Grundsätze für die Auslegung der Anforderungen an KI-Systeme mit hohem Risiko

(Übersetzt von DeepL)

Die europäische KI-Verordnung (KI-VO), die insbesondere als Gesetzgebung zur Regelung der Sicherheit von KI-Systemen (KIS) konzipiert ist, legt Anforderungen fest, die jedes KIS mit hohem Risiko vor seiner Markteinführung oder Inbetriebnahme in der Europäischen Union erfüllen muss, und zwar während seines gesamten Lebenszyklus. Im Banken- und Finanzbereich betrachtet die KI-VO KIS für credit scoring als Systeme mit hohem Risiko. Die Anforderungen sind in den Art. 8 bis 15 KI-VO festgelegt und betreffen insbesondere das Risikomanagementsystem (Art. 9 KI-VO), die Datenverwaltung (Art. 10 KI-VO), die menschliche Kontrolle (Art. 14 KI-VO) sowie die Genauigkeit, Robustheit und Cybersicherheit des KIS (Art. 15 KI-VO). Dieser Kommentar befasst sich mit den in Artikel 8 KI-VO dargelegten Auslegungsgrundsätzen. Es sei hier daran erinnert, dass die KI-VO extraterritoriale Wirkung haben kann (siehe Fischer, cdbf.ch/1397/).

Art. 8 Abs. 1 KI-VO sieht vor, dass „Hochrisiko-KI-Systeme müssen die in [Kapitel 3 Abschnitt 2] festgelegten Anforderungen erfüllen, wobei ihrer Zweckbestimmung sowie dem allgemein anerkannten Stand der Technik in Bezug auf KI und KI-bezogene Technologien Rechnung zu tragen ist. Bei der Gewährleistung der Einhaltung dieser Anforderungen wird dem in Artikel 9 genannten Risikomanagementsystem Rechnung getragen“ (Hervorhebung hinzugefügt). Die Bestimmung erinnert dann daran, dass jedes KIS mit hohem Risiko die in den Artikeln 9 bis 15 KI-VO festgelegten verbindlichen Anforderungen erfüllen muss. Die vom Lieferanten getroffenen Maßnahmen zur Erfüllung der Anforderungen müssen den Kontext berücksichtigen, in dem das KIS betrieben wird, und in einem angemessenen Verhältnis zu den mit der KI-VO verfolgten Zielen stehen (Erwägungsgrund 64 KI-VO). Folglich sollte das Prinzip der Verhältnismäßigkeit bei der Prüfung der Konformität des KIS unter Berücksichtigung seiner Zweckbestimmung und der Regeln der Technik im Bereich der KI maßgebend sein.

Erstens ist die in Art. 8 Abs. 1 KI-VO genannte „Zweckbestimmung“ in Art. 3 Nr. 12 KI-VO definiert. Dieser Begriff umfasst „die Verwendung, für die ein KI-System laut Anbieter bestimmt ist, einschließlich der besonderen Umstände und Bedingungen für die Verwendung, entsprechend den vom Anbieter bereitgestellten Informationen in den Betriebsanleitungen, im Werbe- oder Verkaufsmaterial und in diesbezüglichen Erklärungen sowie in der technischen Dokumentation“. Mit anderen Worten : Der Verwendungszweck bezeichnet den Hauptzweck, für den der Lieferant das KIS entwickelt hat, wie in den von ihm zur Verfügung gestellten Dokumenten (z. B. Bedienungsanleitung, Werbung, technische Dokumentation) sowie in seinen Erklärungen angegeben. Es stellt sich die Frage, ob der Lieferant bei der Bestimmung des Verwendungszwecks eines KIS mit hohem Risiko auch Missbrauchsfälle berücksichtigen muss, die vernünftigerweise vorhersehbar sind. Unserer Meinung nach sollte sich der Begriff der Zweckbestimmung auf die vom Lieferanten vorgesehene Verwendung beziehen, ohne Missbrauch zu berücksichtigen, der nicht dem Hauptzweck entspricht, für den die KIS entwickelt wurde (siehe in diesem Sinne Schneeberger et al., Art. 8, S. 226-227). Die konkrete Umsetzung der Anforderungen hängt daher vom vom Anbieter beabsichtigten Verwendungszweck ab und nicht von möglichen missbräuchlichen Verwendungen durch Dritte, da der Anbieter in dieser Hinsicht letztlich nur eine begrenzte Kontrolle hat. Der Anbieter muss jedoch ein ausreichendes Schutzniveau gewährleisten, das dem beabsichtigten Verwendungszweck entspricht (siehe Blue Guide, Punkt 2.8). Dieser Schutz sollte unserer Meinung nach durch die Umsetzung der KI-VO-Anforderungen gewährleistet werden.

Zweitens müssen bei der Anwendung der Anforderungen und der Konformitätsprüfung unbedingt der allgemein anerkannte Stand der Technik im Bereich der KI berücksichtigt werden. Dieser bezieht sich auf einen Entwicklungsstand, der in Bezug auf technische Fähigkeiten zu einem bestimmten Zeitpunkt in Bezug auf Produkte, Prozesse und Dienstleistungen auf der Grundlage einschlägiger konsolidierter wissenschaftlicher, technologischer und erfahrungsbasierter Erkenntnisse erreicht wurde und der als bewährte Praxis im technologischen Bereich anerkannt ist (siehe Entwurf des Antrags auf Standardisierung im Bereich KI – Änderung des Beschlusses C(2023)3215, Anhang, S. 1). Der allgemein anerkannte Stand der Technik ist daher als die Gesamtheit der im Bereich der KI weit verbreiteten und anerkannten Regeln der Technik zu verstehen. Diese Regeln sollten jedoch nicht die neuesten wissenschaftlichen Forschungsergebnisse umfassen, die sich noch im experimentellen Stadium befinden oder noch nicht ausreichend technologisch ausgereift sind.

Art. 8 Abs. 2 KI-VO beschreibt die Rolle der KI-VO in der europäischen Rechtslandschaft sowie ihr Zusammenspiel mit anderen Harmonisierungsrechtsvorschriften. In diesem Zusammenhang kann die Konformitätsprüfung in die bereits bestehenden Verfahren integriert werden, die in den geltenden europäischen Rechtsvorschriften vorgesehen sind, die in Abschnitt A von Anhang I aufgeführt sind. Ziel ist es somit, zusätzliche regulatorische Belastungen und Verfahrensdopplungen zu vermeiden und gleichzeitig die Kohärenz bei der Anwendung des europäischen Rechtsrahmens zu gewährleisten (Erwägungsgrund 46).

Zusammenfassend lässt sich sagen, dass Art. 8 KI-VO Leitlinien für die Umsetzung und Auslegung der Anforderungen an KI mit hohem Risiko vorgibt, bei denen der Zweck der KI und die Regeln der Technik eine zentrale Rolle spielen. Darüber hinaus sollten die Anforderungen des KI-VO nicht statisch, sondern evolutionär interpretiert werden, entsprechend den technologischen Fortschritten im Bereich der KI. Dieser Aspekt sollte eine kontinuierliche Verbesserung der KI fördern. Unserer Meinung nach sollte die kontextbezogene Umsetzung und Interpretation der Anforderungen dem KI-VO eine „relative“ Flexibilität verleihen.