Pflichten für Betreiber („Deployers“)
Betreiber ist eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht einer beruflichen Tätigkeit verwendet. Betreiber von Hochrisiko-KI-Systemen müssen technische und organisatorische Maßnahmen treffen, um die korrekte Verwendung und Überwachung zu gewährleisten. Sofern die Eingabedaten ihrer Kontrolle unterliegen, haben sie dafür zu sorgen, dass diese der Zweckbestimmung des Hochrisiko-KI-Systems entsprechen. Die Aufsicht muss fachkundigen Menschen übertragen werden. Darüber hinaus haben Betreiber eine Reihe von Informationspflichten gegenüber Betroffenen und Behörden und müssen unter Umständen für Hochrisiko-KI-Systeme eine Grundrechte-Folgenabschätzung durchführen. Dies gilt etwa für Einrichtungen des öffentlichen Rechts. Sofern sie dazu aufgrund Art. 35 DSGVO verpflichtet sind, führen Betreiber eine Datenschutz-Folgenabschätzung durch.
Händler („Distributors“) und Einführer („Importers“)
Händler und Importeure müssen zunächst die Konformität der Hochrisiko-KI-Systeme mit den erforderlichen Anwendungspflichten überprüfen. Sie kommen ihren Pflichten dadurch nach, dass sie überprüfen, ob ein Konformitätsverfahren durchgeführt wurde und die entsprechende Dokumentation vorhanden ist.
Transparenzpflichten
Für Anbieter und Betreiber bestimmter KI-Systeme gelten spezifische Transparenzpflichten. So müssen sie bei KI-Systemen, die für die direkte Interaktion mit Menschen bestimmt sind, die betreffenden Personen über den Einsatz des KI-Systems informieren. Wenn das KI-System synthetische Audio-, Bild-, Video- oder Textinhalte erzeugt, müssen sie ebenfalls die Nutzer darauf hinweisen. Eine Informationspflicht besteht zudem für Betreiber eines Emotionserkennungssystems.
GPAI
KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI, kurz: GPAI) werden danach unterschieden, ob sie ein systemisches Risiko beinhalten oder nicht. Zu den GPAI zählen beispielsweise die in OpenAI genutzten Sprachmodelle. Anbieter von GPAI ohne systemisches Risiko müssen eine technische Dokumentation erstellen und fortlaufend aktualisieren, um sie dem neu eingerichteten Büro für Künstliche Intelligenz zur Verfügung zu stellen. Sie müssen ferner anderen Anbietern, die ihr KI-Modell hinein integrieren wollen, Informationen zu dem Modell bereitstellen. Darüber hinaus muss bei generativen GPAI-Modellen eine Strategie zur Einhaltung des Urheberrechts erstellt werden. Zuletzt muss auch eine detaillierte Zusammenfassung der Inhalte, die für das Training verwendet werden, erstellt und veröffentlicht werden. Eine Sonderregelung gilt für Anbieter von GPAI mit systemischem Risiko. Das wird vermutet, wenn die kumulierte Menge der für das Training des Modells verwendeten Berechnungen, gemessen in Gleitkommaoperationen, höher als 1025 ist. Sie müssen zusätzlich eine Modellbewertung durchführen, um Anwendungsrisiken zu bewerten und zu mindern. Zudem müssen sie schwerwiegende Vorfälle dokumentieren und an die EU-Kommission berichten sowie ein angemessenes Maß an Cybersicherheit gewährleisten.
Autoren: Peter Katko & Eric Meyer