• Home
  • AI
  • EU-Kom­mis­si­on: Leit­li­ni­en zu ver­bo­te­nen KI-Praktiken

EU-Kom­mis­si­on: Leit­li­ni­en zu ver­bo­te­nen KI-Praktiken

Ähnliche Beiträge

Die EU-Kom­mis­si­on hat am 4. Febru­ar 2025 Leit­li­ni­en zu ver­bo­te­nen KI-Prak­ti­ken nach dem AI Act ver­öf­fent­licht:

Die­se Ver­bo­te sind am 2. Febru­ar 2025 wirk­sam gewor­den (und die Sank­tio­nen wer­den es am 2. August 2025)

Die Leit­li­ni­en erläu­tern den Begriff der ver­bo­te­nen Prak­ti­ken und ent­hal­ten Anwen­dungs­bei­spie­le. Sie beru­hen auf dem Man­dat der Kom­mis­si­on nach Art. 96 AIA, Leit­li­ni­en für die prak­ti­sche Umset­zung zu erlas­sen (sie­he unse­re FAQ AI Act). Ver­bo­ten sind bestimm­te Prak­ti­ken (Use Cases – das Inver­kehr­brin­gen, die Inbe­trieb­nah­me oder der Ein­satz von Syste­men, die Ver­bo­te­nes tut oder tun soll) in den Kategorien:

  • Mani­pu­la­ti­on
  • Aus­nüt­zen von Schwäche
  • Social Scoring
  • Bio­me­tri­sche Kategorisierung
  • Emo­ti­ons­er­ken­nung
  • Pre­dic­ti­ve Policing
  • Scra­ping mit Gesichtserkennung
  • Bio­me­tri­sche Echt­zeit-Fern­iden­ti­fi­zie­rung in der Öffentlichkeit

Die Leit­li­ni­en befas­sen sich in erster Linie mit der Aus­le­gung die­ser Use Cases. Dane­ben gehen sie auch auf eini­ge damit zusam­men­hän­gen­de Begrif­fe ein:

  • das Inver­kehr­brin­gen (Art. 3(9) AI Act), das auch die Zugäng­lich­ma­chung über eine API umfasst;
  • die Inbe­trieb­nah­me (Art. 3(11) AI Act), das die Über­las­sung für den Erst­ein­satz durch einen Drit­ten, aber auch die eige­ne Erst­ver­wen­dung (“in-hou­se deve­lo­p­ment and deployment”) umfasst;
  • die Ver­wen­dung: im AI Act nicht defi­niert; jede Ver­wen­dung nach dem Inver­kehr­brin­gen oder der Inbe­trieb­nah­me. Im Rah­men der ver­bo­te­nen Prak­ti­ken sei auch der Miss­brauch umfasst, und zwar auch der nicht vor­her­seh­ba­re (also nicht wie bei Art. 3(12) und (13) AI Act nur der abseh­ba­re Missbrauch;
  • Pro­vi­der – nichts Neues;
  • Deployer: Das ist die Stel­le, die das AI System (AIS) ein­setzt (nicht die Mit­ar­bei­ten­den, son­dern ihr Arbeit­ge­ber), und zwar “under its aut­ho­ri­ty”. Das meint fol­gen­des (vgl. Rosen­thal: “Es bie­tet sich an, hier auf die Pra­xis zum ver­gleich­ba­ren Kon­zept des «Ver­ant­wort­li­chen» bzw. «Con­trol­lers» im Daten­schutz zurückzugreifen”):

    Aut­ho­ri­ty’ over an AI system should be under­s­tood as assum­ing respon­si­bi­li­ty over the decis­i­on to deploy the system and over the man­ner of its actu­al use.

    Der Pro­vi­der darf kei­ne AIS und GPAI in Ver­kehr brin­gen oder in Betrieb neh­men, bei denen ein ver­bo­te­ner Ein­satz “rea­son­ab­ly likely” ist. Bei einem GPAI, das für einen Chat­bot ver­wen­det wird, soll der Pro­vi­der des­halb Sicher­heits­mass­nah­men ein­bau­en. Der Deployer sei­ner­seits darf kein AIS für ver­bo­te­ne Zwecke ein­set­zen. Pro­vi­der sol­len zudem einen ver­bo­te­nen Ein­satz durch Deployer ver­trag­lich aus­schlie­ssen und – je nach­dem – sol­len sie auch den Ein­satz durch den Deployer über­wa­chen. Wenn ihnen ein ver­bo­te­ner Ein­satz bekannt wird, sol­len sie zudem reagieren.

Wei­ter geht die Kom­mis­si­on knapp auf Anwen­dungs­aus­schlüs­se ein für

  • den Bereich natio­na­le Sicher­heit und Armee
  • Straf­rechts­hil­fe und justi­zi­el­le Zusammenarbeit
  • For­schung und Entwicklung
  • aus­schliess­lich per­sön­li­che Tätig­keit und
  • FOSS.

Wei­te­re The­men sind auch das Ver­hält­nis des AI Act zu ande­ren Erlas­sen und die Durch­set­zung der Verbote.