese Entschei­dungen beeinflussen.
  • Mensch­liche Aufsicht und Eingriffs­mög­lichkeit: Es muss gewähr­leistet sein, dass Menschen die Kontrolle über das KI-System behalten und bei Bedarf eingreifen können.
    Beispiel: In autonomen Fahrzeugen muss der Fahrer jederzeit die Möglichkeit haben, die Steuerung zu übernehmen, um auf unerwartete Verkehrs­si­tua­tionen reagieren zu können.
  • Robustheit und Sicherheit: Die Systeme müssen zuver­lässig funktio­nieren und vor Manipu­la­tionen oder Cyber­an­griffen geschützt sein.
    Beispiel: Ein KI-System zur Steuerung von Strom­netzen muss gegen Hacker­an­griffe abgesi­chert sein, um Strom­aus­fälle oder Schäden zu verhindern.

3. Begrenztes Risiko

KI-Systeme mit begrenztem Risiko unter­liegen spezi­fi­schen Trans­pa­renz­an­for­de­rungen, jedoch keinen strengen Regulie­rungen. Ziel ist es, sicher­zu­stellen, dass Nutzer infor­miert sind und bewusst mit diesen Systemen interagieren.

  • Beispiel: Ein Chatbot im Kunden­service muss deutlich machen, dass der Nutzer mit einer KI und nicht mit einem mensch­lichen Mitar­beiter spricht.
  • Beispiel: Ein virtu­eller Assistent, der Emoti­ons­er­kennung nutzt, um auf die Stimmung des Nutzers zu reagieren, muss den Nutzer darüber infor­mieren, dass solche Techno­logien einge­setzt werden.

4. Minimales Risiko

Die meisten KI-Systeme fallen in diese Kategorie und können ohne besondere Anfor­de­rungen genutzt werden, da sie ein geringes oder kein Risiko für die Rechte oder die Sicherheit von Personen darstellen.

  • Beispiel: Ein Musik­streaming-Dienst, der KI verwendet, um perso­na­li­sierte Wieder­ga­be­listen basierend auf dem Hörver­halten des Nutzers zu erstellen.
  • Beispiel: Ein E‑Mail-Programm, das mithilfe von KI Spam-Nachrichten identi­fi­ziert und automa­tisch in einen separaten Ordner verschiebt.

Mit dieser Risiko­ka­te­go­ri­sierung schafft die EU-KI-Verordnung…

einen klaren Rahmen, der sowohl den Schutz der Bürger als auch die Förderung von Innova­tionen berück­sichtigt. Unter­nehmen sind aufge­fordert, ihre KI-Systeme entspre­chend einzu­stufen und die notwen­digen Maßnahmen zu ergreifen, um Compliance zu gewährleisten.

Bitte beachten Sie, dass nicht alle KI-Systeme unter die Verordnung fallen. Systeme mit minimalem Risiko, wie sie in alltäg­lichen Anwen­dungen vorkommen (z. B. Smart-Home-Assis­tenten), unter­liegen keinen spezi­fi­schen Anfor­de­rungen. Ein wesent­licher Aspekt der Verordnung ist die Vermeidung unnötiger Belas­tungen für Unter­nehmen. Statt­dessen soll eine ausge­wogene Regulierung geschaffen werden, die Innovation fördert und gleich­zeitig Risiken minimiert.