Der Artificial Intelligence Act – Systematik und Regelungen
Im Rahmen der EU-Digitalisierungsstrategie hat die EU-Kommission am 21. April 2021 einen Vorschlag für den sogenannten „Artificial Intelligence Act“ vorgelegt.* In meinem vorherigen Beitrag habe ich einen ersten groben Überblick über den Artificial Intelligence Act gegeben. Nachfolgend werden wir die Regelungen im Einzelnen kurz beleuchten.
Regelungssystematik
Die Regelungen des Vorschlags beziehen sich auf sogenannte KI-Systeme, die in Anhang I definiert werden. Diese umfassen sowohl Konzepte des maschinellen Lernens sowie Logik- und wissensgestützte Konzepte und auch statistische Ansätze. Wie schon bei der Datenschutzgrundverordnung soll auch hier das Marktortprinzip Anwendung finden. Demnach gelten die Regelungen, wenn sich Anbieter oder Nutzer in der EU befinden oder die Ergebnisse in der EU verarbeitet werden.
Für die Regelungen im Einzelnen werden KI-Systeme kategorisiert (Risk based aproach):
- Verbotene KI-Systeme (Unacceptable Risk)
- Hochrisikosysteme (High Risk)
- KI-Systeme mit besonderen Transparenzpflichten (Limited Risk)
- Alle weiteren KI-Systeme (Minimal Risk)
Verbotene Praktiken
Grundsätzlich verboten sind unter anderem Techniken der unterschwelligen Beeinflussung oder das Ausnutzen einer Schwäche von Personen aufgrund ihres Alters oder einer Behinderung, um das Verhalten einer Person in einer Weise zu beeinflussen, die dieser Person oder einer anderen Person einen physischen oder psychischen Schaden zufügt oder zufügen kann.
Verboten ist zudem der Einsatz von KI-Systemen durch Behörden zur Bewertung der Vertrauenswürdigkeit natürlicher Personen auf der Grundlage ihres sozialen Verhaltens oder persönlicher Eigenschaften mit der Folge einer Schlechterstellung oder Benachteiligung.
Hochrisikosysteme
Die weitaus umfänglichsten Regelungen sollen für sogenannte Hochrisikosysteme gelten. Kriterien zur Einstufung als Hochrisikosystem finden sich in Anhang III. Dort werden insgesamt acht Einsatzbereiche aufgelistet: Biometrische Identifizierung und Kategorisierung natürlicher Personen, Verwaltung und Betrieb kritischer Infrastrukturen, Zugang zu beruflicher Bildung, Personal- und Bewerbermanagement, Zugänglichkeit privater und öffentlicher Dienste und Leistungen, Strafverfolgung, Migration, Asyl und Grenzkontrolle sowie Rechtspflege und demokratische Prozesse.
Die Regelungen für Hochrisikosysteme umfassen unter anderem ein spezifisches Risikomanagement, eine Daten-Governance, ausführliche technische Dokumentationen und Aufzeichnungspflichten, Transparenzvorschriften, menschliche Aufsicht sowie besondere Anforderungen an Genauigkeit, Robustheit und Cyber-Sicherheit.
Darüber hinaus werden weitreichende Pflichten für Anbieter von Hochrisikosystemen formuliert. Unter anderem etwa die Einrichtung eines eigenen Qualitätsmanagementsystems, die Pflicht einer regelmäßigen Konformitätsbewertung sowie weitgehende Informationspflichten gegenüber den zuständigen Behörden.
Systeme mit besonderen Transparenzpflichten
Personen, die mit KI-Systemen interagieren, muss mitgeteilt werden, dass sie es mit einer KI zu tun haben. Gleiches gilt für den Einsatz von Emotionserkennungssystemen oder Systemen zur biometrischen Kategorisierung.
KI-Systeme, die Bild-, Ton- oder Videoinhalte erzeugen oder manipulieren, die einer Person fälschlicherweise als echt oder wahrhaftig erscheinen könnten („Deepfake“), müssen offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
Verhaltenskodizes
Für alle anderen KI-Systeme werden sogenannte Verhaltenskodizes empfohlen. Im Rahmen einer freiwilligen Selbstverpflichtung sollen dem Risiko nach sachgemäße Anforderungen analog zu jenen für Hochrisikosysteme sowie eigene Anforderungen, etwa ökologische Nachhaltigkeit oder die barrierefreie Zugänglichkeit, formuliert werden.
Sanktionen
Bei Verstößen gegen verbotene Praktiken oder Anforderungen an Hochrisikosysteme sind Geldbußen in Höhe von mindestens 30 Mio. Euro oder 6% (bei anderen Verstößen 20 Mio. Euro oder 4%) des gesamten weltweiten Jahresumsatzes vorgesehen.
KI-Systeme im Versicherungsumfeld
Zur Einschätzung der Auswirkungen der Regulierungen im Versicherungsumfeld bedarf es noch genauerer Analysen. Beim Einsatz von KI-Systemen zur Risikoprüfung ist etwa zu prüfen, ob es sich hierbei um Hochrisikosysteme handelt. Besondere Transparenzpflichten ergeben sich möglicherweise beim Einsatz von Chatbots in der Kundenkommunikation. Darüber hinaus stellt sich die Frage, ob Verhaltenskodizes in der Versicherungsbranche notwendig oder sinnvoll sind. Damit werden sich gewiss zu gegebener Zeit die Verbände, wie GDV oder DAV, befassen.
*) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS (https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1623335154975&uri=CELEX%3A52021PC0206)