Die Risikoklassen von KI im EU AI Act – Ein Überblick für Entwickler und Unternehmen
In diesem Blogbeitrag fassen wir kurz die wichtigsten Bestimmungen des EU-KI-Gesetzes 2024 zur Risikokategorisierung verschiedener KI-Tools zusammen.
Die Risikoklassen von KI: Von minimal bis unzulässig
Der EU AI Act, der 2024 in Kraft trat, zielt darauf ab, KI ethisch, sicher und zuverlässig zu gestalten. Er kategorisiert KI-Systeme in vier Risikostufen: Unzulässig, Hohes Risiko, Begrenztes Risiko und Minimales Risiko – jeweils mit spezifischen Auflagen für Entwickler und Betreiber.
1. Unzulässiges Risiko (verboten)
Diese Systeme sind vollständig verboten, da sie Grundrechte oder die öffentliche Sicherheit gefährden:
- Staatliche Social-Scoring-Systeme zur Bewertung von Verhalten/Vertrauenswürdigkeit.
- KI-Systeme zur Manipulation oder Ausnutzung vulnerabler Gruppen (z. B. Kinder).
- Predictive-Policing-Systeme zur Vorhersage von Straftaten.
- Emotionserkennung in Schulen oder am Arbeitsplatz zur Leistungsbewertung.
- Echtzeit-Gesichtserkennung im öffentlichen Raum durch Strafverfolgungsbehörden.
Dementsprechend ist ihre Einsatz in der EU ist verboten.
2. Hohes Risiko (streng reguliert)
Systeme mit erheblichem Einfluss auf Gesundheit, Sicherheit oder Grundrechte. Erfordert umfangreiche Compliance:
Beispiele:
- Medizinische Diagnostik und Therapieempfehlungen
- Autonome Fahrzeuge (Straße/Luftfahrt)
- Automatisierte Prüfungsbewertung und Bewerberauswahl
- KI-gestützte Kreditvergabe oder Sozialleistungen
- Biometrische Zugangskontrollen
- Justiz: Beweismittelbewertung oder Urteilsunterstützung
Pflichten:
- Konformitätsbewertung (Audits)
- Risikomanagementprozesse (Bias-/Sicherheitsprüfung)
- Hochwertige Trainingsdaten
- Transparente technische Dokumentation
- Menschliche Aufsicht und Eingriffsmöglichkeiten
- Laufendes Monitoring & Logging mit Meldepflichten
Für diese Kategorie sind umfangreiche Vorbereitungen erforderlich, möglicherweise ist eine CE-Zertifizierung oder eine behördliche Genehmigung erforderlich.
3. Begrenztes Risiko (Transparenz erforderlich)
Systeme, die Emotionen oder Entscheidungen beeinflussen können – Transparenz ist Pflicht.
Beispiele:
- Chatbots und Assistenten: Müssen sich als KI kenntlich machen.
- KI-generierte Inhalte: Müssen klar gekennzeichnet werden.
- Deepfakes oder Stimmenimitation: Benutzer müssen über Künstlichkeit informiert sein.
- Emotionserkennung zu nicht-kritischen Zwecken (z. B. Museen)
Pflichten:
- Offenlegung von KI-Nutzung
- Kennzeichnung KI-generierter Inhalte
- Zugang zu menschlicher Unterstützung
- Verzicht auf manipulative Designs („Dark Patterns“)
Transparenz fördert das Vertrauen und steigert die Zufriedenheit der Nutzer und die Einhaltung der Vorschriften.
4. Minimales Risiko (keine spezifischen Vorschriften)
Tägliche, unkritische KI-Anwendungen fallen meist hierunter:
Beispiele:
- Spamfilter
- NPCs in Videospielen
- Produktempfehlungen
- Grammatik- oder Übersetzungshilfen
- Einfache Website-Analytik
KI mit minimalem Risiko kann ohne zusätzliche Schritte zur Einhaltung der Vorschriften betrieben werden, obwohl die allgemeinen Datenschutz- und Ethikpraktiken weiterhin gelten.
Fazit & Compliance-Strategie
Das Verständnis dieser Risikokategorien ist für KI-Entwickler und Unternehmen, die KI-Tools einsetzen und auf EU-Märkte abzielen, von entscheidender Bedeutung:
- Unzulässig: Komplett vermeiden
- Hohes Risiko: Strenge Vorbereitung
- Begrenzt: Transparenz sicherstellen
- Minimal: Best Practices beibehalten
Die frühzeitige Einhaltung von Vorschriften verschafft Unternehmen einen Vorteil, da sie gewährleistet, dass die Produkte sicher und ethisch vertretbar sind und das Vertrauen der Verbraucher genießen. Die Vertrautheit mit diesen Kategorien hilft, regulatorische Anforderungen zu antizipieren und die Entwicklung und den Markteintritt zu rationalisieren. Ausführliche Leitlinien finden Sie in der offiziellen EU-Verordnung über künstliche Intelligenz (Verordnung (EU) 2024/1689), die auf EUR-Lex verfügbar ist, oder in den Zusammenfassungen der Europäischen Kommission.
Welche LLMs (oder weitere AI-Tools) nutzen Sie? Welche Erfahrungen haben Sie jenseits von OpenAI und Microsoft gemacht – und wie würden diese im AI Act eingestuft? Warum sprechen wir nicht darüber?