Anwenderpflichten bei der Risikogruppen-Einordnung nach dem AI-Act
Die EU hat den AI-Act erlassen. Danach werden Unternehmer nun verpflichtet, von ihnen entwickelte KI-Systeme in Risiko-Gruppen einzuordnen.
Der AI-Act der Europäischen Union legt jedoch nicht nur fest, dass Anbieter von KI-Systemen verpflichtet sind, diese in Risiko-Gruppen einzuteilen und eine entsprechende Dokumentation zu erstellen. Auch den Anwender treffen besondere Sorgfaltspflichten und wichtige Aufgaben im Zusammenhang mit dieser Einordnung. Keinesfalls darf sich der Anwender von KI-Systemen auf die Angaben des Anbieters verlassen, vielmehr muss er selbst anhand der vorhandenen Dokumentation eine Einordnung treffen und diese konkret umsetzen können.
Die Strafen für die Nichteinhaltung des AI-Acts richten sich nach dem konkreten Verstoß sowie nach dem Grad und der Art der Nichteinhaltung. Bei verbotenen KI-Systemen können die Geldbußen bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes betragen. Wer falsche Angaben macht, kann mit einer Geldstrafe von bis zu 7,5 Millionen Euro oder 1,5 % seines Jahresumsatzes belegt werden.
Die Rolle des sog. „nachgeschalteten Anwenders“ ist eine Schlüsselrolle im Rahmen des AI-Acts. Diese Rolle erfasst Unternehmen oder Personen, die KI-Systeme verwenden, nachdem sie auf dem Markt verfügbar sind. Diese Pflichten sind abhängig von den genauen Tätigkeiten, die der Anwender in Verbindung mit einem KI-System wahrnimmt. Bei der eigenen Einordnung der Risikogruppe muss auf die vorhandene Dokumentation des Anbieters zurückgegriffen werden. Ist diese lückenhaft oder nicht nachvollziehbar, sollte man von einem solchen KI-System schon aus Haftungsgründen Abstand nehmen.
Das Sicherheitsdatenblatt (SDB) ist ein zentrales Dokument für den nachgeschalteten Anwender. Es enthält Informationen über die Risiken und Sicherheitsmaßnahmen im Umgang mit dem KI-System. Die inhaltlichen und formalen Anforderungen an das SDB werden in Artikel 31 und im Anhang II der REACH-Verordnung geregelt. Die konkrete Umsetzung erinnert an die meist auch im Datenschutz bereits erforderliche Risikofolgenabschätzung. Bei der Risiko-Einordnung für KI-Systeme sind folgende Schritte zu beachten:
- Identifikation der Risiko-Gruppe:
- Es ist die Art des KI-Systems zu ermitteln: Analyse der Funktionen, des Anwendungsbereichs und der potenziellen Auswirkungen des KI-Systems.
- Berücksichtigung der Verwendung: Der Anwender muss untersuchen, wie das KI-System eingesetzt wird (z. B. in der Medizin, im Verkehr, in der Industrie).
- Bewertung der Risiken: Mögliche Gefahren, wie Datenschutzverletzungen, Sicherheitsrisiken oder ethische Bedenken müssen herausgearbeitet werden.
- Dokumentation:
- Erstellen einer Risiko-Einordnung: Das KI-System muss einer aus der erfolgten Analyse einer Risiko-Gruppe zu geordnet werden (z. B. niedrig, mittel, hoch).
- Dokumention der konkreten Einschätzung des Anwenders: Halten Sie die Gründe für die Einordnung schriftlich fest.
- Regelmäßige Aktualisierung: Überprüfen der Risiko-Einordnung bei Änderungen am KI-System oder seiner Verwendung oder des ethischen Umfelds.
Der Informationsfluss in der Lieferkette ist ebenfalls wichtig. Der nachgeschaltete Anwender sollte eng mit den Anbietern von KI-Systemen zusammenarbeiten. Offene Fragen sind zu klären, relevante Informationen müssen fortlaufend ausgetauscht werden. Außerdem sollte der Anwender sicherstellen, dass er alle notwendigen Angaben für die Risiko-Einordnung erhält.
Fazit: Die Pflichten des nachgeschalteten Anwenders sind entscheidend für die sichere Nutzung von KI-Systemen. Durch eine sorgfältige Risiko-Einordnung und die Zusammenarbeit mit Anbietern tragen Sie dazu bei, potenzielle Risiken zu minimieren und den verantwortungsvollen Einsatz von KI zu fördern.