Die Risikoklassen des EU AI Acts: Ein Deep Dive in das Herzstück der Regulierung
Der EU AI Act verfolgt einen klaren Grundsatz: Regulierung nach Maß. Statt die Technologie pauschal einzuschränken, bewertet das Gesetz das Risiko, das von einer spezifischen Anwendung ausgeht. Für Unternehmen ist das Verständnis dieser Klassen entscheidend, um die eigenen Pflichten korrekt einzuschätzen.
In diesem Deep Dive gehen wir über die Grundlagen hinaus und analysieren, was die einzelnen Stufen rechtlich und praktisch bedeuten.
1. Unannehmbares Risiko: Die Verbote (Art. 5)
Einige KI-Anwendungen sind in der Europäischen Union untersagt, da sie grundlegende Werte und Menschenrechte verletzen. Diese Systeme dürfen weder in Verkehr gebracht noch in Betrieb genommen oder verwendet werden.
Zu den verbotenen Praktiken gehören insbesondere:
-
Kognitive Verhaltensbeeinflussung: Systeme, die unterschwellige Techniken nutzen, um das Verhalten einer Person so zu manipulieren, dass ihr oder anderen ein erheblicher Schaden entstehen kann.
-
Social Scoring: Die Bewertung der Vertrauenswürdigkeit von Personen durch Behörden oder private Akteure, die zu einer benachteiligenden Behandlung führt.
-
Biometrische Echtzeit-Fernidentifizierung: Der Einsatz solcher Systeme im öffentlichen Raum zu Strafverfolgungszwecken ist grundsätzlich verboten, sofern keine eng gefassten Ausnahmen vorliegen.
2. Hochrisiko-KI-Systeme (Art. 6)
Dies ist der Bereich mit den umfangreichsten Anforderungen. Ein System gilt als Hochrisiko, wenn es entweder als Sicherheitsbauteil in Produkten dient, die bereits einer Drittprüfung unterliegen, oder in sensiblen Bereichen eingesetzt wird.
Kritische Anwendungsbereiche nach Anhang III umfassen:
-
Beschäftigung und Personalmanagement: KI-Systeme für das Recruiting, das Filtern von Bewerbungen oder für Entscheidungen über Beförderungen und Kündigungen.
-
Bildung und Berufsbildung: Systeme, die den Zugang zu Bildungseinrichtungen oder die Bewertung von Prüfungsergebnissen bestimmen.
-
Kritische Infrastrukturen: KI-Komponenten im Bereich der Versorgung mit Wasser, Gas, Strom oder im Verkehr.
Für diese Systeme müssen Anbieter unter anderem ein Risikomanagementsystem einrichten , eine hohe Datenqualität sicherstellen und eine detaillierte technische Dokumentation erstellen. Betreiber müssen sicherstellen, dass eine wirksame menschliche Aufsicht gewährleistet ist.
3. Begrenztes Risiko: Transparenzpflichten (Art. 50)
Bei diesen Systemen geht es primär darum, Täuschungen zu verhindern. Die Nutzer müssen wissen, dass sie mit einer KI interagieren.
Dies betrifft:
-
Chatbots: Nutzer müssen beim ersten Kontakt informiert werden, dass sie mit einer Maschine kommunizieren.
-
Deepfakes: Künstlich erzeugte oder manipulierte Bilder, Audio- oder Videoinhalte müssen als solche gekennzeichnet werden.
-
KI-Textgeneratoren: Wenn Texte veröffentlicht werden, um die Öffentlichkeit über Fragen von allgemeinem Interesse zu informieren, ist eine Kennzeichnung erforderlich.
4. Minimales Risiko
Die überwiegende Mehrheit der KI-Anwendungen in Europa fällt in diese Kategorie. Hierzu zählen beispielsweise Spam-Filter oder KI-gestützte Videospiele. Für diese Systeme sieht der EU AI Act keine zusätzlichen gesetzlichen Verpflichtungen vor. Freiwillige Verhaltenskodizes werden jedoch ausdrücklich gefördert.
Fazit für die Praxis
Die korrekte Einordnung ist kein einmaliger Vorgang. Jedes Mal, wenn ein KI-System für einen neuen Zweck eingesetzt wird, muss die Risikobewertung überprüft werden. Während Systeme mit minimalem Risiko volle Flexibilität bieten, erfordern Hochrisiko-Anwendungen eine gründliche Vorbereitung und eine umfassende Compliance-Strategie.
Über diesen Beitrag: KI-Unterstützung: Wir nutzen moderne KI-Tools als Recherche- und Formulierungshilfe. Die fachliche Kontrolle und Verantwortung für diesen Text liegt vollständig bei unseren Experten, um den Anforderungen des EU AI Acts (Verordnung 2024/1689) gerecht zu werden.