KI-Verordnung: Die Vorgaben des AI-Acts an Hochrisiko-KI-Systeme

Anforderungen an Hochrisiko-KI-Systeme: Ein Überblick über die EU-Vorgaben

Die wachsende Integration künstlicher Intelligenz (KI) in unseren Alltag bringt nicht nur immense Chancen, sondern auch erhebliche Risiken mit sich. Gerade in Bereichen, in denen KI-Systeme direkt oder indirekt wesentliche Entscheidungen beeinflussen – etwa in der Medizin, im Verkehrssektor oder in der Verwaltung öffentlicher Dienste – ist der rechtliche Rahmen zur Regulierung von Hochrisiko-KI-Systemen von besonderer Bedeutung. Der europäische Gesetzgeber hat dies erkannt und mit der EU-KI-Verordnung (KI-VO) einen klaren, risikobasierten Ansatz geschaffen, um diese Herausforderungen zu bewältigen.

Abschnitt II des Kapitel III: Der Rahmen für Hochrisiko-KI-Systeme

Der rechtliche Rahmen für Hochrisiko-KI-Systeme ist äußerst umfassend und detailliert. Die Anforderungen, die hier festgelegt wurden, sollen sicherstellen, dass KI-Technologien im Einklang mit den Grundrechten und Sicherheitsstandards entwickelt und eingesetzt werden. Dabei ist stets der „anerkannte Stand der Technik“ zu berücksichtigen. Dies bedeutet, dass sich Anbieter an den neuesten technologischen und wissenschaftlichen Entwicklungen orientieren müssen. Doch welche Anforderungen sind im Einzelnen zu erfüllen?

1. Risikomanagement (Art. 9 KI-VO)

Eines der zentralen Elemente der KI-VO ist die Einführung eines umfassenden Risikomanagementsystems. Anbieter von Hochrisiko-KI-Systemen müssen Risiken systematisch ermitteln, dokumentieren und Maßnahmen zur Minimierung dieser Risiken ergreifen. Ähnlich wie bei der Datenschutz-Folgenabschätzung nach der DSGVO müssen Risiken bewertet und als vertretbar eingestuft werden können. Dieser Ansatz erinnert an etablierte Standards wie ISO 27001, was die enorme Komplexität verdeutlicht. Die Herausforderung für Anbieter besteht darin, dass eine höhere Risikoeinstufung eine intensivere und ressourcenaufwändigere Risikobewältigung nach sich zieht.

2. Daten und Daten-Governance (Art. 10 KI-VO)

Die Qualität der zugrunde liegenden Daten entscheidet maßgeblich über die Intelligenz eines KI-Systems. Art. 10 KI-VO regelt die Anforderungen an Daten-Governance, insbesondere in Bezug auf Trainings-, Validierungs- und Testdatensätze. Es muss sichergestellt werden, dass die Datensätze repräsentativ, relevant und so fehlerfrei wie möglich sind. Zudem ist eine Bewertung auf potenzielle Verzerrungen (Bias) Pflicht. Diese Regelung ist ein wichtiger Schritt, da qualitativ hochwertige Daten entscheidend für die Verlässlichkeit und Fairness von KI-Systemen sind.

3. Technische Dokumentation (Art. 11 KI-VO)

Eine präzise und aktuelle technische Dokumentation ist unerlässlich, um Transparenz und Nachvollziehbarkeit zu gewährleisten. Diese muss detaillierte Informationen zur Systemarchitektur, den Entwicklungsprozessen, den eingesetzten Methoden und den Sicherheitsmaßnahmen enthalten. Der europäische Gesetzgeber fordert, dass diese Dokumentation laufend aktualisiert wird, was für Anbieter eine zusätzliche organisatorische Herausforderung darstellt. Erleichterungen gibt es jedoch für kleine und mittlere Unternehmen (KMU), die eine vereinfachte Form der Dokumentation vorlegen können.

4. Aufzeichnungspflichten (Art. 12 KI-VO)

Um die Rückverfolgbarkeit von Hochrisiko-KI-Systemen sicherzustellen, sieht die KI-VO vor, dass alle relevanten Ereignisse während des Lebenszyklus eines KI-Systems protokolliert werden müssen. Diese Aufzeichnungen dienen nicht nur der technischen Kontrolle, sondern sind auch haftungsrechtlich von Bedeutung. Sie ermöglichen es, den Betrieb eines Systems zu überprüfen und eventuelle Fehlfunktionen zu analysieren.

5. Transparenz und Bereitstellung von Informationen für Betreiber (Art. 13 KI-VO)

Ein weiteres zentrales Element ist die Transparenz gegenüber den Betreibern von Hochrisiko-KI-Systemen. Die KI-VO fordert, dass Bedienungsanleitungen vollständig, präzise und verständlich sein müssen. Sie sollen unter anderem Informationen über den Anbieter, die Fähigkeiten und Leistungsgrenzen des Systems sowie die notwendigen Ressourcen enthalten. Diese Transparenzanforderungen sollen es Betreibern erleichtern, die Funktionsweise des Systems zu verstehen und es sicher zu nutzen.

6. Menschliche Aufsicht (Art. 14 KI-VO)

Trotz der Autonomie von KI-Systemen bleibt der Mensch ein entscheidender Faktor. Die KI-VO schreibt vor, dass Hochrisiko-KI-Systeme so gestaltet sein müssen, dass sie effektiv von Menschen überwacht werden können. Diese menschliche Aufsicht soll sicherstellen, dass Risiken für die Gesundheit, Sicherheit und Grundrechte frühzeitig erkannt und minimiert werden können. Sowohl Anbieter als auch Betreiber sind verpflichtet, diese Aufsicht zu gewährleisten, um einen ethisch vertretbaren Einsatz sicherzustellen.

7. Genauigkeit, Robustheit und Cybersicherheit (Art. 15 KI-VO)

Die Zuverlässigkeit eines KI-Systems hängt stark von dessen Genauigkeit und Robustheit ab. Hochrisiko-KI-Systeme müssen so konzipiert sein, dass sie auch in unvorhergesehenen Situationen stabil bleiben und gegen Manipulationen, etwa durch „Data Poisoning“, geschützt sind. Die Einhaltung dieser Anforderungen erfordert eine kontinuierliche Überprüfung und Verbesserung der Systeme.

8. Qualitätsmanagement (Art. 17 KI-VO)

Zu guter Letzt müssen Anbieter ein umfassendes Qualitätsmanagementsystem einführen. Dieses soll sicherstellen, dass alle Anforderungen der KI-VO eingehalten werden. Interessant ist hierbei die Flexibilität: Die Umsetzung des Qualitätsmanagements soll proportional zur Größe des Anbieters erfolgen, was insbesondere kleineren Unternehmen zugutekommt. Dennoch bleibt die Herausforderung bestehen, dass existierende Normen wie die ISO/IEC 42001:2023 nicht immer deckungsgleich mit den Anforderungen der KI-VO sind.

Fazit

Die EU-KI-Verordnung stellt hohe Anforderungen an die Anbieter von Hochrisiko-KI-Systemen. Ziel ist es, Vertrauen in KI-Technologien zu schaffen und den Schutz der Grundrechte zu gewährleisten. Dabei stellt die Umsetzung der umfangreichen Vorschriften, insbesondere in Bereichen wie Risikomanagement und Daten-Governance, eine erhebliche Herausforderung dar. Dennoch ist dieser rechtliche Rahmen ein wichtiger Schritt, um Innovationen und Sicherheit in Einklang zu bringen und sicherzustellen, dass KI-Systeme in der EU verantwortungsvoll genutzt werden.

‍