Alle News & Events anzeigen

18.04.2024

"KI-Flash": Der risikobasierte Ansatz des AI Act

Nachdem wir in unserem letzten KI-Flash zur Frage „Was ist ein KI System nach dem EU AI Act?“ berichtet haben, möchten wir Ihnen auch weiterhin in regelmäßigen Abständen rechtliche Impulse mit auf den Weg geben. Da Zeit in der heutigen Gesellschaft ein rares Gut ist, wollen wir mit unseren „KI-Flash“ gleich auf den Punkt kommen und die rechtlichen Herausforderungen kurz und prägnant zusammenfassen:

Heutiges Thema: Der risikobasierte Ansatz des AI Act

Der AI Act folgt grundsätzlich einem risikobasierten Ansatz. Dies bedeutet: Je mehr Risiken von einem bestimmten KI-System ausgehen, desto strengere regulatorische Anforderungen müssen bei dessen Entwicklung oder Einsatz beachtet werden. Grundsätzlich können hierbei die folgenden Risikogruppen unterschieden werden:

  • Der AI Act listet zunächst eine Reihe von KI auf, deren Einsatz in der EU in jeglicher Form, Branche und Produkt verboten ist. Interessant ist insoweit, dass sich das Verbot nicht ausschließlich auf bestimmte KI-Systeme beschränkt, sondern auf Praktiken mit KI abstellt. Dies bedeutet, dass ein KI-System, welches originiär nicht als verboten angesehen werden müsste, dennoch – aufgrund dessen konkreter Nutzung – zu einem Verbot führen kann. Die im AI Act genannten Verbote gelten daher letztlich für jegliche Nutzung von KI und dies unabhängig von der jeweiligen Rolle als Entwickler oder Betreiber. Verboten werden jedoch insgesamt (nur) einige wenige KI-Praktiken, wozu u.a. unterschwellige oder absichtlich manipulative oder täuschende Techniken sowie die Emotionserkennung am Arbeitsplatz zählen.
     
  • Daneben werden einige KI-Systeme in die Kategorie „hohes Risiko“ eingeordnet (sogenannte Hochrisiko-KI-Systeme). Die Entwicklung und der Betrieb solcher Hochrisiko-KI-Systeme ist nicht verboten, allerdings stellt der AI Act insoweit – vor allem für Entwickler – einen umfangreichen Pflichtenkatalog auf. Eher wenige, insgesamt jedoch nicht zu unterschätzende Pflichten, werden jedoch auch dem Betreiber von Hochrisiko-KI-Systemen auferlegt. Zu entsprechenden Hochrisiko-KI-Systemen gehören etwa KI-Systeme, die als Sicherheitskomponenten für das Management und den Betrieb kritischer digitaler Infrastrukturen, den Straßenverkehr und die Versorgung mit Wasser, Gas, Wärme und Strom eingesetzt werden sollen. Ebenfalls werden solche KI-Systeme als hochriskant eingeordnet, welche in den Bereichen Beschäftigung und Arbeitnehmer eingesetzt werden, soweit die KI für die Einstellung oder Auswahl von Personen verwendet wird oder etwa zum Einsatz kommt, um Entscheidungen zu treffen, die sich auf die Beschäftigungsbedingungen auswirken oder um die Leistung von Beschäftigten zu bewerten.
     
  • Für alle übrigen KI-Systeme werden nur einige überschaubare Pflichten definiert, primär zur Transparenz. Diese Pflichten sind teilweise auch einzelfallbezogen ausgestaltet und gelten für den Entwickler und/oder den Betreiber entsprechender KI-Systeme.

Achtung: Stolperfalle bei der Risikoeinstufung

Die Risikoeinstufung nach den Vorgaben des AI Act kann in einigen Fällen jedoch mit gewissen Stolperfallen versehen sein. Nutzt ein Unternehmen bspw. einen auf die eigenen Produkte und Dienstleistungen zugeschnittenen Chatbot für Kunden, wird dieses KI-System im Regelfall keinem hohen Risiko unterliegen. Die gleichen Grundsätze gelten auch dann, sofern ein unternehmenseigener Chatbot für die Beschäftigten implementiert wird, welcher bspw. mit weiteren Systemen des Unternehmens verknüpft ist und den Arbeitsalltag vereinfachen soll.

Aber Vorsicht: Wenn das KI-System auch für andere Sachverhalte eingesetzt wird, als dies vom originären Verwendungszweck des KI-Systems vorgesehen ist (etwa um die Leistung von Beschäftigten zu bewerten), kann dies einen „Aufschwung“ zur Hochrisiko-KI bewirken. In diesen Fällen gilt der Betreiber eines entsprechenden Systems – so seltsam dies zunächst klingen mag – teilweise als Entwickler eines Hochrisiko-KI-Systems. In diesem Fall trifft das Unternehmen zahlreiche (immerhin nicht sämtliche) Verpflichtungen eines entsprechenden Entwicklers.

Keine vorschnelle Einstufung vornehmen!

Unser Fazit für diesen KI-Flash kann daher nur lauten: Prüfen Sie sehr genau, in welcher Rolle sich Ihr Unternehmen wiederfindet und welche konkreten Pflichten hieraus resultieren. Wir werden einige der vorgenannten Begriffe und Einordnungen in den nächsten KI-Flash näher unter die Lupe nehmen. Bleiben Sie daher gespannt.

Erfahren Sie schon heute, worüber die Rechtswelt morgen redet.

Autor/innen

Fabian Bauer

Fabian Bauer

Counsel

Profil anzeigen
Marius Drabiniok

Marius Drabiniok

Associate

Profil anzeigen

Das könnte Sie auch interessieren

News

6

08.09.2023, Marius Drabiniok, Dr. Oliver Hornung, Dr. Stefan Peintinger

"KI-Flash" - Datenschutzrechtliche Rechtsgrundlagen beim Einsatz von KI

21.02.2024, Ferdinand Schwarz (geb. Wessels), Tamara Ulm

"KI-Flash": Mitbestimmungsrechte des Betriebsrats beim Einsatz von ChatGPT?

19.12.2023, Marius Drabiniok, Dr. Oliver Hornung, Dr. Stefan Peintinger

"KI-Flash": Aktueller Stand zur Europäischen KI-Verordnung

09.11.2023, Marius Drabiniok, Dr. Oliver Hornung, Dr. Stefan Peintinger

"KI-Flash": Ausblick zu den rechtlichen Anforderungen der europäischen KI-Verordnung

17.10.2023, Marius Drabiniok, Dr. Oliver Hornung, Dr. Stefan Peintinger

"KI-Flash": Datenschutzrechtliche Anforderungen an das Trainieren einer KI

31.01.2024, Marius Drabiniok, Marwah Kamal, Franziska Ladiges

"KI-Flash": Hinweis des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zu den Auswirkungen des SCHUFA-Urteils auf KI-Anwendungen

alle anzeigen