Die EU-Verordnung über Künstliche Intelligenz (KI-Vo – AI Act) stellt nicht nur für Betreiber von hochrisikobehafteten KI-Systemen Pflichten auf, sondern enthält auch spezifische Anforderungen für den Betrieb von KI-Systemen, die nicht als Hochrisiko eingestuft werden. Diese Systeme unterliegen weniger strengen Vorschriften als hochriskante Systeme, aber es gibt dennoch einige Pflichten, die Betreiber beachten müssen.
Hier sind die wichtigsten Pflichten für Betreiber von nicht-hochrisikobehafteten KI-Systemen:
Transparenzanforderungen
Eine zentrale Anforderung für nicht-hochrisikobehaftete KI-Systeme betrifft die Transparenz gegenüber den Nutzern, insbesondere wenn sie mit einem KI-System interagieren. Das bedeutet:
- Benachrichtigung der Nutzer: Wenn ein Nutzer direkt mit einem KI-System interagiert (z. B. bei einem Chatbot oder virtuellen Assistenten), muss er darüber informiert werden, dass er es mit einem KI-System zu tun hat. Dies soll sicherstellen, dass Menschen verstehen, dass sie mit einer Maschine kommunizieren und nicht mit einem anderen Menschen.
- Deepfakes: Wenn KI-Systeme Inhalte erstellen, die Menschen oder Ereignisse simulieren (wie dieses bei Deepfakes der Fall ist), müssen Nutzer ausdrücklich darüber informiert werden, dass die Inhalte künstlich erstellt wurden, um Manipulation oder Täuschung zu vermeiden.
Verantwortung für die Nutzung
Betreiber müssen sicherstellen, dass die KI-Systeme auf eine verantwortungsbewusste Weise eingesetzt werden, selbst wenn sie nicht als hochrisikobehaftet eingestuft sind.
Dies bedeutet:
- Sicherzustellen, dass das KI-System den vorgesehenen Zweck erfüllt und keine unangemessenen Risiken für den Nutzer oder Dritte darstellt.
- Die Systeme müssen so konfiguriert sein, dass sie den geltenden ethischen und rechtlichen Standards entsprechen.
Verbot bestimmter Anwendungen
Auch wenn das System kein Hochrisiko-KI-System ist, gibt es absolute Verbote für bestimmte Arten von KI-Nutzung gemäß der Verordnung, unabhängig von der Risikokategorie.
Diese umfassen unter anderem:
- KI-Systeme, die Menschen durch unterschwellige Techniken manipulieren oder deren Verhalten ausnutzen, um ihre Entscheidungen oder Handlungen auf eine Weise zu beeinflussen, die ihnen schaden könnte.
- Systeme, die Schwachstellen bestimmter Gruppen (z. B. Kinder, ältere Menschen oder behinderte Personen) ausnutzen.
Sicherheitsanforderungen
Auch für nicht-hochrisikobehaftete KI-Systeme gilt die allgemeine Anforderung, dass sie sicher betrieben werden müssen:
- Fehlervermeidung und -behebung: Betreiber sollten Mechanismen haben, um sicherzustellen, dass das KI-System keine schwerwiegenden Fehler macht, die zu Schäden führen könnten.
- Es wird erwartet, dass Betreiber ein gewisses Maß an Sicherheitsüberwachung gewährleisten, insbesondere wenn es um sensible Daten oder potenziell schädliche Anwendungen geht.
Schutz der Privatsphäre und der Daten
Auch wenn das KI-System nicht als hochriskant eingestuft ist, müssen Betreiber sicherstellen, dass der Schutz der Privatsphäre und personenbezogener Daten gewährleistet ist.
Dies bedeutet:
- Die Verwendung von personenbezogenen Daten muss den Vorschriften der Datenschutz-Grundverordnung (DS-GVO) entsprechen.
- Falls sie KI-Systeme Daten sammeln oder verarbeiten, sollten geeignete Maßnahmen ergriffen werden, um die Privatsphäre der Empfänger zu schützen.
Überwachung und Verbesserung
Betreiber von nicht-hochrisikobehafteten KI-Systemen haben keine strikten Anforderungen an kontinuierliches Monitoring wie bei Hochrisiko-Systemen.
Allerdings sollten sie dennoch:
- Probleme und Fehlfunktionen überwachen und diese in zukünftigen Versionen oder Updates des Systems beheben.
- Nutzerfeedback nutzen, um das System zu verbessern und sicherzustellen, dass es weiterhin vertrauenswürdig und sicher funktioniert.
Hier erfahren Sie mehr über die KI-Verordnung.
Was Unternehmer und Mitarbeiter jetzt wissen müssen | Pflichten von Betreibern | Anbieter – Einsatzstellen – Betreiber und Empfänger