27. Mai 2024

Am 21. Mai 2024 wurde die EU-weite Verordnung zur Regulierung Künstlicher Intelligenz, der sogenannte AI Act, verabschiedet. Diese Verordnung zielt darauf ab, den Einsatz von KI-Technologien zu regulieren und sicherzustellen, dass sie sicher und verantwortungsbewusst verwendet werden. Besonders im Gesundheitssektor, wo KI-Systeme erhebliche Vorteile bieten können, sind nach der KI-Verordnung jedoch auch strenge Auflagen für sogenannte Hochrisiko-KI-Systeme vorgesehen.

Was ist Künstliche Intelligenz?

Definition von KI orientiert sich an der Definition der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD). Demnach sind ein KI-System „ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren kann und nach dem Einsatz Anpassungsfähigkeit zeigen kann, und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen können“.

Risikobasierter Ansatz

Die Verordnung verfolgt einen risikobasierten Ansatz und klassifiziert KI-Systeme in vier Risikokategorien, an die unterschiedlich intensive Compliance-Anforderungen gestellt werden:

Unannehmbares Risiko: KI-Systeme stellen ein unannehmbares Risiko dar, wenn sie als Bedrohung für Menschen gelten. Solche Systeme sind verboten (Art. 5 KI-Verordnung).
Hohes Risiko: Systeme, die ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen darstellen, gelten als hochriskant und müssen strenge Anforderungen hinsichtlich Qualität, Sicherheit und laufender Überwachung erfüllen (Art. 6 – 27 KI-Verordnung).
Begrenztes Risiko: Systeme, die mit Menschen interagieren (wie Chatbots oder Anwendungen zur Emotionserkennung). Hier sind spezifische Anforderungen an Transparenz und Informationen für die Nutzer vorgesehen (Art. 50 KI-Verordnung).
Minimales Risiko: KI-Systeme, die unter keine andere Risikokategorie fallen. Diese Systeme unterliegen hauptsächlich Transparenzpflichten (Art. 6 -27 KI-Verordnung).

Wer ist vom AI-Act betroffen?

Von dem AI-Act sind insbesondere die folgenden Akteure betroffen:

Anbieter (auch aus Drittländern), die KI-Systeme entwickeln und diese in der EU in Verkehr bringen oder in Betrieb nehmen
Bereitsteller von KI-Systemen, die ihren Niederlassungsort in der Union haben oder dort ansässig sind
Anbieter und Betreiber von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das vom System hervorgebrachte Ergebnis innerhalb der EU verwendet wird
Importeure und Vertreiber von KI-Systemen
Produkthersteller, die ein KI-System zusammen mit ihrem Produkt und unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringen oder in Betrieb nehmen
Bevollmächtigte Vertreter von Dienstleistungserbringern, die nicht in der Union niedergelassen sind
Betroffene Personen, die sich in der Union befinden

Anforderungen für Hochrisiko-KI-Systeme

Insbesondere im Gesundheitswesen können KI-Systeme enorme Vorteile bieten. Diese reichen von der Diagnoseunterstützung bis hin zur personalisierten Medizin. Ein Großteil dieser Systeme fällt in die Kategorie der Hochrisikosysteme. Um den hohen Sicherheitsstandards zu genügen, müssen sie nach der KI-Verordnung bestimmte Anforderungen erfüllen:

Einrichtung von Risikomanagementsysteme: Hochrisiko-KI-Systeme müssen umfassende Risikomanagementsysteme implementieren. Es handelt sich hierbei um einen kontinuierlichen, iterativen Prozess, der über den gesamten Lebenszyklus des KI-Systems hinweg geplant und durchgeführt wird und eine regelmäßige systematische Überprüfung und Aktualisierung erfordert (Art. 9 KI-Verordnung)
Umfassende Daten-Governance: Um Verzerrungen zu vermeiden und repräsentative Ergebnisse sicherzustellen, müssen Trainings-, Validierungs- und Testdatensätze den Anforderungen von Art. 10 der KI-Verordnung entsprechen.
Erstellung technischer Dokumentation: Es ist eine detaillierte technische Dokumentation erforderlich, die die Funktionsweise und ordnungsgemäße Verwendung des KI-Systems beschreibt (Art. 11 KI-Verordnung).
Aufbewahrung der Aufzeichnungen: Vorgänge und Ereignisse sind während der gesamten Lebensdauer des Systems automatisch aufzuzeichnen, um eine Rückverfolgbarkeit der Funktionsweise des Systems zu gewährleisten (Art. 12 KI-Verordnung)
Transparenz und Bereitstellung von Informationen für Einsatzkräfte: Die Funktionsweise des Systems muss hinreichend transparent sein, sodass die Nutzer die Ergebnisse des Systems interpretieren und angemessen nutzen können. Weiterhin sind dem Anwender Gebrauchsanweisungen mit sämtlichen prägnanten, vollständigen, korrekten und klaren Informationen zur Verfügung zu stellen (Art. 13 KI-Verordnung)
Einrichtung von menschlicher Aufsicht: Diese Systeme müssen so entwickelt sein, dass sie während ihres Einsatzes von natürlichen Personen überwacht werden können, einschließlich der Bereitstellung von Notfall-Stopp-Funktionen (Art. 14 KI-Verordnung)
Maßnahmen zur Cybersicherheit des KI-Systems (Art. 15 KI-Verordnung)
Durchführung einer Konformitätsbewertung mit EU-Konformitätserklärung
Registrierung von bestimmten Hochrisiko-KI-Systemen in einer EU-Datenbank.

Sanktionen nach dem AI Act

Im Fall von Verstößen drohen Unternehmen hohe Bußgelder. Die Strafen für Verstöße gegen die KI-Verordnung sind gestaffelt nach der Größe und dem Geschäftszweck des Unternehmens:

Einsatz verbotener KI-Systeme: Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
Verstöße gegen allgemeine Verpflichtungen des AI-Acts: Strafen von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes.
Angabe falscher Informationen: Strafen von bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes.

Zusätzlich sind Klagen von Wettbewerbern oder Schadenersatzansprüche von Betroffenen möglich.

Inkrafttreten und Übergangsfristen

Die KI-Verordnung tritt 20 Tage nach der Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Aufgrund der notwendigen Übersetzungsarbeiten wird die Veröffentlichung für Ende Juni erwartet.

Nach dem Inkrafttreten folgt ein gestaffeltes System an Übergangsfristen:

6 Monate nach Inkrafttreten: Die Vorschriften über verbotene KI-Systeme treten in Kraft, und deren Nutzung muss eingestellt werden.
24 Monate nach Inkrafttreten: Die übrigen Vorgaben der Verordnung, einschließlich der Transparenzpflichten für generative KI-Systeme, werden wirksam.
36 Monate nach Inkrafttreten: Für Hochrisiko-KI-Systeme gilt eine verlängerte Übergangsfrist, innerhalb derer die spezifischen Anforderungen erfüllt werden müssen.

Handlungsempfehlungen für Unternehmen

Es bleibt abzuwarten, wie sich die Verordnung praktikabel in Deutschland umsetzen lässt. Unternehmen, die zukünftig KI-Systeme, insbesondere Hochrisiko-KI-Systeme, einsetzen möchten, sind gut beraten, sich frühzeitig mit den regulatorischen Anforderungen der KI-Verordnung auseinanderzusetzen. Aufgrund der Komplexität dürften Unternehmen, die erst kurz vor dem Inkrafttreten der Vorschriften mit der Implementierung beginnen, wahrscheinlich Schwierigkeiten haben, die Anforderungen rechtzeitig zu erfüllen.

Ähnlich wie bei Datenschutz- und anderen Compliance-Themen ist es entscheidend, zunächst eine Bestandsaufnahme durchzuführen und anschließend zu identifizieren, welche Maßnahmen erforderlich sind, um die Vorschriften der KI-Verordnung einzuhalten und Verstöße zu vermeiden. Nur durch proaktive und umfassende Vorbereitung können Unternehmen die Vorteile von KI nutzen, ohne rechtliche Risiken einzugehen.

Kategorien
Newsletter
Wollen Sie unter den Ersten sein, die über aktuelle Entwicklungen im Gesundheitsrecht und der Gesundheitspolitik informiert werden?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.