Wen betrifft der EU AI Act?

• Der Geltungsbereich der Verordnung ist geregelt in Art. 2 (1) EU AI Act.
• Anbieter innerhalb oder außerhalb der EU, die in der EU KI-Systeme in Verkehr bringen oder in Betrieb nehmen oder GPAI-Modelle in Verkehr bringen.
• Betreiber von KI-Systemen mit Sitz oder Aufenthalt in der EU.
• Anbieter und Betreiber in einem Drittland, wenn die Ausgabe des KI-Systems in der EU verwendet wird.
• Einführer und Händler von KI-Systemen.
• Produkthersteller, wenn sie KI-Systeme mit ihrem Produkt in Verkehr bringen oder in Betrieb nehmen.
• Bevollmächtigte von Anbietern aus einem Drittland.
• Betroffene Personen mit Aufenthalt in der EU.

Wofür gilt der EU AI Act nicht?

• KI-Systeme für die Zwecke aus dem Bereich des Militärs, der Verteidigung oder der nationalen Sicherheit.
• KI-Systeme, die ausschließlich in einem Drittland in Verkehr gebracht oder betrieben werden und deren Ausgaben in der EU ausschließlich für Zwecke aus dem Militär, der Verteidigung oder der nationalen Sicherheit verwendet werden.
• Behörden in Drittländern oder internationale Organisationen, falls die KI-Systeme im Rahmen der Strafverfolgung oder justiziellen Zusammenarbeit eingesetzt werden, wobei Garantien für den Schutz von Privatsphäre, Grundrechte und Grundfreiheiten von Personen geboten werden.
• KI-Systeme oder -Modelle (inkl. Output) in der wissenschaftlichen Forschung und Entwicklung.
• Forschungs-, Test- und Entwicklungstätigkeiten zu KI-Systemen oder -Modellen vor Inbetriebnahme oder Inverkehrbringen (Ausnahme: Tests unter Realbedingungen).
• Natürliche Personen, die KI-Systeme ausschließlich persönlich und nicht beruflich verwenden.
• Lizenzfreie und quelloffene KI-Systeme (Ausnahme: Verbotene, hochriskante oder transparenzpflichtige KI-Systeme).

Was bedeutet der EU AI Act allgemein?

• Unternehmen, die aktuell künstliche Intelligenz verwenden oder in Zukunft in ihre Systeme implementieren möchten, sehen sich in naher Zukunft mit regulatorischen Anforderungen konfrontiert und müssen Handlungsbedarfe rechtzeitig identifizieren und implementieren, um Strafen oder Rufschäden zu vermeiden.
• Der Verzicht des Einsatzes von KI könnte auf der anderen Seite dazu führen, dass Potenziale bezüglich Kosteneinsparungen und Effizienzsteigerungen nicht genutzt werden.

Was bedeutet der EU AI Act für KMU?

• Kleinere und mittelgroße Unternehmen stehen in diesem Zusammenhang vor besonderen Herausforderungen.
• Hoher finanzieller und personeller Aufwand für die Umsetzung von Anforderungen (insbesondere für hochriskante-KI-Systeme), z.B. in Bezug auf die Etablierung eines internen Risikomanagementsystems, technologische Anpassungen, oder juristische Anforderungen.
• Begrenzte Ressourcen für die Umsetzung regulatorischer Vorgaben.
• Hohe Komplexität in Bezug auf Verständnis und Umsetzung der umfangreichen Vorschriften.
• Aus diesem Grund sieht die EU spezielle Unterstützungen für KMU und Start-ups vor, wie regulatorische Sandboxes und Förderprogramme. Zudem können KMUs sich durch die frühzeitige Anpassung als Vorreiter in Nischenmärkten positionieren.

Was ist der AI-Pact?

• Während einige Bestimmungen des EU AI Acts mit dem Inkrafttreten zum 01. August 2024 vollständig Anwendung finden, gelten andere Anforderungen am Ende eines Übergangszeitraums.
• Mit dem KI-Pakt möchte die Kommission die Interessenträger bei der Vorbereitung auf die Umsetzung des KI-Gesetzes unterstützen.
• Der AI-Pact ist eine freiwillige Vereinbarung, mit der Organisationen dazu ermutigt werden sollen, schon vor Inkrafttreten des Gesetzes Maßnahmen zu ergreifen, die den Anforderungen der Verordnung entsprechen.

Wie ist der Zwei-Säulen-Ansatz des AI-Pacts definiert?

• Säule I:
  • Interaktion mit allen Stakeholdern durch Webinare.
  • Offen für alle Arten von Organisationen.
  • Organisation von Webinaren, die allen Interessenträgern offenstehen, um bestimmte Aspekte des KI-Gesetzes zu behandeln (öffentlich, privat, NGOs, etc.).
  • Austausch mit Interessenträgern darüber, wie das Amt für KI Organisationen bei der Umsetzung des EU AI Acts unterstützen kann.
• Säule II:
  • Freiwillige Zusagen für Unternehmen jeder Größe.
  • Fokus liegt auf Provider und Deployer.
  • Freiwillige Zusagen, in denen Organisationen aufgefordert werden, proaktiv auf Maßnahmen zur Umsetzung einiger der wichtigsten Bestimmungen des EU AI Acts hinzuarbeiten.
  • Workshops, die Speziell auf die Unternehmen zugeschnitten sind.

Was ist die Rolle der Mitgliedstaaten?

• Gemäß Artikel 99 EU AI Act erlassen die Mitgliedstaaten Vorschriften für Sanktionen und andere Durchsetzungsmaßnahmen.
• ergreifen Maßnahmen, die für deren ordnungsgemäße und wirksame Durchsetzung notwendig sind.

Welche Sanktionen drohen bei Nichteinhaltung und gibt es Ausnahmen?

• Bei Missachtung des Verbots der in Artikel 5 genannten Praktiken (Verbotene KI-Praktiken) drohen Geldbußen von bis zu 35.000.000 € oder – im Falle von Unternehmen – von bis zu 7% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
• Für Verstöße gegen die in Art. 99 (4) festgelegten Bestimmungen, die für Akteure oder notifizierte Stellen gelten, können Geldbußen von bis zu 15.000.000 € oder – im Falle von Unternehmen – von bis zu 3% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem welcher Betrag höher ist.
• Ausnahme: Für KMU und Start-Ups gilt nach Art. 99 (6) immer der jeweils geringere Betrag.

Was ist vertrauenswürdige KI?

• Im Rahmen des menschenzentrierten Ansatzes ist die Förderung von vertrauenswürdiger KI in der Europäischen Union eines der Hauptziele des EU AI Acts.
• Vertrauenswürdige KI umfasst die Entwicklung und den Einsatz von KI-Systemen, die ethischen, rechtlichen und technischen Standards entsprechen.
• Damit soll Sicherheit, Fairness, Transparenz und Zuverlässigkeit sichergestellt werden.
• Die frühzeitige Implementierung ermöglicht die Differenzierung vom Wettbewerb, indem regulatorische Anforderungen noch vor Inkrafttreten implementiert werden.
• Dies schafft auch ein höheres Kundenvertrauen, indem das Unternehmen Verantwortungsbewusstsein signalisiert.

Was sind die Grundpfeiler?

• Respektierung von Grundrechten.
• Compliance mit rechtlichen Vorgaben.
• technische Robustheit, Zuverlässigkeit, Ausfallsicherheit und IT- und Cybersicherheit.
• Transparenz zur Nachvollziehbarkeit der Funktionsweise und Ergebnisse,
• definierte Verantwortlichkeiten.
• Nutzerzentrierung.

Was sind Risikokategorien und welche Anforderungen sind definiert?

• Anders als andere Regelwerke, definiert der EU AI Act einen risikobasierten Ansatz, wobei vier Risikokategorien identifiziert werden können.
• Unannehmbares Risiko: Hierunter fallen KI-Systeme, die eine unannehmbare Gefahr für Sicherheit, Grundrechte oder Freiheiten von Menschen darstellen und daher verboten sind.
• Hochrisiko: KI-Systeme mit hohem Risiko haben erhebliche Auswirkungen auf Grundrechte oder Sicherheit und unterliegen zahlreichen Anforderungen, die in Abschnitt II des EU AI Acts definiert sind.
• Begrenztes Risiko: Systeme in dieser Kategorie interagieren in der Regel direkt mit natürlichen Personen und unterliegen Transparenzanforderungen, die in Artikel 50 des EU AI Acts geregelt sind.
• Minimales Risiko: Es wird geschätzt, dass die meisten KI-Systeme in diese Kategorie fallen. Sie stellen keine oder nur geringe Risiken für die Gesellschaft dar und sind nicht reguliert.

In welche Risikokategorie fällt mein KI-System?

• Dies kann nicht pauschal festgelegt werden und hängt grundsätzlich vom Anwendungsbereich des KI-Systems ab.
• Einige typische KI-Systeme können aber schon einzelnen Risikoklassen zugeordnet werden, z.B.:
  • Verbotene KI-Systeme: Soziale Bewertung durch Staaten, Manipulative Systeme, Biometrische Echtzeitüberwachung im öffentlichen Raum.
  • Hochrisiko-KI-Systeme: Medizinische Diagnostik, Kreditwürdigkeitsbewertung im Finanzwesen, KI-Systeme für Entscheidungen im Personalmanagement.
  • KI-Systeme mit begrenzten Risiken: Chatbots, Deepfake-Technologien, Empfehlungssysteme (z.B. in Online-Shops).
  • KI-Systeme mit minimalen/keinen Risiken: Sprachübersetzer, Auto-Vervollständiger in E-Mails, Bildbearbeitungstools.

Wer muss ein Qualitätsmanagementsystem einrichten?

• Artikel 16 KI-VO schreibt vor, dass Anbieter von Hochrisiko-KI-Systemen über ein Qualitätsmanagementsystem verfügen sollen.
• Dieses Qualitätsmanagementsystem muss den Anforderungen aus Artikel 17 KI-VO entsprechen.
• Als Annäherung kann hierbei der ISO/IEC 42001 Standard für AI Management Systeme verwendet werden.

Was muss ein Qualitätsmanagementsystem nach Art. 17 (1) KI-VO beinhalten?

• Konzept zur Einhaltung der Regulierungsvorschriften.
• Techniken, Verfahren und systematische Maßnahmen für Entwurf, Entwurfskontrolle, Entwurfsprüfung, Entwicklung, Qualitätskontrolle und Qualitätssicherung des Hochrisiko-KI-Systems.
• Untersuchungs-, Test- und Validierungsverfahren.
• Anzuwendende technische Spezifikationen und Normen.
• Systeme und Verfahren für das Datenmanagement.
• Risikomanagementsystem nach Art. 9.
• System zur Beobachtung nach Inverkehrbringen.
• Meldungsverfahren schwerwiegender Vorfälle gem. Artikel 73.
• Kommunikationsmanagement.
• Systeme und Verfahren für Aufzeichnungen.
• Ressourcenmanagement.
• Rechenschaftsrahmen.

Was ist ein AI Management System (AIMS)?

• Nach ISO/IEC 42001 ist es eine Reihe von miteinander verbundenen und interagierenden Elementen einer Organisation.
• Diese dienen dazu Richtlinien, Ziele und Prozesse zur Zielerreichung in Bezug auf eine verantwortungsvolle Entwicklung, Bereitstellung und Nutzung von KI-Systemen festzulegen.
• Im Rahmen eines AIMS wird der gesamte Lebenszyklus von KI-Projekten in einer Organisation geplant, entwickelt, implementiert, überwacht und verwaltet.
• In diesem Rahmen soll sichergestellt werden, dass KI-Systeme effizient, sicher, ethisch korrekt und den gesetzlichen Anforderungen entsprechend entwickelt und betrieben werden.

Wie wirkt sich die Implementierung eines AIMS nach ISO auf die Compliance mit dem EU AI Act aus?

• Der Joint Research Center (JRC) der EU-Kommission glich die Anforderungen des EU AI Acts mit dem Inhalt der ISO/IEC 42001 ab in Bezug auf hochrisiko-KI-Systemen.
• Das in ISO/IEC 42001 beschriebene AI-Managementsystem entspricht weitgehend den Anforderungen des AI-Gesetzes an ein Qualitätsmanagementsystem.
• Obwohl der flexible Ansatz der ISO mit den optionalen Controls nicht vollständig mit dem EU AI Act vereinbar ist, bietet diese ISO eine solide Basis für die Implementierung eines Systems zum Management von KI.

Was regelt der EU AI Act für Risikomanagementsysteme?

• Art. 17 (1) g) KI-VO sieht vor, dass das für hochriskante-KI-Systeme einzurichtende Qualitätsmanagementsystem ein Risikomanagementsystem gemäß Artikel 9 KI-VO umfassen muss.
• Nach Artikel 9 KI-VO muss das Risikomanagementsystem eingerichtet, angewandt, dokumentiert und aufrechterhalten werden.
• Ist ein iterativer Prozess, der während dem gesamten Lebenszyklus geplant, durchgeführt, überprüft und aktualisiert werden muss.
• Umfasst die Ermittlung, Analyse, Abschätzung, Bewertung und Bewältigung von Risiken.
• Zur Ermittlung geeigneter Risikomanagementmaßnahmen müssen hochrisiko-KI-Systeme getestet werden.

Worum handelt es sich beim NIST Risk Management Framework?

• Das NIST RMF ist ein strukturierter Ansatz, der Organisationen dabei unterstützen soll, Informationssicherheitsrisiken zu bewerten, zu managen und kontinuierlich zu überwachen.
• Bietet einen Prozess, der die Aktivitäten des Risikomanagements in den Bereichen Sicherheit, Datenschutz und Cyber Supply Chain in den Lebenszyklus der Systementwicklung integriert.
• RMF-Ansatz ist anwendbar auf jede Art von Systemen oder Technologien innerhalb von jeder Organisation.
• Das NIST RMF eignet sich zur Anwendung im Rahmen der Etablierung eines Risikomanagementsystems.

Welche Schritte definiert das NIST RMF?

• Vorbereitung der Organisation auf den Umgang mit Sicherheits- und Datenschutzrisiken.
• Kategorisierung des Systems und der verarbeiteten, gespeicherten und übermittelten Informationen auf Grundlage einer Auswirkungsanalyse.
• Auswahl der NIST SP 800-53-Kontrollen zum Schutz des Systems auf Grundlage der Risikobewertung(en).
• Implementierung der Kontrollen und Dokumentation des Einsatzes.
• Beurteilung der implementierten Kontrollen, ob sie wie geplant operieren und die gewünschten Ausgaben liefern.
• Autorisierung des Systems durch einen leitenden Beamten auf risikobasierter Entscheidungsgrundlage.
• Laufende Beobachtung der implementierten Kontrollen und Systemrisiken.

Was ist eine Konformitätsbewertung?

• Für den EU AI Act hat sich der EU-Gesetzgeber für das Regelungskonzept des Produktsicherheitsrechts entschieden.
• Bevor ein Produkt in der EU in Verkehr gebracht werden kann, muss der Hersteller eine Risikoanalyse durchführen und sicherstellen, dass bestimmte Vorschriften eingehalten werden.
• Diese Konformitätsbewertung reicht von der Entwurfs- bis zur Produktionsphase
• Die Ergebnisse müssen in die technische Dokumentation aufgenommen werden.
• Zum Nachweis der Einhaltung der EU-Vorschriften können harmonisierte Normen angewendet werden, welche sich bezüglich des EU AI Acts derzeit in der Ausarbeitung befinden.
• Zum Nachweis der Erfüllung der Anforderungen ist eine CE-Kennzeichnung erforderlich.

Was regelt der EU AI Act bezüglich der Konformitätsbewertung?

• Das Konformitätsbewertungsverfahren muss nach Art. 16 KI-VO für jedes Hochrisiko-KI-System zwingend durchgeführt werden und wird in Art. 43 KI-VO geregelt.
• Dadurch soll sichergestellt werden, dass das KI-System neben den jeweiligen EU-Harmonisierungsrechtsvorschriften auch den Anforderungen des EU AI Acts entspricht
• Ziel: Durch Sicherheit, Transparenz und Zuverlässigkeit Vertrauen in das KI-System schaffen.
• Anbieter müssen zum Nachweis der Erfüllung der Anforderungen an Hochrisikosysteme neben der Durchführung eines Konformitätsbewertungsverfahrens auch eine EU-Konformitätserklärung ausstellen und eine CE-Kennzeichnung anbringen.
• Das Konformitätsbewertungsverfahren kann auch davon abhängen, ob harmonisierte Normen (Art. 40 KI-VO) oder gemeinsame Spezifikationen (Art. 41 KI-VO) angewendet werden
• Unsere Empfehlung: Rechtzeitig eng mit den benannten Konformitätsbewertungsstellen zusammenarbeiten und frühzeitig interne Compliance-Strukturen aufbauen.

Was ist ein CE-Siegel und wozu brauche ich ihn?

• Das CE-Zeichen ist ein Hinweis darauf, dass ein Produkt vom Hersteller geprüft wurde und dass es alle EU-weiten Anforderungen an Sicherheit, Gesundheitsschutz und Umweltschutz erfüllt.
• Pflicht für alle weltweit hergestellten Produkte, die in der EU vermarktet werden.
• Kennzeichnungspflicht besteht, sobald ein Produkt entsprechenden EU-Vorschriften unterliegt, die eine CE-Kennzeichnung vorschreiben.
• Gelten für ein Produkt mehrere EU-Vorschriften gleichzeitig, muss vor dem Anbringen des CE-Kennzeichens sichergestellt werden, dass alle einschlägigen Anforderungen erfüllt sind.
• Produkte dürfen nicht gekennzeichnet werden, wenn diese nicht vorgeschrieben ist oder wenn keine Vorschriften gelten.

Wie erhalte ich ein CE-Kennzeichen?

• Der Prozess läuft üblicherweise wie folgt ab:
  • Risikokategorisierung des KI-Systems;
  • Durchführung und Dokumentation einer Konformitätsbewertung;
  • Unterzeichnen einer Konformitätserklärung;
  • Anbringen des CE-Kennzeichens.

Was schreibt der EU AI Act hierzu vor?

• Artikel 48 KI-VO regelt die CE-Kennzeichnung an Hochrisiko-KI-Systemen.
• Grundsätzlich muss die CE-Kennzeichnung gut sichtbar, leserlich und dauerhaft an Hochrisiko-KI-Systemen angebracht werden.
• Ist dies nicht möglich wird sie auf der Verpackung oder beigefügten Dokumentation angebracht.
• Unterliegt das KI-System auch anderen Rechtsvorschriften, bedeutet das Anbringen des Kennzeichens, dass auch deren Anforderungen erfüllt sind.
• Die CE-Kennzeichnung signalisiert, dass das Hochrisiko-KI-System alle erforderlichen Anforderungen aus den Produktrechtsvorschriften erfüllt und schafft somit Vertrauen.

Was sind harmonisierte Normen der EU?

• Normen und andere Veröffentlichungen zur Standardisierung sind nicht verbindliche Leitlinien mit technischen Spezifikationen für Produkte, Dienstleistungen und Verfahren.
• Sie werden von privaten Normungsgremien in der Regel auf Initiative von Interessenträgern entwickelt, die einen entsprechenden Bedarf ermittelt haben.
• Europäische Normen werden von einem der drei europäischen Normungsgremien verabschiedet: CEN, CENELEC, ETSI.
• Harmonisierte Normen als besondere Kategorie europäischer Normen werden im Auftrag der EU-Kommission von den europäischen Normungsgremien erarbeitet.
• Während die Einhaltung freiwillig ist, wird mit dieser unter Beweis gestellt, dass ein Produkt/eine Dienstleistung im Einklang mit den technischen Anforderungen der EU-Rechtsvorschriften steht und damit ein bestimmtes Maß an Qualität, Sicherheit und Zuverlässigkeit erfüllt.

Was sagt der EU AI Act zu der Anwendung von harmonisierten Standards?

• Harmonisierte Normen und Normungsdokumente werden in Artikel 40 KI-VO geregelt.
• Stimmen Hochrisiko-KI-Systeme oder GPAI-Modelle mit harmonisierten Normen oder Teilen davon überein, wird eine Konformität mit den entsprechenden Anforderungen für diese Systeme und Modelle vermutet.
• CEN und CENELEC sind für die Entwicklung solcher KI-spezifischen Standards verantwortlich.

Wie definiert der EU AI Act eine "wesentliche Änderung" nach Artikel 3 Nr.23 KI-VO?

• Veränderung eines KI-Systems nach Inverkehrbringen oder Inbetriebnahme.
• Veränderung war in der ursprünglichen Konformitätsbewertung nicht geplant oder vorgesehen.
• Es kommt zu einer Änderung der Zweckbestimmung.
• Oder die Konformität des KI-Systems mit den Anforderungen an Hochrisiko-KI-Systeme wird beeinträchtigt.
• Nach Art. 43 (4) KI-VO gelten in der ursprünglichen Konformitätsbewertung vorab festgelegte Änderungen am System und seiner Leistung nicht als wesentliche Änderungen.

Welche Pflichten regelt der EU AI Act beim Eintreffen einer wesentlichen Änderung?

• Nach Artikel 43 (4) KI-VO müssen Hochrisiko-KI-Systeme im Falle einer wesentlichen Änderung einem neuen Konformitätsbewertungsverfahren unterzogen werden.
• Dies hängt nicht davon ab, ob das geänderte System weiterhin in Verkehr gebracht oder weitergenutzt werden soll.
• Der EU AI Act listet hierfür beispielhaft die Änderung des Betriebssystems oder der Softwarearchitektur auf.
• Änderungen, die den Algorithmus oder die Leistung des dazulernenden Systems betreffen, stellen keine wesentlichen Änderungen dar, falls sie vorab festgelegt und bewertet wurden.

Was ist ein GPAI?

• General Purpose AI Modelle sind KI-Modelle mit allgemeinem Verwendungszweck, die nicht auf bestimmte Aufgaben abgestimmt sind und dazu in der Lage sind unterschiedliche Aufgaben kompetent zu erfüllen.
• Können in eine Vielzahl von nachgelagerten Systemen oder Anwendungen integriert werden.
• Typisches Beispiel ist ein großes Sprachmodell wie GPT-3, das Texte generieren und Fragen beantworten kann.
• Sie werden mit großen Datenmengen trainiert und nutzen Techniken wie selbstüberwachtes Lernen, um ihre Vielseitigkeit zu erreichen.
• Aufgrund ihrer breiten Anwendbarkeit und potenziellen Auswirkungen auf verschiedene Bereiche der Gesellschaft werden GPAI-Modelle im Rahmen des EU AI Acts besonders berücksichtigt und unterliegen spezifischen Regulierungen.

Was regelt der EU AI Act in Bezug auf GPAI-Modelle?

• Generell unterscheidet der EU AI Act zwischen „normalen" GPAI-Modellen und solchen mit systemischen Risiken.
• Die Vorschriften für GPAI-Modelle gelten ab dem 02. August 2025 mit speziellen Regeln für solche, die vor diesem Datum auf den Markt gebracht werden
• Nach Art. 53 KI-VO müssen technische Informationen über das Modell dokumentiert und zur Verfügung gestellt werden.
• Es müssen Strategien zur Einhaltung von Schutzrechten (z.B. Urheberrecht) entwickelt werden.
• Der für die Schulung des Modells verwendeten Inhalte müssen zusammengefasst und öffentlich zugänglich gemacht werden.
• Nach Art. 55 KI-VO müssen Anbieter die systemischen Risiken von GPAI-Modellen mit systemischen Risiken bewerten und mindern und weitere besondere Vorschriften einhalten.

Was ist nach dem EU AI Act unter KI-Kompetenzen zu verstehen?

• Ausstattung von betroffenen Personen mit den notwendigen Konzepten, um fundierte Entscheidungen über KI-Systeme zu treffen.
• Diese Konzepte können folgendes beinhalten:
  • korrekte Anwendung technischer Elemente;
  • Maßnahmen bei der Verwendung;
  • geeignete Auslegung der Ausgaben;
  • Verständnis über die Auswirkungen der mithilfe von KI getroffenen Entscheidungen.
• Alle Akteure der KI-Wertschöpfungskette sollen mit Kenntnissen ausgestattet werden, mit denen sie in die Lage versetzt werden, die Verordnung angemessen einzuhalten und ordnungsgemäß durchzusetzen.

Was schreibt der EU AI Act in Bezug auf KI-Kompetenzen vor?

• Nach Artikel 4 KI-VO müssen Anbieter und Betreiber sicherstellen, dass ihr Personal und die von ihnen beauftragten Personen bei der Befassung mit KI-Systemen die notwendigen KI-Kompetenzen vorweisen.

Wie werden KI-Systeme im EU AI Act definiert?

• KI-Systeme verfügen (im Gegensatz zu herkömmlicher Software) die Fähigkeit abzuleiten, welche die Erzeugung von Ausgaben wie Vorhersagen, Empfehlungen und Entscheidungen umfasst.
• Sie basieren auf maschinellem Lernen, logik- und wissensbasierten Ansätzen und können explizite oder implizite Ziele verfolgen, die sich von der ursprünglichen Zweckbestimmung unterscheiden können.
• Sie agieren (teil-)autonom, sind lernfähig und können während der Nutzung Veränderungen vornehmen und unabhängig von menschlichem Eingreifen agieren.
• KI-Systeme können eigenständig oder als Produktbestandteil genutzt werden, unabhängig davon, ob sie physisch integriert oder extern eingesetzt werden.

Warum sollte ein Systemregister für KI-Systeme gebildet werden?

• Nach der Identifikation von KI-Systemen sollten diese in einem Register gesammelt werden.
• Es ermöglicht eine zentrale Übersicht über alle eingesetzten KI-Systeme, einschließlich ihrer Funktionen, Einsatzbereiche und Verantwortlichen. Dies schafft Transparenz und erleichtert die Verwaltung.
• Ein Register hilft bei der Einhaltung gesetzlicher Vorgaben, z.B. durch Dokumentation der Risikokategorien und Einsatzumstände.
• Die Erfassung aller KI-Systeme ermöglicht die Identifikation und Bewertung potenzieller Risiken z.B. in Bezug auf Datenschutz, Diskriminierung oder Sicherheitsprobleme.
• Ein Register erleichtert die Nachverfolgung von Updates, Wartungsanforderungen und technologischen Veränderungen, und sichert dadurch einen reibungslosen Betrieb.
• Durch die Dokumentation können klare Zuständigkeiten und Verantwortlichkeiten zugewiesen werden.
• Ein zentrales Register dient als Wissensbasis und erleichtert den Austausch zwischen Abteilungen, die KI-Systeme entwickeln, nutzen oder überwachen.

Wer setzt den EU AI Act auf europäischer Ebene durch?

• Europäische Kommission ist verantwortlich für die allgemeine Koordination und Überwachung der Umsetzung.
• Innerhalb dieser erleichtert das KI-Büro die einheitliche Anwendung des Gesetzes in den Mitgliedstaaten.
• Der Europäische Ausschuss für KI besteht aus Vertretern der Mitgliedstaaten und dient als Plattform für den Austausch bewährter Verfahren und die Entwicklung gemeinsamer Leitlinien.
• Dieser unterstützt die Kommission bei der Umsetzung des EU AI Acts.

Wer setzt den EU AI Act auf nationaler Ebene in Deutschland durch?

• Grundsätzlich muss jeder EU-Mitgliedstaat hierfür nationale Behörden benennen.
• In Deutschland wurde die Bundesnetzagentur zur nationalen Marktüberwachungsbehörde für die KI-Aufsicht ernannt.
• Die nationalen Behörden sind neben der Marktüberwachung auch verantwortlich für die Einhaltung der Vorschriften des EU AI Acts.
• Arbeiten zusammen mit europäischen Institutionen.