FAQ Künstliche Intelligenz

Anbieter von Hochrisiko-KI-Systemen müssen umfangreiche Pflichten nach der KI-Verordnung erfüllen, die darauf abzielen, die Einhaltung der KI-Verordnung sicherzustellen und Risiken zu minimieren. Zusammengefasst und vereinfacht dargestellt handelt es sich u.a. um folgende Pflichten:

1. Einhaltung der Anforderungen: Hochrisiko-KI-Systeme müssen die in Abschnitt 2 der Verordnung festgelegten Anforderungen erfüllen, wobei der Zweckbestimmung des Systems und dem Stand der Technik Rechnung zu tragen ist. Das Risikomanagementsystem gemäß Artikel 9 KI-VO muss dabei berücksichtigt werden.
2. Angabe von Informationen: Der Name, der eingetragene Handelsname oder die eingetragene Handelsmarke und die Kontaktanschrift des Anbieters müssen auf dem Hochrisiko-KI-System, seiner Verpackung oder in der beigefügten Dokumentation angegeben werden.
3. Technische Dokumentation: Es muss eine technische Dokumentation erstellt werden, die den Nachweis der Konformität des Hochrisiko-KI-Systems mit den Anforderungen der Verordnung ermöglicht.
4. EU-Konformitätserklärung: Für jedes Hochrisiko-KI-System muss eine schriftliche EU-Konformitätserklärung ausgestellt werden.
5. CE-Kennzeichnung: Die CE-Kennzeichnung muss am Hochrisiko-KI-System oder, falls dies nicht möglich ist, auf seiner Verpackung oder in der beigefügten Dokumentation angebracht werden, um die Konformität mit der Verordnung anzuzeigen.
6. Registrierung: Der Anbieter muss sich und sein System in der EU-Datenbank registrieren.
7. Korrekturmaßnahmen und Information: Es müssen die erforderlichen Korrekturmaßnahmen ergriffen und die erforderlichen Informationen bereitgestellt werden.
8. Nachweis der Konformität: Auf begründete Anfrage einer zuständigen nationalen Behörde muss nachgewiesen werden, dass das Hochrisiko-KI-System die Anforderungen erfüllt.
9. Barrierefreiheit: Es muss sichergestellt werden, dass das Hochrisiko-KI-System die Barrierefreiheitsanforderungen gemäß den Richtlinien (EU) 2016/2102 und (EU) 2019/882 erfüllt.
10. Qualitätsmanagementsystem: Anbieter von Hochrisiko-KI-Systemen müssen ein Qualitätsmanagementsystem einrichten, das die Einhaltung dieser Verordnung gewährleistet. Dieses System muss systematisch und ordnungsgemäß in Form schriftlicher Regeln, Verfahren und Anweisungen dokumentiert werden und umfasst mindestens folgende Aspekte:- Ein Konzept zur Einhaltung der Regulierungsvorschriften, was die Einhaltung der Konformitätsbewertungsverfahren und der Verfahren für das Management von Änderungen an dem Hochrisiko-KI-System miteinschließt.
    – Einen Rechenschaftsrahmen, der die Verantwortlichkeiten der Leitung und des sonstigen Personals in Bezug auf alle in diesem Absatz aufgeführten Aspekte regelt.
11. Dokumentation: Anbieter, die Finanzinstitute sind, bewahren die von ihren Hochrisiko-KI-Systemen automatisch erzeugten Protokolle als Teil der gemäß dem einschlägigen Unionsrecht über Finanzdienstleistungen aufzubewahrenden Dokumentation auf.
12. Bevollmächtigte: Anbieter, die in Drittländern niedergelassen sind, müssen vor der Bereitstellung ihrer Hochrisiko-KI-Systeme auf dem Unionsmarkt schriftlich einen in der Union niedergelassenen Bevollmächtigten benennen.
13. Eingabedaten: Anbieter von Hochrisiko-KI-Systemen müssen sicherstellen, dass die für die Entwicklung, Validierung und das Testen von Hochrisiko-KI-Systemen verwendeten Trainings-, Validierungs- und Testdatensätze vollständig, relevant und ausreichend repräsentativ sind.
14. Transparenz und Bereitstellung von Informationen: Hochrisiko-KI-Systeme werden so konzipiert und entwickelt, dass ihr Betrieb hinreichend transparent ist, damit die Betreiber die Ausgaben eines Systems angemessen interpretieren und verwenden können12. Die Transparenz wird auf eine geeignete Art und in einem angemessenen Maß gewährleistet, damit die Anbieter und Betreiber ihre einschlägigen Pflichten erfüllen können.
15. Menschliche Aufsicht: Der Anbieter des Systems legt vor dem Inverkehrbringen oder der Inbetriebnahme geeignete Maßnahmen zur Gewährleistung der menschlichen Aufsicht fest.

Die Aufzählung ist nicht abschließend und stellt lediglich einen Überblick über die Verpflichtungen für Anbieter von Hochrisiko-KI-Systemen dar.

KI-Modell
Ein KI-Modell im Sinne der KI-VO ist ein algorithmischer Kern (bspw. GPT-4). Es gibt verschiedene KI-Modelle, bspw. regelbasierte Modelle oder neuronale Netzwerke. Ein KI-Modell ist sozusagen die Vorstufe des KI-Systems. KI-Modelle können nicht unmittelbar vom Nutzer genutzt werden, sie benötigen vielmehr zur Nutzung einer Anwenderoberfläche.

KI-Modell mit allgemeinem Verwendungszweck (GPAI)
Ein KI-Modell mit allgemeinem Verwendungszweck (GPAI) im Sinne der KI-VO kann ein sehr breites Aufgabenspektrum erfüllen. GPT-4 (Generative Pre-trained Transformer 4) kann bspw. Sprachen, Bilder und Grafiken erstellen sowie Daten analysieren. Diese Modelle werden in der Regel mit großen Datenmengen durch verschiedene Methoden trainiert. Potentieller Indikator für die Einstufung eines Modells als „allgemein verwendbar“ kann die Schwelle von 1 Milliarde Parametern sein. So ergibt sich aus Erwägungsgrund 98 zur KI-VO, dass Modelle mit mindestens einer Milliarde Parametern, die mit einer großen Datenmenge unter umfassender Selbstüberwachung trainiert werden, als Modelle gelten sollten, die eine erhebliche allgemeine Verwendbarkeit aufweisen und ein breites Spektrum unterschiedlicher Aufgaben kompetent erfüllen. GPAI unterliegen den besonderen Pflichten aus Artikel 53 und 54 der KI-VO.

KI-System
Als KI-System im Sinne der KI-VO ist die Anwendungssoftware (bspw. ChatGPT) gemeint, die zur Nutzung des jeweiligen KI-Modell s(GPT) notwendig ist. Häufig werden derartige Systeme in verschiedenen Lizenzmodellen vertrieben (bspw. Kauf, AI-as-a-Service, on premise-Lösung).