Die KI-Verordnung sieht verschiedene Rollen vor, etwa Anbieter und Anwender, die jeweils eigene Pflichten haben – diese werden im Kapitel "Wer muss welche Regeln aus der KI-Verordnung beachten?" näher erläutert. Ein Anbieter kann zum Beispiel ein Unternehmen sein, das ein Sprachmodell entwickelt oder das Sprachmodell eines anderen Anbieters mit seiner eigenen Benutzeroberfläche verknüpft und damit ein KI-System erschafft. Ein Anwender ist dann etwa ein Betrieb, der dieses KI-System als Chatbot für Produktanfragen nutzt. Abhängig von der Rolle sowie der Risikoklasse ergeben sich verschiedene Pflichten und Verantwortlichkeiten. 

Fünf Risikoklassen 

Die Verordnung teilt KI-Systeme und -Modelle in fünf Risikoklassen ein: 

• Verbotene KI-Systeme sind Anwendungen mit unannehmbarem Risiko, die in der EU vollständig untersagt sind. Dazu gehören Systeme, die Menschen manipulieren oder ausnutzen, etwa eine KI, die gezielt Kinder zu riskantem Verhalten verleitet. Ebenfalls verboten sind Social-Scoring-Systeme, Echtzeit-Gesichtserkennung für die Strafverfolgung, Emotionserkennung am Arbeitsplatz und biometrische Fernidentifizierung.
   
• Hochrisiko-KI-Systeme können Gesundheit, Sicherheit oder Grundrechte erheblich beeinflussen. Beispiele sind KI für die automatisierte Bewerberauswahl, die Schaltung gezielter Stellenanzeigen, KI in der medizinischen Diagnose oder Anwendungen im Bildungsbereich. 
  Der Anbieter des Hochrisiko-KI-System muss beispielsweise ein Risiko- und Qualitätsmanagement einrichten, für die Ereignisprotokollierung sorgen oder die Robustheit, Genauigkeit und Cybersicherheit des Systems sicherstellen. Pflichten des Anwenders von Hochrisiko-KI-Systemen hingegen sind zum Beispiel die Durchführung einer Grundrechte-Folgenabschätzung, die Zuweisung menschlicher Aufsicht oder die anleitungsgemäße Nutzung des Hochrisiko-KI-Systems.
   
• KI-Systeme mit begrenztem Risiko, wie Chatbots im Kundenservice oder Deepfake-Generatoren für Marketing, unterliegen vor allem Transparenzpflichten: Nutzer müssen wissen, dass sie mit einer KI interagieren.
   
• KI-Systeme mit minimalem Risiko, etwa KI-gestützte Spam-Filter oder Rechtschreibkorrekturen, können frei genutzt werden. Sie müssen jedoch grundlegende Prinzipien wie Fairness, Datenschutz, Transparenz und technische Sicherheit einhalten.
   
• General Purpose AI (GPAI) umfasst KI-Modelle mit breitem Einsatzbereich, beispielsweise GPT von OpenAI oder Google Gemini. Hier muss unter anderem die Transparenz über Trainingsdaten, die technische Dokumentation oder Datenverwaltung sichergestellt werden. GPAI-Modelle stehen "abseits" der Risikoklassen der KI-Verordnung und haben daher ihre eigenen Pflichten. Hier wird nochmal unterschieden zwischen "regulären" GPAI-Modelle und solchen mit systemischem Risiko (Letzteres sind vor allem die besonders mächtigen, großen Modelle). 

Anwendungsbereich im Fokus

In welche Risikokategorie eine KI gehört, bestimmt sich in erster Linie danach, wofür sie genutzt wird: 

• Das bekannte KI-Modell GPT von OpenAI ist Basis für das KI-System ChatGPT und wird als GPAI-Modell behandelt
   
• Wenn man dieses KI-Modell nun mit einer Nutzeroberfläche verbindet (ChatGPT) und zur Kommunikation mit Menschen als Chatbot einsetzt, wird daraus ein KI-System mit begrenztem Risiko.
   
• Das gleiche KI-System, eingesetzt zur Bewerberauswahl, ist als Hochrisiko-KI-System zu behandeln.

Top-Tipps