Teil 3: Anforderungen an Hochrisiko-KI-Systeme
Für KI-Systeme, die als “hochrisikoreich” eingestuft werden, gelten strenge Auflagen. Die EU hat sich zum Ziel gesetzt, die Sicherheit, Ethik und Vertrauenswürdigkeit dieser Systeme zu gewährleisten.
Die wichtigsten Anforderungen
- Datensicherheit und Qualität: Bei Hochrisiko-KI-Systemen ist eine verlässliche und hochwertige Datenbasis unerlässlich. Verzerrungen in den Daten können zu diskriminierenden Entscheidungen führen, was unbedingt vermieden werden muss. Unternehmen sind dazu verpflichtet, die Datenquellen in regelmäßigen Abständen zu überprüfen und zu validieren.
- Transparenz und Erklärbarkeit: Es ist von entscheidender Bedeutung, dass Anwender und Betroffene darüber informiert werden, dass sie mit einer KI interagieren, und dass sie die Grundlagen der Entscheidungsfindung des Systems verstehen. Dies ist insbesondere in Bereichen wie der Strafverfolgung oder dem Gesundheitswesen von entscheidender Bedeutung, da Fehlentscheidungen gravierende Konsequenzen haben können.
- Menschliche Aufsicht: Auch bei hochentwickelten KI-Systemen muss stets sichergestellt sein, dass ein Mensch in den Entscheidungsprozess eingreifen kann, sofern dies erforderlich ist. Insbesondere bei hochkritischen Entscheidungen, wie der Bewilligung eines Kredits oder einer medizinischen Diagnose, ist eine vollautomatische Entscheidungsfindung ohne menschliche Kontrolle nicht zulässig.
- Zertifizierung und Audits: Hochrisiko-KI-Systeme müssen einer regelmäßigen Überprüfung und Zertifizierung durch unabhängige Stellen unterzogen werden. Die Audits dienen der Gewährleistung der Konformität mit den geltenden Vorschriften sowie der Vermeidung von Risiken für die Gesellschaft.
Wann kommt die KI-Verordnung nicht zur Anwendung?
Die EU-KI-Verordnung schafft einen umfassenden Rechtsrahmen für den Einsatz von Künstlicher Intelligenz. Allerdings gibt es bestimmte Bereiche und Anwendungen, in denen sie nicht gilt. Es ist von entscheidender Bedeutung, die Ausnahmen zu verstehen, um zu wissen, wann die regulatorischen Anforderungen gelten und wann nicht.
Ausnahmen für militärische Anwendungen
Die vorliegende Verordnung findet keine Anwendung auf KI-Systeme, die ausschließlich für militärische Zwecke entwickelt oder eingesetzt werden. Militärische Anwendungen, wie beispielsweise KI-Systeme zur Steuerung von militärischen Drohnen oder zur Analyse strategischer Militärdaten, unterliegen eigenen Regulierungen und sind von der EU-KI-Verordnung ausgenommen.
Private und persönliche Nutzung
Gemäß der Verordnung sind KI-Systeme, die ausschließlich für private oder persönliche Zwecke genutzt werden, von den Anforderungen ausgenommen. Die Verordnung findet keine Anwendung, sofern eine Privatperson zu Hause eine selbstentwickelte KI-Anwendung nutzt, beispielsweise zur Sortierung persönlicher Fotos oder zur Optimierung des Energieverbrauchs im eigenen Haushalt.
Tätigkeiten außerhalb der EU
Die KI-Verordnung findet keine Anwendung auf KI-Systeme, die außerhalb der EU entwickelt oder eingesetzt werden und keine Auswirkungen auf den EU-Markt oder EU-Bürger haben. Ein in Japan ansässiges Unternehmen, das ein KI-System für den lokalen Markt entwickelt und dieses weder in der EU anbietet noch verwendet, unterliegt somit nicht der EU-KI-Verordnung.
Bestimmte öffentliche Stellen und Aktivitäten
Tätigkeiten der EU-Organe oder der Mitgliedstaaten im Rahmen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit sind von der Verordnung ausgenommen. Nationale Geheimdienste, die beispielsweise KI zur Terrorismusbekämpfung einsetzen, unterliegen nicht den Bestimmungen der EU-KI-Verordnung.
Forschung und Entwicklung
Aktivitäten im Bereich der reinen Forschung und Entwicklung, die nicht zur Markteinführung eines KI-Systems führen, können von bestimmten Anforderungen der Verordnung ausgenommen werden. Ein Forschungsprojekt an einer Universität, das neue KI-Algorithmen entwickelt und testet, ohne diese kommerziell anzubieten, unterliegt demnach nicht den strengen Vorgaben der Verordnung.
Temporäre Nutzung zur Prüfung
Die vorübergehende Nutzung von KI-Systemen in kontrollierten Umgebungen zur Bewertung, Validierung oder Demonstration ist ebenfalls nicht Gegenstand der Verordnung, sofern keine realen Nutzerdaten betroffen sind. Bei einem internen Test eines KI-Systems mit simulierten Daten durch ein Unternehmen, um dessen Funktionalität zu überprüfen, bevor es auf den Markt gebracht wird, finden die Anforderungen der Verordnung keine Anwendung.