Vorschlag für einen Rechtsrahmen für künstliche Intelligenz

Der Regulierungsvorschlag zielt darauf ab, KI-Entwicklern, -Anbietern und -Nutzern klare Anforderungen und Verpflichtungen in Bezug auf bestimmte KI-Nutzungen zu bieten. Gleichzeitig zielt der Vorschlag darauf ab, die administrativen und finanziellen Belastungen für Unternehmen, insbesondere kleine und mittlere Unternehmen (KMU), zu verringern.

Der Vorschlag ist Teil eines umfassenderen KI-Pakets, das auch den aktualisierten koordinierten Plan für KI umfasst. Der Regulierungsrahmen und der koordinierte Plan gewährleisten zusammen die Sicherheit und Grundrechte von Menschen und Unternehmen, wenn es um KI geht. Und sie werden die Akzeptanz, Investitionen und Innovationen in KI in der gesamten EU stärken.

Warum brauchen wir Regeln für KI?

Die vorgeschlagene KI-Verordnung stellt sicher, dass die Europäer dem vertrauen können, was KI zu bieten hat. Während die meisten KI-Systeme auf kein Risiko beschränkt sind und zur Lösung vieler gesellschaftlicher Herausforderungen beitragen können, schaffen bestimmte KI-Systeme Risiken, die wir angehen müssen, um unerwünschte Ergebnisse zu vermeiden.

Zum Beispiel ist es oft nicht möglich herauszufinden, warum ein KI-System eine Entscheidung oder Vorhersage getroffen und eine bestimmte Aktion getroffen hat. So kann es schwierig werden, zu beurteilen, ob jemand ungerechtfertigt benachteiligt wurde, etwa in einer Einstellungsentscheidung oder in einem Antrag auf ein öffentliches Versorgungssystem.

Obwohl die bestehenden Rechtsvorschriften einen gewissen Schutz bieten, reichen sie nicht aus, um die spezifischen Herausforderungen zu bewältigen, die KI-Systeme mit sich bringen können.

Die vorgeschlagenen Vorschriften werden:

• Bewältigung von Risiken, die speziell durch KI-Anwendungen entstehen;
• eine Liste der Anträge mit hohem Risiko vorschlagen;
• klare Anforderungen an KI-Systeme für Anwendungen mit hohem Risiko festlegen;
• Festlegung spezifischer Verpflichtungen für KI-Nutzer und Anbieter von Anwendungen mit hohem Risiko;
• eine Konformitätsbewertung vorschlagen, bevor das KI-System in Betrieb genommen oder in Verkehr gebracht wird;
• schlägt die Durchsetzung vor, nachdem ein solches KI-System in Verkehr gebracht wurde;
• Vorschlag für eine Governance-Struktur auf europäischer und nationaler Ebene.

Ein risikobasierter Ansatz

Der Regulierungsrahmen legt vier Risikostufen in KI fest:

• Inakzeptables Risiko
• Hohes Risiko
• Begrenztes Risiko
• Minimales oder kein Risiko

Inakzeptables Risiko

Alle KI-Systeme, die als eine eindeutige Bedrohung für die Sicherheit, den Lebensunterhalt und die Rechte von Menschen angesehen werden, werden verboten, von der sozialen Bewertung durch Regierungen bis hin zu Spielzeug mit Hilfe von Sprachhilfe, die gefährliches Verhalten fördert.

Hohes Risiko

KI-Systeme, die als Hochrisiko identifiziert werden, umfassen KI-Technologien, die in folgenden Bereichen verwendet werden:

• kritische Infrastrukturen (z. B. Verkehr), die das Leben und die Gesundheit der Bürger gefährden könnten;
• Bildungs- oder Berufsausbildung, die den Zugang zu Bildung und beruflichem Verlauf des Lebens einer Person bestimmen kann (z. B. Bewertung von Prüfungen);
• Sicherheitskomponenten von Produkten (z. B. KI-Anwendung in der robotergestützten Chirurgie);
• Beschäftigung, Management von Arbeitnehmern und Zugang zu selbständiger Erwerbstätigkeit (z. B. Software zur Auswahl von Lebensläufen für Einstellungsverfahren);
• wesentliche private und öffentliche Dienstleistungen (z. B. Kreditbewertung, die den Bürgern die Möglichkeit verwehrt, ein Darlehen zu erhalten);
• Strafverfolgung, die in die Grundrechte der Menschen eingreifen könnte (z. B. Bewertung der Zuverlässigkeit von Beweismitteln);
• Migrations-, Asyl- und Grenzkontrollmanagement (z. B. Überprüfung der Echtheit von Reisedokumenten);
• Rechtspflege und demokratische Prozesse (z. B. Anwendung des Gesetzes auf konkrete Fakten).

KI-Systeme mit hohem Risiko unterliegen strengen Verpflichtungen, bevor sie auf den Markt gebracht werden können:

• angemessene Risikobewertungs- und Risikominderungssysteme;
• hohe Qualität der Datensätze, die das System füttern, um Risiken und diskriminierende Ergebnisse zu minimieren;
• Erfassung der Tätigkeit, um die Rückverfolgbarkeit der Ergebnisse zu gewährleisten;
• ausführliche Unterlagen, die alle erforderlichen Informationen über das System und seinen Zweck enthalten, damit die Behörden die Einhaltung der Vorschriften bewerten können;
• klare und angemessene Informationen für den Nutzer;
• angemessene menschliche Aufsichtsmaßnahmen zur Minimierung des Risikos;
• hohe Robustheit, Sicherheit und Genauigkeit.

Alle biometrischen Fernidentifikationssysteme gelten als ein hohes Risiko und unterliegen strengen Anforderungen. Die Verwendung biometrischer Fernidentifikationen in öffentlich zugänglichen Räumen für Strafverfolgungszwecke ist grundsätzlich verboten.

Enge Ausnahmen sind streng definiert und geregelt, z. B. wenn dies erforderlich ist, um nach einem vermissten Kind zu suchen, eine bestimmte und unmittelbare terroristische Bedrohung zu verhindern oder einen Täter oder Verdächtigen einer schweren Straftat aufzudecken, zu lokalisieren, zu identifizieren oder strafrechtlich zu verfolgen.

Eine solche Nutzung bedarf der Genehmigung einer gerichtlichen oder anderen unabhängigen Stelle und angemessenen zeitlichen, geografischen Reichweiten und der durchsuchten Datenbanken.

Begrenztes Risiko

Begrenztes Risiko bezieht sich auf KI-Systeme mit spezifischen Transparenzverpflichtungen. Bei der Verwendung von KI-Systemen wie Chatbots sollten sich die Benutzer bewusst sein, dass sie mit einer Maschine interagieren, damit sie eine fundierte Entscheidung treffen können, weiterzumachen oder zurückzutreten.

Minimales oder kein Risiko

Der Vorschlag erlaubt die freie Nutzung von KI mit minimalem Risiko. Dazu gehören Anwendungen wie KI-fähige Videospiele oder Spamfilter. Die überwiegende Mehrheit der derzeit in der EU eingesetzten KI-Systeme fällt in diese Kategorie.

Sobald ein KI-System auf dem Markt ist, sind die Behörden für die Marktüberwachung zuständig, die Nutzer gewährleisten die menschliche Aufsicht und Überwachung und die Anbieter verfügen über ein Überwachungssystem nach dem Inverkehrbringen. Anbieter und Benutzer werden auch schwerwiegende Vorfälle und Fehlfunktionen melden.

Zukunftssichere Rechtsvorschriften

Da KI eine sich schnell entwickelnde Technologie ist, verfolgt der Vorschlag einen zukunftssicheren Ansatz, der es ermöglicht, sich an den technologischen Wandel anzupassen. KI-Anwendungen sollten auch nach dem Inverkehrbringen vertrauenswürdig bleiben. Dies erfordert ein kontinuierliches Qualitäts- und Risikomanagement durch Anbieter.

Nächste Schritte

Im Anschluss an den Vorschlag der Kommission im April 2021 könnte die Verordnung Ende 2022/Anfang 2023 in einem Übergangszeitraum in Kraft treten. In diesem Zeitraum würden Normen vorgeschrieben und entwickelt, und die eingerichteten Governance-Strukturen würden funktionsfähig sein. Die zweite Hälfte des Jahres 2024 ist das früheste Mal, dass die Verordnung auf Betreiber anwendbar werden könnte, die die Normen bereit und die ersten Konformitätsbewertungen durchführen.