Wenn ein Unternehmen ChatGPT über eine API auf seiner Plattform verwendet, es mit seiner Marke oder seinem Warenzeichen kennzeichnet, das System oder seinen Zweck wesentlich verändert, kann es als Anbieter eines hochriskanten KI-Systems betrachtet werden. Was ist ein KI-Gesetz?
Dabei handelt es sich um einen Rechtsrahmen, der den nachgelagerten Anbietern, die von anderen geschaffene KI nutzen oder integrieren, Verpflichtungen auferlegt.
Zu den rechtlichen Verpflichtungen der zweiten Parteien, d.h. der nachgelagerten KI-Anbieter, gehören z.B. die Gewährleistung von Transparenz, Datenschutz und die sichere Nutzung von KI-Systemen. Selbst wenn sie nicht die Entwickler eines bestimmten KI-Nutzertyps sind, sind sie dafür verantwortlich, dass die verwendeten Technologien alle rechtlichen Anforderungen erfüllen und die Nutzer nicht gefährden.
Nachgeschaltete Anbieter, die von anderen Unternehmen geschaffene Systeme der künstlichen Intelligenz (KI) nutzen oder integrieren, nehmen im Rahmen des KI-Gesetzes eine besondere Stellung ein. Ihre Verpflichtungen hängen von der Art und dem Risiko des KI-Systems ab, das sie nutzen.
Wenn ein Unternehmen beispielsweise ChatGPT über eine API auf seiner Plattform nutzt, es als Marke oder Warenzeichen führt und das System oder seinen Zweck wesentlich verändert, kann es als Anbieter eines hochriskanten KI-Systems gelten. In einem solchen Fall unterliegt der nachgelagerte Anbieter den Verpflichtungen eines Anbieters gemäß Artikel 16 des KI-Gesetzes, was eine erhebliche regulatorische Belastung darstellt.
Der nachgelagerte Anbieter wird als Anbieter dieses speziellen KI-Systems betrachtet, was bedeutet, dass er auch die Verpflichtungen gemäß Artikel 17, 18 und 20 erfüllen muss. Dazu gehören eine detaillierte Dokumentation des Designs und der Leistung des Systems, die Verpflichtung, Aufzeichnungen und Protokolle über den Betrieb des KI-Systems zu führen, die von den Regulierungsbehörden zu Überprüfungszwecken verlangt werden können, sowie Vorschriften für die Überwachung und Aktualisierung von Hochrisikosystemen, um deren Sicherheit während ihres gesamten Lebenszyklus zu gewährleisten. Es wird auch als Anbieter dieses speziellen KI-Systems angesehen, was eine erhebliche regulatorische Belastung mit sich bringt.
Ein praktisches Beispiel erklärt oft mehr als die Theorie selbst, also lassen Sie uns die folgende Situation betrachten:
Beispiel: Microsoft und Bank XYZ
Microsoft bietet mit seinem Azure AI-Produkt ein Modell der künstlichen Intelligenz zur Risikoanalyse und Betrugserkennung an. Es bietet dieses ausgefeilte Modell anderen Unternehmen über einen Cloud-Service und eine API an, obwohl es ursprünglich nicht für stark regulierte Bereiche wie das Gesundheitswesen oder das Bankwesen konzipiert wurde.
Die Bank XYZ (eine große europäische Bank) nutzt dieses Modell als nachgelagerter Anbieter und integriert es in ihre Anwendung zur Betrugsüberwachung und -prävention. Auf diese Weise nutzt die Bank XYZ das Azure KI-Modell, um Transaktionen zu analysieren und verdächtiges Kundenverhalten zu erkennen. In diesem Fall können verschiedene Situationen entstehen, die die Verpflichtungen der Bank XYZ im Rahmen des KI-Gesetzes betreffen:
- Kennzeichnung des Systems mit der Marke der Bank
- Wenn Bank XYZ das KI-System mit ihrem Namen versieht und es direkt in ihre Bankdienstleistungen integriert, wird sie zum direkten Anbieter für die Endnutzer. Selbst wenn sie den ursprünglichen KI-Modellcode nicht ändert, muss sie die Einhaltung der Anforderungen des KI-Gesetzes gewährleisten, einschließlich Datenschutz, Zugänglichkeit und Sicherheit.
- Erhebliche Änderung des Systems
- Wenn Bank XYZ das Azure KI-Modell modifiziert, indem sie beispielsweise Funktionen hinzufügt, die es dem System ermöglichen, Entscheidungen über die Kreditvergabe oder Anlageempfehlungen zu treffen, kann dies als wesentliche Änderung angesehen werden. Das bedeutet, dass die Bank alle Verpflichtungen gemäß Abschnitt 16 des KI-Gesetzes einhalten muss. Dazu gehören z.B. die Einführung eines Qualitätsmanagementsystems und die Führung von Aufzeichnungen über den Betrieb des Systems (Protokolle).
- Änderung des Verwendungszwecks des Systems
- Wenn Bank XYZ Azure AI auch zur Bewertung von Kreditrisiken einsetzen würde, die sich auf Entscheidungen über Hypotheken- oder Verbraucherkredite auswirken würden, könnte das Modell als Hochrisikosystem eingestuft werden. In diesem Fall würde die Bank XYZ zusätzlichen strengen Verpflichtungen gemäß Abschnitt 16 des AI-Gesetzes unterliegen.
In diesen Fällen wäre Bank XYZ voll für die Einhaltung des AI-Gesetzes verantwortlich, und es müsste sorgfältig geprüft werden, ob die Änderungen dazu führen, dass das System in die Kategorie „hohes Risiko“ fällt.
Wie Sie feststellen können, ob ein System ein hohes Risiko darstellt, können Sie in unserem früheren Artikel hier nachlesen.
Fazit: Wichtige Aspekte der KI-Integration
Die Pflichten der Anbieter von KI-Systemen mit hohem Risiko sind ein weites Thema, das in diesem Artikel nicht im Detail behandelt werden kann. In Zukunft werden wir jedoch ein kurzes Papier vorbereiten, das diesen Bereich des KI-Gesetzes im Detail erläutert.
Aus praktischer Sicht ist es jedoch wichtig, bei der Entscheidung, ob KI in die Prozesse oder Produkte eines Unternehmens integriert werden soll, Vorsicht walten zu lassen. Insbesondere muss geprüft werden, ob der Einsatz von KI-Systemänderungen den Anforderungen des KI-Gesetzes entspricht. Denn ein solcher Regulierungsansatz bedeutet, dass auch eine beträchtliche Anzahl von kleinen und mittleren Unternehmen in die Regulierung von Hochrisikosystemen eintreten wird.
Unternehmen haben zwei grundsätzliche Optionen: Sie können sich dafür entscheiden, nicht als Anbieter aufzutreten und ein fertiges KI-Produkt von einem Dritten zu kaufen, oder sie können ihr eigenes KI-System entwickeln und alle gesetzlichen Anforderungen erfüllen.
