Immer mehr Maschinen, Anlagen oder elektrische Geräte nutzen selbstlernende Algorithmen, um den Kunden- bzw. Anwendernutzen zu erhöhen. In Bezug auf die Produktsicherheit stellt dies ein Novum dar. Das Verhalten von Produkten weist nun nicht mehr zwangsläufig einen bestimmten Funktionsumfang zum Zeitpunkt des Inverkehrbringens auf. Dieser kann sich aufgrund der selbstlernenden Softwarekomponenten entsprechend verändern oder erweitern.
Um diesen Herausforderungen zu begegnen hat die EU-Kommission einen Gesetzesvorschlag für ein europäisch gesteuertes Konzept zu künstlicher Intelligenz (KI) vorgelegt. Dieser Gesetzesrahmen fördert die Nutzung von KI und versucht gleichzeitig die Risiken zu berücksichtigen, welche im Zusammenhang mit künstlicher Intelligenz entstehen können. Am Ende dieser Initiative soll eine Verordnung mit harmonisierten Vorschriften stehen, welche die Entwicklung, das Inverkehrbringen sowie die Anwendung solcher KI-Systeme in der EU regelt.
„Bei künstlicher Intelligenz ist Vertrauen ein Muss und kein Beiwerk. Mit diesen wegweisenden Vorschriften steht die EU an vorderster Front bei der Entwicklung neuer weltweiter Normen, die sicherstellen sollen, dass KI vertrauenswürdig ist.“ Mit diesen Worten fasst Exekutiv-Vizepräsidentin Margrethe Vestager das Vorhaben zusammen.
Gerade in den letzten Jahren haben KI-Systeme eine rasante technische Entwicklung erfahren. Hier sieht die EU-Kommission Handlungsbedarf zu einer abgestimmten, europäischen Regulierung, um den Herausforderungen von KI-Systemen entgegenzutreten. Das Ziel ist ein gemeinsamer europäischer Rechtsrahmen, welcher sowohl positive Aspekte als auch Risiken solcher Systeme berücksichtigt. Dadurch wird versucht sowohl Grundrechte als auch Anwender zu schützen und eine legale Basis in die sich rasch weiterentwickelnde KI zu schaffen.
Mit der neuen Verordnung verfolgt der Gesetzgeber einen risikobasierten Ansatz. Dieser besagt, dass „Art und Inhalt solcher Vorschriften auf die Intensität und den Umfang der Risiken zugeschnitten werden, die von KI-Systemen ausgehen können“. Dies bedeutet, dass KI-Systeme, die ein inakzeptables Risiko für die Sicherheit von Menschen darstellen, verboten sind. Dazu gehören Systeme, die unterschwellige oder absichtlich manipulative Techniken einsetzen, die Schwachstellen von Menschen ausnutzen oder für Social Scoring (Klassifizierung von Menschen auf der Grundlage ihres Sozialverhaltens, ihres sozioökonomischen Status oder persönlicher Merkmale) verwendet werden.
Die Vorschrift der Kommission sieht eine Einstufung solcher Risiken in 4 Stufen vor. Diese decken anhand von Anwendungsfällen die Schwere der potentiell auftretenden Risiken:
KI-Systeme mit unannehmbarem Risiko werden somit verboten, da sie eine Sicherheitsbedrohung für Anwender darstellen. Besteht für ein System ein hohes Risiko, so müssen strenge Auflagen erfüllt werden bevor es auf dem Markt zugelassen wird. Für ein geringes Risiko weist die Verordnung lediglich auf mögliche Gefahren hin, bei einem minimalen Risiko soll in die freie Anwendung solcher Systeme möglichst kein Eingriff erfolgen. Beim spezifischen Transparenzrisiko müssen Nutzer informiert werden, wenn biometrische Kategorisierungs- oder Emotionserkennungssysteme verwendet werden.
Im neuen Kompromissvorschlag vom Mai 2023 haben die EU-Abgeordneten die Klassifizierung der Hochrisikobereiche um die Gefährdung der Gesundheit, der Sicherheit, der Grundrechte oder der Umwelt erweitert. Sie fügten auch KI-Systeme zur Beeinflussung von Wählern in politischen Kampagnen und in Empfehlungssystemen, die von Social-Media-Plattformen (mit mehr als 45 Millionen Nutzern gemäß dem Gesetz über digitale Dienste) verwendet werden, der Liste der Hochrisikobereiche hinzu.
Unternehmen, die sich nicht an die Vorschriften halten, müssen mit Geldstrafen rechnen. Die Bußgelder betragen 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für Verstöße gegen verbotene KI-Anwendungen, 15 Mio. EUR oder 3 % für Verstöße gegen andere Verpflichtungen und 7,5 Mio. EUR oder 1 % für die Angabe falscher Informationen. Für KMU und Start-ups sind bei Verstößen gegen das KI-Gesetz verhältnismäßigere Obergrenzen für Bußgelder vorgesehen.
Mit dem KI-Gesetz werden spezielle Regeln für KI-Modelle für allgemeine Zwecke eingeführt, die die Transparenz entlang der Wertschöpfungskette sicherstellen sollen. Für sehr leistungsfähige Modelle, die systemische Risiken darstellen könnten, wird es zusätzliche verbindliche Verpflichtungen in Bezug auf das Risikomanagement und die Überwachung schwerwiegender Vorfälle geben. Diese neuen Verpflichtungen werden durch Verhaltenskodizes operationalisiert, die von der Industrie, der Wissenschaft, der Zivilgesellschaft und anderen Interessengruppen zusammen mit der Kommission entwickelt werden.
Die zukünftige Verordnung für KI-Systeme und die Maschinenverordnung 2023/1230 sollen sich gegenseitig ergänzen. Die KI-Verordnung deckt vorrangig von KI-Systemen ausgehende Sicherheitsrisiken ab, welche Sicherheitsfunktionen einer Maschine steuern. Als Ergänzung dazu soll die Maschinenverordnung die Integration des KI-Systems in die Gesamtmaschine sicherstellen, um so die Maschinensicherheit als Ganzes nicht zu gefährden.
Zudem betont die Kommission, dass Hersteller für beide Verordnungen nur eine Konformitätsbewertung durchführen müssen.
Die Verordnung sieht für harmonisierte Normen eine Schlüsselrolle in der Einhaltung der Bestimmungen der KI-Verordnung vor. Nach Artikel 40 (1) sollen speziell für Hochrisiko-Systeme oder KI-Modelle mit allgemeinem Verwendungszweck harmonisierte Normen erarbeitet werden, die in weiterer Folge als Fundstellen im EU-Amtsblatt veröffentlicht werden. Nach Erteilung eines Normungsauftrags vonseiten der EU-Kommission an die Normungsorganisationen sollten bereits weitere Details für solche künftige technische Standards vorliegen.
Bisher veröffentlichte europäische Normen – welche voraussichtlich auch bei der Erfüllung der Anforderungen des AI Acts Verwendung finden dürften – sind folgende Dokumente:
Einen Ansatz, die Grenzen maschinellen Lernens in eine Maschine zu integrieren, verfolgt ISO/TR 22100-5:2021-01 „Safety of machinery - Relationship with ISO 12100 - Part 5: Implications of artificial intelligence machine learning“.
Am 12.7.2024 wurde die Verordnung im EU-Amtsblatt veröffentlicht und tritt 20 Tage später – am 1.8.2024 – in Kraft. Verbindlich anzuwenden sein wird sie 2 Jahre nach Veröffentlichung am 2.8.2026, wobei es für einzelne Bestimmungen Ausnahmen geben wird:
Eine detaillierte Übersicht über die verschiedenen Zeitpunkte der Implementierung finden Sie auf der timeline zum artificial intelligence act.
Über folgenden Link können Sie den Volltext der KI-Verordnung öffnen und herunterladen, zudem ist der Volltext der Rechtsvorschrift als bibliografischer Datensatz im Safexpert NormManager zu finden:
Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz
Verfasst am: 16.10.2024 (Letzte Aktualisierung)
Daniel Zacek-Gebele, MSc Produktmanager bei IBF für Zusatzprodukte sowie Datenmanager für die Aktualisierung der Normendaten am Safexpert Live Server. Studium der Wirtschaftswissenschaften in Passau (BSc) und Stuttgart (MSc) im Schwerpunkt International Business and Economics.
E-Mail: daniel.zacek-gebele@ibf-solutions.com | www.ibf-solutions.com
Sie sind noch nicht registriert? Melden Sie sich jetzt zum kostenlosen CE-InfoService an und erhalten Sie Infos per Mail, wenn neue Fachbeiträge, wichtige Normenveröffentlichungen oder sonstige News aus dem Bereich Maschinen- und Elektrogerätesicherheit bzw. Product Compliance verfügbar sind.
Registrieren
CE-Software zum systematischen und professionellen sicherheitstechnischen Engineering
Praxisgerechte Seminare rund um das Thema Produktsicherheit
Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit