„AI Act“ Zusammenfassung: So will die EU die KI regulieren

Wie weit darf KI im beruflichen Alltag unterstützen? Eine von vielen Fragen. Die Antwort: der sogenannte „AI Act“. Doch was steckt dahinter? Eine kurze Zusammenfassung zum „AI Act“ der EU mit den wichtigsten Punkten.

Das ist der „AI Act“

Die vollständige Abkürzung lautet sogar „AIA“. „AIA“ steht für Artificial Intellegence Act. Zu Deutsch: Gesetz über künstliche Intelligenz (KI).

Das Gesetz ist Teil der europaweiten Digitalstrategie. Hauptsächlicher Bestandteil des Gesetzesentwurfes sind Vorschläge zur Regelung zum Umgang mit KI. Sowohl in Unternehmen als auch in der Wissenschaft.

Betroffene vom „AI Act“

Der AI Act betrifft zweierlei Gruppen:

1. Anbieter
2. Nutzer

Bei den Anbietern handelt es sich konkret um alle juristischen Personen, Behörden, Einrichtungen und sonstige Stellen, welche ein KI-System entwickeln oder entwickeln lassen.

Nutzer sind, nach dem AI Act, alle Anwendenden innerhalb der Europäischen Union. Das betrifft sowohl die oben genannten Personen als auch natürliche und somit Privatpersonen. Die genaue Definition, wer vom AI Act betroffen ist, wird in Artikel 2 des Entwurfes festgehalten.

Definition von KI

Was ist überhaupt KI? Auch auf diese Frage liefert der AI Act eine Antwort. Definiert wird Künstliche Intelligenz im Anhang I des Gesetzesentwurfes. Demnach gibt es drei Bewertungs-Kategorien für KI. Diese sind:

1. Konzepte des maschinellen Lernens mit
   1. beaufsichtigten
   2. unbeaufsichtigten
   3. bestärkenden

Lernen unter Verwendung von breiten Paletten an Methoden einschließlich dem Deep Learning.

2. Logistik- und wissensgestützte Konzepte einschließlich:
   1. Wissensrepräsentation
   2. Induktiver Programmierung
   3. Wissensgrundlagen
   4. Inferenz- und Deduktionsmaschinen
   5. Schlussfolgerungs- und Expertensysteme
   6. Statistische Ansätze sowie Bayessche Schätz-, Such- und Optimierungsmethoden
       
3. Per Definition ist KI außerdem, wenn die Software verwendet wird um:
   1. Vom Menschen festgelegte Ziele zu erzielen
   2. Inhalte und Ergebnisse vorherzusagen, zu empfehlen oder zu entscheiden
   3. das Umfeld zu beeinflussen

Somit gibt es per se keine enge Eingrenzung, was als KI gilt und was nicht. Hintergrund ist, dass in den kommenden Jahren noch weitere Varianten an KI-gestützter Software entstehen werden und somit ein möglichst breites Feld gesetzlich vorab definiert ist.

Einstufung der Risikogruppen

Natürlich können KI-Systeme in unterschiedlicher Art und Weise genutzt und entworfen werden. Deshalb greifen unterschiedliche Anforderungen und Regularien je Risikogruppe. Diese Risikogruppen wurden nach dem sogenannten Weissbuch zur Künstlichen Intelligenz der EU-Kommission definiert.

Es gibt demnach folgende Risikogruppen:

1. geringes oder minimales Risiko
2. hohes Risiko
3. Hochrisiko-KI-Systeme
4. Unannehmbares Risiko

Je risikoträchtiger ein System ist, desto strenger sind die Regularien und Vorschriften.

Blick auf Hochrisiko-KI-System

Einen besonderen Blick verdienen die Anforderungen an sogenannte Hochrisiko-Systeme. Diese Vorschriften werden in Artikel 8 des AI Acts definiert.

Zunächst muss ein Risikomanagementsystem eingerichtet, angewendet, dokumentiert und aufrechtgehalten werden. Das Risikomanagementsystem umfasst wiederum folgende Aspekte:

• Ermittlung und Analyse der bekannten und vorhersehbaren Risiken
• Abschätzung und Bewertung der Risiken
• Bewertung anderer möglicherweise auftretender Risiken
• Ergreifung geeigneter Risikomanagementmaßnahmen

Dabei werden die Risikomanagementmaßnahmen folgendermaßen definiert:

• weitestmögliche Beseitigung oder Verringerung der Risiken durch eine geeignete Konzeption und Entwicklung
• gegebenenfalls Anwendung angemessener Minderungs- und Kontrollmaßnahmen
• Bereitstellung angemessener Informationen 

Bevor allerdings ein Hochrisiko-KI-System in der Praxis angewendet wird, muss eine vorherige Testung erfolgen. Diese Test-Parameter werden ebenfalls in Artikel 8 des AI Acts definiert:

• Pflicht zur Testung von Hochrisiko-KI-Systemen zur Ermittlung der bestmöglichen Risikomanagementmaßnahmen
• Geeignetes Testverfahren um Zweckbestimmung des KI-Systems zu bestimmen
• Testung erfolgt zu jedem Zeitpunkt während des Entwicklungsprozesses
• Testverfahren muss vor dem Live-Gang erfolgen
• Testung erfolgt auf Basis vorab definierter Parameter

Verbot von KI-Systemen

Natürlich regelt der AI Act ebenfalls, welche KI-Systeme nicht in Betrieb gehen dürfen. Sogenannten AI-Systeme mit einem unannehmbaren Risiko. Diese Verbote reguliert der Gesetzesentwurf in Artikel 5.

Somit dürfen KI-Systeme nicht verwendet werden um:

1. Ausnutzung von Schwächen von Schutzbedürftigen auf Grund des Alters oder einer geistigen oder körperlichen Behinderung
2. Unterschwellige Beeinflussung von Personen außerhalb deren Bewusstseins
3. Klassifizierung auf Grund des sozialen Status
4. Verwendung von biometrischer Echtzeit-Fernidentifizierungssysteme