E-Book, Deutsch, 358 Seiten
Reihe: InTeR-Schriftenreihe
Hense / Mustac AI Act kompakt
1. Auflage 2025
ISBN: 978-3-8005-9685-0
Verlag: Fachmedien Recht und Wirtschaft in Deutscher Fachverlag GmbH
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Compliance, Management & Use Cases in der Unternehmenspraxis
E-Book, Deutsch, 358 Seiten
Reihe: InTeR-Schriftenreihe
ISBN: 978-3-8005-9685-0
Verlag: Fachmedien Recht und Wirtschaft in Deutscher Fachverlag GmbH
Format: EPUB
Kopierschutz: 6 - ePub Watermark
“If it’s written in Python, it’s probably machine learning. If it’s written in PowerPoint, it’s definitely AI“.
Der AI Act stellt die Rechtspraxis vor erhebliche Herausforderungen, da er interdisziplinäres Wissen rund um Technologie, Normierung, Organisationsmanagement und Sozialwissenschaften voraussetzt. Naturwissenschaftlich geprägte Anwender:innen sehen sich mit einer Vielzahl unbestimmter Rechtsbegriffe und grundrechtlicher Postulate konfrontiert, was das Gesetz auch für sie zu einem „Buch mit sieben Siegeln“ macht.
Der AI Act ist ein weltweit einmaliges Frühwerk zur umfassenden Regulierung automatisierter Entscheidungssysteme, das den dynamischen technischen Entwicklungen rund um AI Grenzen setzen und neue rechtliche Verantwortlichkeiten begründen soll. Die Einteilung von AI-Systemen in verschiedene Risikokategorien, neue Konformitätsbewertungen und Prüfstandards, sowie Verpflichtungen zu Data Governance, Risk Management, Erklärbarkeit, Steuerung und Diskriminierungsfreiheit, Accountability und neue Haftungsregelungen erweitern die Herausforderungen für Anbieter und Nutzer von AI-Systemen.
Das vorliegende Werk fungiert als Rechtshandbuch für die Unternehmenspraxis und vereint rechtliches, technisches und organisatorisches Wissen.
Die Verfasser:innen stellen Schnittstellen und Reibungspunkte mit anderen europäischen Rechtsakten wie CDSMD, DSGVO, DGA, DA, DMA etc. dar, beziehen rechtsvergleichende Perspektiven ein und bieten mit einem umfangreichen, gut sortierten Literaturapparat eine Basis für vertiefende Studien.
Zielgruppe
Jurist:innen und Nichtjurist:innen in Unternehmen, Behörden und Beratungsunternehmen
Autoren/Hrsg.
Weitere Infos & Material
a) AI Systems
(1) Einführung Nach mehrfachen und grundlegenden konzeptionellen Änderungen der Definition eines AI Systems seit 2021 stützt sich der AI Act im Wesentlichen auf die von der OECD 2023 aktualisierte Definition von AI Systems. Dies ist aus mehreren Gründen bemerkenswert. Denn die – absichtlich oder unabsichtlich – ungenaue Übernahme der Definition erweitert den schon 2021 sehr weit gefassten Anwendungsbereich des Gesetzes. Zudem stammt die OECD-Definition aus der politischen Dimension des Rechts, ist eher ein Programmsatz aus dem Bereich Public Policymaking und keine trennscharfe Norm eines Gesetzgebers, die der Vivisektion durch juristische Kommentatoren standhalten soll. Für juristische Zwecke ist sie daher zu vage. Dessen ungeachtet definiert Art. 3.1 des AI Acts ein „AI System“ nun als: – ein maschinengestütztes System,
– das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und
– das nach seiner Betriebsaufnahme anpassungsfähig sein kann und
– das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben, wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen, erstellt werden,
– die physische oder virtuelle Umgebungen beeinflussen können.
Erwägungsgrund 12 soll dieser diffusen Definition Konturen verleihen und formuliert, unter Autonomie sei ein gewisser Grad an Unabhängigkeit des AI Systems vom menschlichen Zutun zu verstehen. Doch die meisten IT-Systeme und Applikationen verfügen heutzutage zumindest über dieses Mindestmaß an Unabhängigkeit, das mit dem Begriff „Automatisierung“ treffender beschrieben wäre. Denken Sie etwa an Ihren Spam-Filter: Natürlich können Sie den Spamfilter aufrufen und sehen, was der Algorithmus als „Spam“ aussortiert hat. Sie können die algorithmenbasierte Systementscheidung aber auch übergehen und die Kategorisierung als Spam aufheben. Der springende Punkt ist jedoch, dass der Algorithmus eine eingehende E-Mail zunächst unabhängig, also automatisch, in Ihren Spam-Ordner einsortiert hat und Sie die E-Mail daher erst Tage später wahrnehmen. Dennoch ist dies vorteilhafter, als alle Spam-Mails im regulären Posteingang zu erhalten und den gesamten Sortiervorgang manuell durchzuführen. Wenn also ein beliebiges Maß an Autonomie (bei wörtlicher Lesart auch gar keine Autonomie) ausreicht, um diesen Teil der Definition von AI Systems zu erfüllen, können demnach auch sehr einfache Programme davon erfasst sein. Anpassungsfähigkeit wiederum bezieht sich nach Erwägungsgrund 12 auf die (Selbst-)Lernfähigkeit des AI Systems, die es dem System ermöglicht, sich während der Nutzung zu verändern. Man könnte hierin eine Einschränkung des Anwendungsbereichs sehen, denn viele Systeme verfügen nicht über selbstlernende Fähigkeiten. Allerdings weicht an dieser Stelle die Definition in Art. 3 (1) des AI Acts entscheidend von der OECD-Definition ab: Während die OECD-Definition von AI Systems verlangt, dass sie anpassungsfähig sind, verlangt der AI Act lediglich, dass die Systeme anpassungsfähig sein können, es folglich also nicht unbedingt sein müssen. Wenn die Anpassungsfähigkeit aber lediglich ein fakultatives Merkmal ist, hindert uns dieses Merkmal nicht daran, unseren altmodischen Spam-Filter, der sich mit der Zeit nicht verbessert, als ein AI System zu betrachten. Das Merkmal der Fähigkeit zum „Ableiten“ wird ebenfalls in Erwägungsgrund 12 angesprochen, allerdings nur in Bezug auf den Einsatz von Technologien, die Ableitungen ermöglichen. Dazu gehören „Ansätze für maschinelles Lernen, wobei aus Daten gelernt wird, wie bestimmte Ziele erreicht werden können, sowie logik- und wissensgestützte Konzepte, wobei aus kodierten Informationen oder symbolischen Darstellungen der zu lösenden Aufgabe abgeleitet wird.“ Ableitungen sind kein spezifisches Merkmal künstlicher Intelligenz, sondern ein allgemeiner Prozess, der in vielen Bereichen der Wissenschaft, Philosophie und im täglichen Leben, z.B. im Rahmen statistischer Berechnungen oder medizinischer Diagnosen, verwendet wird. Inferences, so der international gängige Begriff,1 werden genutzt, um aus Daten und Modellen Schlussfolgerungen zu ziehen, etwa bei der Vorhersage von Ergebnissen oder der Klassifizierung von Daten. Im Machine Learning ist die Inference-Phase derjenige Teil des Prozesses, bei dem das trainierte Modell verwendet wird, um neue Vorhersagen oder Entscheidungen zu treffen. Dieser spezielle Einsatz ist technisch, aber der zugrunde liegende Prozess des Schlussfolgerns existiert in vielen anderen wissenschaftlichen und praktischen Disziplinen. Das Merkmal der Beeinflussung der Umgebungen wird nirgendwo näher erläutert. Als Umgebungen sollen jedoch gemäß Erwägungsgrund 12 „Kontexte verstanden werden, in denen KI-Systeme betrieben werden, während die von einem KI-System erzeugten Ausgaben verschiedene Funktionen von KI-Systemen widerspiegeln, darunter Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen.“ Eine Einschränkung oder auch nur Präzisierung der Definition von AI Systems durch dieses Merkmal ist indes nicht zu erwarten: Nicht nur beeinflusst die Integration jeder Art von System dessen Umgebung. Vielmehr implementiert man ein neues System in bestehende Prozesse gerade um diese Prozesse zu beeinflussen. Wenn also Menschen ein AI System für einen bestimmten Zweck einsetzen, leitet das AI System zumindest den menschlichen Denkprozess und beeinflusst ihn daher. Mangels einer Erheblichkeitsschwelle – etwa, dass der Einfluss entscheidend oder auch nur erheblich sein muss – kann dieses Merkmal schon dann als erfüllt angesehen werden, wenn ein beliebiges System einen beliebigen Teil eines Prozesses automatisiert, da es immer zumindest diesen Teil des Prozesses beeinflussen wird. Der Versuch einer Konturierung könnte Erwägungsgrund 12 dennoch zu entnehmen sein. AI Systems sollen getrennt von einfacheren herkömmlichen Softwaresystemen oder Programmierungsansätzen betrachtet werden und sich nicht auf Systeme beziehen, die auf Regeln beruhen, die ausschließlich von natürlichen Personen zur automatischen Ausführung von Operationen definiert werden. An dieser Stelle fiele unser Spam-Filter aus der Definition eines AI Systems heraus – jedenfalls solange alle Begriffe, die zur Einstufung als „Spam“ führen, von einem Menschen explizit kodiert werden. Selbstredend tut dies niemand mehr. Die gesetzgeberische Definition und ihre praktische Anwendung sind freilich umstritten, wobei sich der ungelöste Streit aus dem Gesetzgebungsprozess nunmehr in die Kommentarliteratur verlagert. Einige Stimmen zaubern neue, aus ihrer Sicht wünschenswerte Kriterien für die Bestimmung dessen, was AI Systems sein sollen, hervor. Andere interpretieren Teile der aktuellen Definition aus Unternehmensperspektive neu, um eine Abgrenzung zu künstlich intelligenten Fähigkeiten bislang unverdächtiger Standardsoftware zu ermöglichen, oder fügen Anwendungsbeispiele und ausführliche Erklärungen ihren Einschätzungen bei.2 Obwohl all dies nützlich sein kann, stellen wir einen eigenen, äußerst effizienten Ansatz vor: Wann immer Sie sich darüber den Kopf zerbrechen müssen, ob Sie es mit einem AI System nach dem AI Act zu tun haben, lautet die Antwort: Ja! Viele werden von der edlen Einfalt und stillen Größe dieser Daumenregel zunächst überrascht sein, wir halten sie aus mehreren Gründen für nützlich: – Die Entwicklung von Leitlinien der Kommission auf Grundlage von Artikel 96 des AI Acts oder durch Aufsichtsbehörden zur genauen Klärung dessen, was als AI System gilt, wird noch Zeit in Anspruch nehmen.
– Nicht alle AI-Systeme unterliegen den gleichen Verpflichtungen des AI Acts, weshalb die Frage der Klassifizierung eines Systems als „AI System“ nicht überbewertet werden sollte. Entscheidend ist vielmehr die Bestimmung der Risikokategorie, da diese das zentrale Element des AI Acts darstellt.
– Wenn Sie Ihr IT-System als AI System kennzeichnen, können Sie es ohne Bedenken als solches vermarkten, ohne negative Folgen befürchten zu müssen.
– Darüber hinaus gibt es in der ingenieurstechnischen Praxis bereits weitere, sehr prägnante und standardisierte Definitionen dessen, was ein „AI System“ ist (mehr dazu im Folgenden).
Schließlich gibt es auch AI Systems, die, obwohl sie unter den Begriff eines AI Systems fallen, nicht unter dem AI Act reguliert sind. Diese Ausnahmen sind im Art. 2 erwähnt und enthalten: – AI Systems, die nicht in der Union in Verkehr gebracht oder in Betrieb genommen werden, wenn die Ausgaben in der Union ausschließlich für militärische Zwecke, Verteidigungszwecke oder Zwecke der nationalen Sicherheit verwendet werden (Art. 2.3.),
– AI Systems, die Behörden in Drittländern oder internationalen Organisationen im Rahmen der internationalen Zusammenarbeit oder internationalen Übereinkünfte im Bereich der Strafverfolgung und justiziellen Zusammenarbeit mit der Union oder mit einem oder mehreren Mitgliedstaaten verwenden (Art....
