Seit der Veröffentlichung des ersten Entwurfs des Artificial Intelligence Act (AI Act) durch die Europäischen Kommission im April 2021 läuft das europäische Gesetzgebungsverfahren auf Hochtouren. Am 6. Dezember 2022, etwas mehr als eineinhalb Jahre nach der Erstveröffentlichung, wurde der gemeinsame Standpunkt im Rat der Europäischen Union (Rat) zum AI Act verabschiedet.

Die Definition des KI-Systems bestimmt, welche Technologien vom AI Act überhaupt betroffen sind, und damit die Pflichten von Herstellern und Nutzern. Im Vergleich zur ursprünglich umstrittenen, sehr weiten Definition, wirkt die neue stark eingegrenzt, da sie sich nunmehr nur auf Software bezieht, die machine learning oder Logik- sowie wissensbasierte Ansätze verwendet. Statistische Ansätze, Such-, Schätz- und Optimierungsmethoden wurden als KI-Technologien gestrichen. Dies darf jedoch nicht darüber hinwegtäuschen, dass das Verständnis von machine learning und Logik- und wissensbasierten Ansätzen sehr umfangreich ist.

Achtung bei Erstellung & Verwendung von General Purpose AI

Neu ist, dass auch general purpose AI systeme (auch wenn sie Open Source sind), die entweder Hochrisiko-Systeme sind oder als Komponenten für diese verwendet werden, die Compliance für Hochrisiko-Systeme erfüllen müssen. General purpose AI sind Systeme, die allgemeine Funktionen, wie beispielsweise Bild-, Sprach-, Texterkennung, Video- und Audioproduktion, Mustererkennung, Fragenbeantwortung oder Übersetzung ausführen können. Diese Bestimmung kann eine breite Palette von Entwicklern entlang der Software-Lieferkette betreffen, weshalb bereits jetzt auf good governance geachtet werden sollte. Die konkreten Pflichten stehen noch nicht fest und sollen durch weitere Rechtsakte konkretisiert werden.

AI Act sieht hohe Risiken bei Hochrisiko-KI

Für die Klassifizierung, ob ein Hochrisiko KI-System vorliegt, wird eine horizontale Ebene eingezogen. Diese soll dazu dienen, KI-Systeme, die wahrscheinlich zu keinen fundamentalen Risiken für Gesundheit, Sicherheit oder Grundrechte führen, weil ihr Output nur als Zusatz zu einer Aktion oder Entscheidung dient, von der Hochrisiko-Kategorie auszunehmen. Schwierig ist, dass hier erst spätestens einem Jahr nach Inkrafttreten des AI Acts genaue Vorgaben ergehen sollen. Startups müssen daher für die Einordnung ihres Geschäftsmodells ein zusätzliches Kriterium berücksichtigen, dass mit einer unklaren Abwägungsentscheidung behaftet ist. Startups mit Lösungen im Bereich Gesundheitsversicherung oder digitale Infrastruktur sollten im Auge behalten, dass diese Bereiche nunmehr ebenfalls der Hochrisiko-Kategorie hinzugefügt wurden.

Spielen im neuen KI-Sandkasten unter realen Konditionen, mit Haftung

Mit KI-Sandboxes soll ein kontrolliertes Umfeld geschaffen werden, in dem innovative KI-Systeme entwickelt, getestet und validiert werden können, dies unter der direkten Aufsicht und Anleitung der national zuständigen Behörden. Mit dem Ziel den AI Act innovationsfreundlich zu gestalten wurde klargestellt, dass AI Sandboxes auch das testen von KI-Systemen im Echtbetrieb erlauben sollen. Unter bestimmten Voraussetzungen soll auch das Testen von KI-Systemen außerhalb behördlicher Aufsicht zulässig sein. Klargestellt wird aber auch, die Teilnahme in der KI-Sandbox ist kein Freischein. Teilnehmer haften für jegliche verursachen Schäden.

Welcher Haftungsrahmen für KI geplant ist und was auf Softwareentwickler:innen zukommt, wird im zweiten Teil des Startup-Updates behandelt.