Wer ist ein Bereitsteller (« deployer ») im Sinne der europäischen KI-Verordnung ?

(Übersetzt von DeepL)

Die europäische Verordnung über künstliche Intelligenz (KI-VO) sieht spezifische Verpflichtungen für die verschiedenen Akteure vor, die in den verschiedenen Phasen der Entwicklung, des Betriebs und der Nutzung eines von der KI-VO betroffenen Tools tätig sind.

Die beiden wichtigsten „Rollen“ im Hinblick auf diese Verpflichtungen sind die des „Anbieters“ („provider“) und des „Betreibers“ („deployer“). Es ist daher wichtig, die Rolle jedes Unternehmens in Bezug auf künstliche Intelligenzsysteme (KIS) oder allgemeine KI-Modelle (GPAIM) zu bestimmen (zu den Begriffen KIS und GPAIM siehe Caballero Cuevas, cdbf.ch/1382), die es nutzt oder entwickelt, da diese Rolle die gemäß der KI-VO geltenden Verpflichtungen bestimmt.

Der vorliegende Kommentar befasst sich mit dem Begriff des Bereitstellers im Sinne der KI-VO (bzgl. des Begriffs des „Anbieters“, siehe. Fischer, cdbf.ch/1418)

1. Wer gilt als Bereitsteller ?

Ein Bereitsteller ist „eine natürliche oder juristische Person, eine Behörde, eine Agentur oder eine andere Stelle, die ein KIS in eigener Verantwortung nutzt“ (Artikel 3 Absatz 4 KI-VO). Ausgenommen sind Personen, die ein KIS ausschließlich für persönliche und nicht berufliche Zwecke nutzen.

Das Kriterium „unter eigener Verantwortung” ermöglicht es unserer Ansicht nach, (i) die Nutzung eines KIS beispielsweise im Umgang mit Nutzern (Mitarbeitern, Kunden) von (ii) der bloßen „Nutzung” eines KIS und seiner Ergebnisse zu unterscheiden. Daher gilt nur derjenige als Bereitsteller, der ein gewisses Maß an Kontrolle über den KIS hat. Ein Bankkunde, der einen Chatbot für den Kundenservice auf einer Website nutzt, verfügt beispielsweise nicht über dieses Maß an Kontrolle. Der Nutzer kann Fragen stellen, aber die Bank kontrolliert, wie der Chatbot darauf antwortet, und wird daher wahrscheinlich als Bereitsteller eingestuft.

2. Welche konkreten Folgen hat die Rolle des Bereitstellers  ?

Die Pflichten der Bereitsteller im Zusammenhang mit risikoreichen KIS sind Gegenstand einer separaten Stellungnahme (siehe Caballero Cuevas, cdbf.ch/1406).

Bei den übrigen KIS betreffen die wichtigsten Pflichten der Bereitsteller die Transparenz und lassen sich wie folgt zusammenfassen (Art. 50 KI-VO) :

‒ Die betroffenen Personen müssen darüber informiert werden, wenn diese KIS personenbezogene Daten verwenden, um Emotionen oder Absichten zu erkennen oder anhand biometrischer Merkmale zu klassifizieren.

‒ Die erzeugten Deepfakes müssen als solche erkennbar sein ; eine Ausnahme gilt jedoch für die Urheber : Sind die Deepfakes offensichtlich Teil von Kunst, Literatur, Satire und Ähnlichem, kann der Hinweis so eingeschränkt werden, dass die Darstellung und der Genuss des Werks nicht beeinträchtigt werden.

‒ Veröffentlichte Texte, die Themen von öffentlichem Interesse betreffen, müssen darauf hinweisen, dass sie durch KI generiert oder manipuliert wurden, es sei denn, der Text wurde von einem Menschen überprüft und ein Mensch oder eine juristische Person hat die redaktionelle Verantwortung für die Veröffentlichung übernommen.

3. Was bedeutet das konkret für Schweizer Unternehmen  ?

Die Mehrheit der Schweizer Unternehmen dürfte, sofern die KI-VO anwendbar ist (vgl. Fischer, cdbf.ch/1397), eine Rolle als Bereitsteller spielen. In dieser Funktion besteht ihre Hauptverantwortung darin, die Transparenzpflichten für Bereitsteller zu erfüllen.

In der Praxis kommen unserer Meinung nach drei Ansätze in Frage :

‒ Die permanente Anzeige in der Benutzeroberfläche, beispielsweise durch ein Symbol oder eine sichtbare Kennzeichnung, die darauf hinweist, dass der Nutzer mit einem KIS interagiert. Diese Methode eignet sich, wenn der Einsatz der KI konstant und in den Dienst integriert ist.

‒ Kontextbezogene Anzeige, z. B. ein Informationsfenster, das erscheint, wenn eine Interaktion mit einer KI beginnt oder wenn KI-generierte Inhalte aufgerufen werden. Diese Lösung ermöglicht es, die Informationsüberflutung zu begrenzen und gleichzeitig gezielte Transparenz zu gewährleisten.

‒ Eine „KI-Erklärung”, beispielsweise in Form eines eigenen Abschnitts auf einer Website oder in den Nutzungsbedingungen, in dem detailliertere Erläuterungen gegeben werden. Diese Methode ist eine sinnvolle Ergänzung zu den beiden ersten Methoden, reicht jedoch allein nicht aus.

Die Informationen müssen in verständlicher, angemessener und zugänglicher Form bereitgestellt werden. Eine rein formale oder technische Transparenz reicht nicht aus : Die betroffenen Personen müssen verstehen können, dass sie mit einer KI interagieren, welche Auswirkungen dies hat und in bestimmten Fällen, welche Rechte sie haben.