FAQ zum AI Act

Inhalt 

Grund­la­gen

1. Wel­che Begrif­fe wer­den in die­sen FAQ verwendet?

Die­se FAQ ver­wen­den – neben den gesetz­lich defi­nier­ten Begrif­fen (→ 8) – die fol­gen­den Abkürzungen:

AI: Künst­li­che Intelligenz

AIA : AI Act (KI-Ver­ord­nung). Ver­wei­sun­gen auf Arti­kel ohne ande­re Anga­ben bezie­hen sich jeweils auf den AIA

AIS: AI-System (KI-System)

FOSS : Free and Open-Source Soft­ware (freie und quell­of­fe­ne Lizenz)

GPAI: Gene­ral-Pur­po­se AI (KI mit all­ge­mei­nem Verwendungszweck)

GPAIM: Gene­ral-Pur­po­se AI Model (KI-Modell mit all­ge­mei­nem Verwendungszweck)

GPAIS: Gene­ral-Pur­po­se AI System (KI-System mit all­ge­mei­nem Verwendungszweck)

HRAIS: High-Risk AIS (KI-System mit hohen Risiken)

QMS: Qua­li­täts­ma­nage­ment-System

RMS: Risi­ko­ma­nage­ment-System

2. Was ist der AIA?

Die “Ver­ord­nung (EU) 2024/1689 vom 13. Juni 2024 zur Fest­le­gung har­mo­ni­sier­ter Vor­schrif­ten für künst­li­che Intel­li­genz und zur Ände­rung […]”, die Ver­ord­nung über künst­li­che Intel­li­genz, KI-Ver­ord­nung, AI Act oder AIA) ist der umfas­sen­de regu­la­to­ri­sche Rah­men, mit dem die EU (oder der EWR, der AIA ist von EWR-Rele­vanz) den Ein­satz von KI-Syste­men (AI-Syste­me, AIS) regelt.

Eine eng­lisch­spra­chi­ge Online-Fas­sung des AIA mit einer nicht ver­bind­li­chen Zuord­nung der Erwä­gungs­grün­de fin­det sich bei daten­recht, eben­so wie eine PDF-Version.

Es ist eine Ver­ord­nung, also wie die DSGVO direkt anwend­bar. Die zustän­di­gen Behör­den wer­den aller­dings eini­ge Punk­te kon­kre­ti­sie­ren und ändern kön­nen (→ 51).

In der Sache defi­niert der AIA zuerst sei­nen sach-lich und räum­lich-per­sön­li­chen Anwen­dungs­be-reich und legt Regeln für die Ent­wick­lung und den Ein­satz von AIA fest, vor allem für “Hoch­ri­si­ko-KI-Syste­me” («High-Risk AI Systems», “HRAIS”) und für AIS mit all­ge­mei­ner Zweck­set-zung (also use case-agno­sti­sche, breit ein­setz­ba­re AIS – sog. “Gene­ral-Pur­po­se AI”, “GPAI”; dazu → 39). Bestimm­te beson­ders uner­wünsch­te Prak­ti­ken (Use Cases) wer­den zudem ver­bo­ten (→ 27).

3. Wo fin­de ich wei­te­re Infor­ma­tio­nen zum AI Act?

Die wis­sen­schaft­li­che Auf­ar­bei­tung des AI Act ist im Gan­ge, steht aber noch am Anfang. Aus der all­ge­mei­nen schwei­ze­ri­schen Lite­ra­tur sei (unvoll­stän­dig) auf fol­gen­de Bei­trä­ge verwiesen:

  • Rosen­thal, Der EU AI Act – Ver­ord­nung über künst­li­che Intel­li­genz, Jus­let­ter vom 5. August 2024 (https://dtn.re/tLrdFm)

  • Ario­li, Risi­ko­ma­nage­ment nach der EU-Ver­ord­nung über Künst­li­che Intel­li­genz, Jus­let­ter IT vom 4. Juli 2024 (https://dtn.re/7iE4zb)

  • Houdrouge/Kruglak, Are Swiss data pro­tec­tion rules rea­dy for AI?, Jus­let­ter vom 27. Novem­ber 2023 (https://dtn.re/KvghSt)

  • Mül­ler, Der Arti­fi­ci­al Intel­li­gence Act der EU: Ein risi­ko­ba­sier­ter Ansatz zur Regu­lie­rung von Künst­li­cher Intel­li­genz, EuZ 1/2022 (https://dtn.re/PafzEb)

Spe­zi­al­li­te­ra­tur fin­det sich ins­be­son­de­re zu urhe­ber­recht­li­chen Fra­gen im Zusam­men­hang mit gene­ra­ti­ver AI (bspw. Thouvenin/Picht, AI & IP: Emp­feh­lun­gen für Recht­set­zung, Rechts­an­wen­dung und For­schung zu den Her­aus­for­de­run­gen an den Schnitt­stel­len von [AI und IP], sic! 2023, 507 ff.), zu Haf­tungs­fra­gen (bspw. Qua­dro­ni, Künst­li­che Intel­li­genz – prak­ti­sche Haf­tungs­fra­gen, HAVE 2021, 345 ff.), zu arbeits­recht­li­chen The­men (bspw. Wild­ha­ber, Künst­li­che Intel­li­genz und Mit­wir­kung am Arbeits­platz, ARV 2024 1 ff.).

Wei­te­re Infor­ma­tio­nen fin­den sich lau­fend auf www.datenrecht.ch und auf dem Blog von Vischer (https://dtn.re/BAG7Il).

Aus der aus­län­di­schen juri­sti­schen Lite­ra­tur sei ins­be­son­de­re auf fol­gen­de Wer­ke verwiesen:

  • Voigt/Hullen, Hand­buch KI-Ver­ord­nung FAQ zum EU AI Act, 2024 (Kind­le E‑Book: https://dtn.re/bIwQg3)

  • Wendt/Wendt, Das neue Recht der Künst­li­chen Intel­li­genz, 2024 (Kind­le E‑Book: https://dtn.re/kFmWjk)

Aus der nicht oder nicht vor­wie­gend juri­sti­schen Lite­ra­tur sei ver­wie­sen auf:

  • Gas­ser/­May­er-Schön­ber­ger, Guar­drails: Gui­ding Human Decis­i­ons in the Age of AI, 2024, eine Dis­kus­si­on von Rah­men­be­din­gun­gen (Geset­ze, Nor­men und Tech­no­lo­gien) für Ent­schei­dun­gen, der Her­aus­for­de­run­gen digi­ta­ler Ent­schei­dun­gen und mög­li­cher Prin­zi­pi­en für Leit­plan­ken (Kind­le E‑Book: https://dtn.re/nYx3pm)

  • Strüm­ke, Künst­li­che Intel­li­genz (Kind­le E‑Book: https://dtn.re/eOI7vU); eine recht umfas­sen­de und les­ba­re Ein­füh­rung zur Geschich­te des Gebiets, tech­ni­schen Fra­gen, Risi­ken und Schwach­punk­ten und Spe­ku­la­tio­nen zur wei­te­ren Entwicklung.

4. Wie ver­lief die Ver­hand­lung des AI Act?

Die Euro­päi­sche Kom­mis­si­on hat­te ihren Vor­schlag am 21. April 2021 vor­ge­legt (Vor­schlag der Euro­päi­schen Kom­mis­si­on vom 21. April 2021, https://dtn.re/JSQJtF)), wobei vor allem stren­ge­re Vor­schrif­ten zur Trans­pa­renz und Nach­voll­zieh­bar­keit ein Anlie­gen war. Bereits inten­siv dis­ku­tiert war damals die Regu­lie­rung von AI-Model­len, die sich für einen brei­ten Ein­satz eig­nen („Gene­ral-Pur­po­se AI Model“, GPAIM; damals öfter als „Foun­da­ti­on Model“ bezeichnet.

In den anschlie­ssen­den Tri­log­ver­hand­lun­gen, dem infor­mel­len Ver­hand­lungs­ver­fah­ren, bei dem Ver­tre­ter des Par­la­ments, des Rates und der Kom­mis­si­on einen Kom­pro­miss suchen, blieb das The­ma GPAI bis zum Schluss ein Streit­punkt, bis am 9. Dezem­ber 2023 ein Kom­pro­miss gefun­den wer­den konn­te. Die­ser Ver­lauf erklärt die eige­ne und auf­fal­lend knap­pe Rege­lung von GPAI im V. Kapi­tel (→ 39 ff.).

Am 21. Mai 2024 hiess der Rat das Ver­hand­lungs­er­geb­nis gut. Der AI Act wur­de am 12. Juli 2024 im Amts­blatt der Euro­päi­schen Uni­on ver­öf­fent­licht (ABl. L, 2024/1689, https://dtn.re/0OYJXY).

5. Wann wird der AIA wirksam?

Der AIA ist am 1. August 2024, 20 Tage nach sei­ner Publi­ka­ti­on im Amts­blatt, in Kraft getre­ten. Sei­ne Bestim­mun­gen wer­den schritt­wei­se wirk­sam (Art. 113):

  • 2. Febru­ar 2025: Kapi­tel I und II (all­ge­mei­ne Bestim­mun­gen und ver­bo­te­ne Prak­ti­ken) wer­den wirksam.

  • 2. August 2025: Bestimm­te Anfor­de­run­gen ein­schliess­lich Mel­de­pflich­ten und Sank­tio­nen, wer­den wirk­sam. Das betrifft die Bestim­mun­gen zu den noti­fi­zie­ren­de Behör­den und noti­fi­zier­ten Stel­len (Kapi­tel III Abschnitt 4), die Anfor­de­run­gen an GPAIM (Kapi­tel V), die Gover­nan­ce in der EU (Kapi­tel VII) und die Sank­tio­nen (Kapi­tel XII) sowie die Bestim­mun­gen zur Ver­trau­lich­keits­pflicht der Behör­den (Art. 78);

  • 2. August 2026: Die mei­sten Bestim­mun­gen wer­den wirk­sam, ins­be­son­de­re jene für HRAIS, mit der fol­gen­den Ausnahme;

  • 2. August 2027: Die Bestim­mun­gen für HRAIS wer­den auch im Gel­tungs­be­reich von Art. 6 Abs. 1 wirk­sam, d.h. für AIS, die als Sicher­heits­bau­teil eines Pro­dukts nach Anhang I ver­baut oder als sol­ches ver­wen­det werden.

6. Gibt es im AIA über­gangs­recht­li­che Bestimmungen?

Ja, weni­ge, nach Art. 111:

  • Grund­sätz­lich gilt der AIA für Betrei­ber von HRAIS erst ab dem 2. August 2030, wenn die HRAIS vor dem 2. August 2026 in Ver­kehr gebracht oder in Betrieb genom­men wur­den. Vor­be­hal­ten sind aber eine spä­te­re wesent­li­che Veränderung.

  • Anbie­ter von GPAIM fal­len erst ab dem 2. August 2027 unter den AIA, wenn das GPAIM vor dem 2. August 2025 in Ver­kehr gebracht wurde.

  • Art. 111 sieht vor, dass AIS, die als Kom­po­nen­ten in IT-Gros­sy­ste­me im öffent­li­chen Bereich nach Anhang X ver­baut wer­den, erst bis Ende 2030 kon­form sein müs­sen. Dabei geht es um das Schen­ge­ner oder das Visa-Infor­ma­ti­ons­sy­stem und ähn­li­che Systeme.

7. Was ist “künst­li­che Intel­li­genz” (KI, AI)?

Der Begriff „künst­li­che Intel­li­genz“ („KI“; „Arti­fi­ci­al Intel­li­gence“, „AI“) meint ein Ver­hal­ten eines Com­pu­ters, das zwar nicht intel­li­gent ist und nicht sein kann, von aussen aber wie Intel­li­genz wirkt. In die­se Rich­tung geht auch eine Defi­ni­ti­on des Euro­päi­schen Par­la­ments: „Künst­li­che Intel­li­genz ist die Fähig­keit einer Maschi­ne, mensch­li­che Fähig­kei­ten wie logi­sches ad Krea­ti­vi­tät zu imi­tie­ren“. Bspw. fragt der bekann­te Turing-Test dadurch, dass ein Mensch nicht mehr erken­nen kann, ob sein Gesprächs­part­ner Mensch oder Maschi­ne ist.

Die Unter­schei­dung zwi­schen künst­li­cher Intel­li­genz und deter­mi­nier­ten Syste­men ist des­halb nicht qua­li­ta­tiv, son­dern letzt­lich quan­ti­ta­tiv. Künst­li­che Intel­li­genz ist, was danach aus­sieht, weil eine Maschi­ne zu einem Ergeb­nis gelangt, das nicht von einem Men­schen deter­mi­niert wur­de – oder so wirkt: Deter­mi­niert sind auch kom­ple­xe Syste­me – sie wir­ken nur intel­li­gent, weil ihr Ergeb­nis über­ra­schend ist, was dar­an liegt, dass eine maschi­nel­le Ent­schei­dung auf­grund der beson­de­ren Kom­ple­xi­tät und des feh­len­den Zugangs zu den Trai­nings­da­ten fak­tisch nicht in allem nachvoll­zieh­bar ist. Dies macht eine Aus­le­gung auch des Begriffs des KI-Modells nach dem AIA schwie­rig (→ 13).

8. Wel­che Begrif­fe defi­niert der AIA?

Der AIA defi­niert in Art. 2 gan­ze 68 Begrif­fe. Sie wer­den im AIA anschlie­ssend ver­wen­det, ohne dass jeweils im ent­spre­chen­den Arti­kel aus­drück­lich auf die Defi­ni­ti­on zurück­ver­wie­sen wird – man muss bei der Lek­tü­re des­halb öfters zu Art. 2 zurück­keh­ren, zumal auch Begrif­fe legal­de­fi­niert wer­den, bei denen man das nicht unbe­dingt erwar­ten wür­de (bspw. „Risi­ko“ oder „weit­ver­brei­te­ter Verstoss“).

Erschwe­rend kommt hin­zu, dass Begrif­fe in der Pra­xis teil­wei­se eher auf Deutsch („Inver­kehr­brin­gen“) und teil­wei­se eher auf Eng­lisch ver­wen­det („Pro­vi­der“, „Deployer“). Eine Gegen­über­stel­lung der deutsch- und englisch­sprachigen Ent­spre­chun­gen fin­det sich des­halb im Anhang die­ser FAQ.

9. Wel­che Rol­le spielt die Sta­ti­stik im Bereich der KI?

Bezie­hun­gen zwi­schen Daten wer­den durch sta­ti­sti­sche Model­le abge­bil­det. Das heisst nicht, dass die Sta­ti­stik für sich genom­men eine Form von KI dar­stellt. Sta­ti­sti­sche Metho­den sind mathe­ma­ti­sche Model­le, die sowohl bei KI wie auch bei deter­mi­ni­sti­schen Ansät­zen ein­ge­setzt wer­den. Machi­ne Lear­ning (→ 10) und ande­re Ansät­ze arbei­ten in der Regel aber mit sta­ti­sti­schen Methoden.

Ein wich­ti­ge sol­che Metho­de ist bspw. die Regres­si­ons­ana­ly­se. Sie bestimmt die­je­ni­gen Fak­to­ren (Varia­blen), die für ein Ergeb­nis mass­ge­bend sind (bzw. die Stär­ke des Ein­flus­ses einer Varia­bel auf ein Ergeb­nis), was eine ent­spre­chen­de Pro­gno­se erlaubt. Wenn auf einem Dia­gramm die x‑Achse der Anzahl Besu­cher bei einer Aus­stel­lung und die y‑Achse der Regen­fall ist, bezeich­nen die Punk­te auf dem Dia­gramm das Besu­cher­auf­kom­men abhän­gig vom Regen. Zieht man eine Linie, die mathe­ma­tisch betrach­tet am besten zu allen Punk­ten passt („Regres­si­ons­li­nie“), erklärt sie das Ver­hält­nis der Ach­sen bzw. der Varia­blen, hier also, wie sich der Regen auf das Besu­cher­auf­kom­men beein­flusst. Sie kann auch ange­ben, wie hoch die Abwei­chung der Daten­punk­te vom Soll ist, d.h. den Feh­ler­be­reich der Linie, die Schwan­kungs­brei­te, den Ver­läss­lich­keits­grad der Regres­si­ons­li­nie (i.d.R. mit „R2“ oder „r2“ dar­ge­stellt; ein R2-Wert von 0.73 meint, dass 73% der Daten durch die Regres­si­ons­li­nie erklärt werden).

Eine linea­re Regres­si­on basiert auf der Hypo­the­se, dass der Ziel­wert (das Besu­cher­auf­kom­men) line­ar von einer Varia­ble (dem Regen) abhängt, oder dass der Markt­wert einer Immo­bi­lie jeweils gleich auf eine Ver­än­de­rung von Grund­stück­flä­che und Stand­ort reagiert. Hier wird eine gera­de Linie durch die Daten­punk­te gezo­gen, und auf die­ser Basis kön­nen wei­te­re Wer­te (das Besu­cher­auf­kom­men, der Immo­bi­li­en­wert) bestimmt wer­den. Dadurch sind ein­fa­che pro­gno­sti­sche Model­le mög­lich. Bei der nicht-linea­ren Regres­si­on wird bspw. eine gekrümm­te Linie gebil­det, weil eine nicht-linea­re Bezie­hung dar­ge­stellt wer­den soll (bspw. wenn das Besu­cher­auf­kom­men erst bei Stark­re­gen und nicht schon bei Nie­sel sinkt, oder wenn Ver­kaufs­zah­len bei stei­gen­den Prei­sen nach einem bestimm­ten Preis – der Preis­schwel­le – stär­ker sin­ken). Auch hier wird mit einer deter­mi­nier­ten Logik gearbeitet.

Ande­re sta­ti­sti­sche Metho­den sind bspw. Clu­ster-Ana­ly­sen. Es geht dabei nicht um eine bestimm­te linea­re oder nicht-linea­re Bezie­hung zwi­schen Varia­blen, son­dern dar­um, Bezie­hun­gen zwi­schen Daten über Distanz- oder Ähn­lich­keits­ma­sse zu quan­ti­fi­zie­ren und Objek­te mit nied­ri­gem Distanz­mass in eine gemein­sa­me Grup­pe ein­zu­ord­nen. Bei zwei- oder mehr­di­men­sio­na­len Daten („Daten­wol­ken“) haben Clu­ster einen gemein­sa­men Schwer­punkt, und Clu­ster-Ana­ly­sen die­nen dazu, die­se Schwer­punk­te zu fin­den und Daten dem­je­ni­gen Clu­ster zuzu­ord­nen, des­sen Mit­tel­punkt am näch­sten liegt. Das kann bspw. dazu die­nen, mög­li­che Schuld­ner bei der Kre­dit­ver­ga­be einem Clu­ster zuzu­ord­nen und die Kre­dit­kon­di­tio­nen auf die­ser Basis zu vergeben.

Dabei las­sen sich para­me­tri­sche von nicht-para­me­tri­schen Model­len unter­schei­den. Bei der nicht-para­me­tri­schen Regres­si­on wird der Zusam­men­hang zwi­schen den Varia­blen nicht vor­ge­ge­ben, son­dern nach unter­schied­li­chen Kri­te­ri­en aus vor­han­de­nen Daten erst abge­lei­tet, bspw. zur Model­lie­rung von Wirt­schafts­da­ten, zur Unter­su­chung von Schad­stoff­kon­zen­tra­tio­nen oder zur Pro­gno­se von Akti­en­kur­sen. Die para­me­tri­sche Sta­ti­stik setzt vor­aus dage­gen vor­aus, dass die ver­wen­de­ten Daten einer bestimm­ten sta­ti­sti­schen Ver­tei­lung ent­spre­chen, die durch eine feste Anzahl von Para­me­tern cha­rak­te­ri­siert wird.

10. Was ist “Machi­ne Lear­ning” (ML)?

Aus einer tech­ni­schen War­te ist KI das Teil­ge­biet der Infor­ma­tik, das sich mit der Ent­wick­lung ent­spre­chen­der Syste­me befasst. Die wich­tig­ste Tech­no­lo­gie in die­sem Gebiet ist „Maschi­nel­les Ler­nen„, „Machi­ne Lear­ning“ oder „ML„. Es ist kein Syn­onym für KI, weil ML im Wesent­li­chen der Erken­nung von Mustern und der Ablei­tung von Pro­gno­sen auf deren Basis dient, wäh­rend KI ver­sucht, eine Auf­ga­be zu lösen.

ML soll es einem Com­pu­ter ermög­li­chen, auf der Basis von Daten zu „ler­nen“, d.h. aus Daten Erkennt­nis­se abzu­lei­ten. „Erkennt­nis“ ist aller­dings der fal­sche Begriff. Die alte Unter­schei­dung zwi­schen Deduk­ti­on und Induk­ti­on ist hier wich­tig: Bei deduk­ti­ven Schlüs­sen wird eine als wahr gege­be­ne Regel ange­wen­det, und die aus der Regel abge­lei­te­ten Ergeb­nis­se kön­nen als so wahr wie die Regel selbst gel­ten (Regel: Alle Fische kön­nen schwim­men; Input: Wan­da ist ein Fisch; Ergeb­nis: Wan­da kann schwim­men). Es gibt dane­ben auch die Abduk­ti­on. Denn Kopf­schmer­zen kön­nen vie­le Ursa­chen haben; der Rück­schluss wäre des­halb unzu­läs­sig. Abduk­ti­on arbei­tet also meh­re­re mög­li­che Kau­sal­ket­ten ab, um die wahr­schein­lich­ste Ursa­che zu fin­den. Sol­che Syste­me sind häu­fig; ein bekann­tes Bei­spiel ist das Dia­gno­se­sy­stem „CADUCEUS“. Bei induk­ti­ven Schlüs­sen wird dem­ge­gen­über aus Infor­ma­tio­nen auf eine ver­mu­te­te Regel geschlos­sen. Machi­ne Lear­ning geht häu­fig induk­tiv vor: Aus Daten wer­den sta­ti­stisch begrün­de­te Aus­sa­gen erzeugt, die mehr oder weni­ger über­zeu­gen­de Hypo­the­sen sind, aber kei­ne Wahr­heit oder Objek­ti­vi­tät für sich in Anspruch neh­men kön­nen. Die Gren­zen sind aller­dings flie­ssend, weil die­se Ansät­ze auch kom­bi­niert wer­den können.

Durch ML kann eine Maschi­ne also Daten beob­ach­ten und gestützt dar­auf Pro­gno­sen oder Hypo­the­sen erzeu­gen, die mehr oder weni­ger wahr­schein­lich sind, d.h. die mehr oder weni­ger gut zu den Ein­gangs­da­ten pas­sen. Die Erklä­rung der so gebil­de­ten Hypo­the­se – bspw. der Schluss einer Kor­re­la­ti­on auf Kau­sa­li­tät – steht ausser­halb des ML; sie ist eine Form der Heu­ri­stik, nicht des ML. Des­halb ist ML häu­fig auf gro­sse Daten­men­gen ange­wie­sen: Die ver­streck­ten Muster, die Bezie­hun­gen zwi­schen Daten, wer­den erst in der Mas­se beobachtbar.

Muster erken­nen heisst ver­all­ge­mei­nern. Je bes­ser ein Modell – Model­le sind mathe­ma­ti­sche Funk­tio­nen – ver­all­ge­mei­nern kann, desto lei­stungs­fä­hi­ger ist es. Dazu dient, wie erwähnt, ein Trai­ning. Ver­wen­det das Trai­ning zu weni­ge Daten, kann es kei­ne zuver­läs­si­gen Schlüs­se zie­hen – man spricht von Unter­an­pas­sung oder „under­fit­ting„. Umge­kehrt kann ein Modell die Input­da­ten zu gut ler­nen, im Extrem­fall lernt es sie aus­wen­dig. Dann passt es zu den Input­da­ten, kann aber schlecht ver­all­ge­mei­nern, wie ein Mensch, der zwar ein gutes Gedächt­nis hat, aber nicht denkt. Die­se Über­an­pas­sung nennt man „over­fit­ting„. Für das Trai­ning einer ML wer­den des­halb neben den Trai­nings- auch Vali­die­rungs- und Test­da­ten­sät­ze ver­wen­det, um sowohl ein Over- als auch ein Under­fit­ting zu redu­zie­ren und die Aus­sa­ge­kraft – die Ver­läss­lich­keit der ver­all­ge­mei­nern­den Hypo­the­se – zu ver­bes­sern oder zumin­dest einzuschätzen.

ML ver­wen­det sta­ti­sti­sche Model­le (→ 9), bspw. die linea­re Regres­si­on vor allem beim über­wach­ten Ler­nen oder Clu­ster-Ana­ly­sen beim unüber­wach­ten Ler­nen. ML kann dabei sowohl para­me­tri­sche als auch nicht-para­me­tri­sche Metho­den ver­wen­den. Para­me­tri­sche Model­le bei ML ver­wen­den zwar eine fest­ge­leg­te Modell­struk­tur, aber die Wer­te der Para­me­ter wer­den durch ein Trai­ning opti­miert. Ein Bei­spiel ist linea­re Regres­si­on, wenn ein Modell lernt, Immo­bi­li­en­prei­se zu pro­gno­sti­zie­ren, weil es die sta­ti­sti­schen Zusam­men­hän­ge zwi­schen bestimm­ten Para­me­tern und den Prei­sen im Lauf des Trai­nings ver­läss­li­cher zu erken­nen lernt. Die­se Model­le erfor­dern also, dass bestimm­te Annah­men über die Daten gel­ten, schlie­ssen ein „Ler­nen“ durch Trai­ning aber nicht aus. Nicht­pa­ra­me­tri­sche Model­le im ML haben dage­gen kei­ne feste Struk­tur oder kei­ne feste Anzahl von Para­me­tern. Bei­spie­le sind Ent­schei­dungs­bäu­me, die im Lauf eines Trai­nings ver­bes­sert wer­den. Sie sind eben­falls sta­ti­sti­sche Model­le, die an jedem Kno­ten den best­mög­li­chen „Split“ auf Basis sta­ti­sti­scher Kri­te­ri­en bestimmen.

Ein bes­se­res Kri­te­ri­um zur Unter­schei­dung zwi­schen ML und deter­mi­ni­sti­schen Ansät­zen ist des­halb das grund­sätz­li­che Vor­ge­hen: Deduk­ti­ve Metho­den ver­wen­den bestimm­te Grund­an­nah­men und zie­hen dar­aus Schlüs­se, wäh­rend induk­ti­ve Metho­den mög­li­che Regeln durch einen Trai­nings­vor­gang mit zuneh­men­der Ver­läss­lich­keit gene­rie­ren. Die Regel­ge­nerie­rung ist also ein wesent­li­cher Fak­tor bei der Unter­schei­dung zwi­schen deter­mi­ni­sti­schen und nicht-deter­mi­ni­sti­schen Ansät­zen. Ein Bei­spiel sind Ent­schei­dungs­bäu­me, die nicht vor­de­fi­niert, son­dern durch ein Trai­ning gene­riert wer­den – das Modell ermit­telt im Trai­ning die­je­ni­gen Regeln, die die Trai­nings­da­ten am besten tren­nen oder erklä­ren, d.h. die die gröss­te Aus­sa­ge­kraft für eine Ziel­va­ria­ble (z.B. Kre­dit­wür­dig­keit) haben. Die­se Regeln sind inter­pre­tier- und wei­ter­ver­wend­bar. Ein wei­te­res Bei­spiel sind Asso­zia­ti­ons­ana­ly­en, die Bezie­hun­gen in gro­ssen Daten­men­gen dar­stel­len und Regeln gene­rie­ren, die häu­fi­ge Zusam­men­hän­ge beschrei­ben. Bei der Waren­korb­ana­ly­se kann bspw. eine Regel wie „Wer am Frei­tag­abend Win­deln kauft, kauft auch Bier“ gene­riert wer­den. Auch die­se Regeln sind expli­zit und kön­nen inter­pre­tiert werden.

Exper­ten­sy­ste­me sind Syste­me, die eine Wis­sens­ba­sis ent­hal­ten, bspw. anwen­dungs­spe­zi­fi­sche Wenn-/Dann-Regeln. Auf die­se Wis­sens­ba­sis wen­det das System Regeln an, um wei­te­re Fak­ten oder Schluss­fol­ge­run­gen abzu­lei­ten (Infe­renz). Das System kann dabei Wahr­schein­lich­kei­ten ange­ben und u.U. auch mit unge­nau­en Anga­ben arbei­ten („fuz­zy logic“). Ein Bei­spiel eines Exper­ten­sy­stems ist das bekann­te „Mycin“, ein in den 70er-Jah­ren an der Uni­ver­si­tät Stan­ford ent­wickel­tes System, das zur Unter­stüt­zung des Anti­bio­ti­ka-Ein­sat­zes ent­wickelt wur­de. Auf der Grund­la­ge von Para­me­tern wie Erre­ger­typ, Krank­heits­ver­lauf und Labor­da­ten konn­te das System durch bestimm­te Regeln Ent­schei­dun­gen auf Basis von Wahr­schein­lich­kei­ten und Unsi­cher­hei­ten tref­fen oder vorbereiten.

Wäh­rend Ent­schei­dungs­bäu­me expli­zi­te Regeln gene­rie­ren, sind neu­ro­na­le Netz­wer­ke ein Bei­spiel für eine impli­zi­te Regel­ge­nerie­rung. Neu­ro­na­le Netz­wer­ke ler­nen kom­ple­xe Muster aus den Daten, aber die „Regeln“, die sie anwen­den, um Vor­her­sa­gen zu tref­fen, sind in den Gewich­tun­gen und Akti­vie­run­gen der Neu­ro­nen ver­bor­gen. Obwohl es in neu­ro­na­len Net­zen kei­ne expli­zi­ten „Wenn-Dann“-Regeln gibt, wer­den die Ent­schei­dun­gen den­noch durch Regeln bestimmt, die wäh­rend des Trai­nings­pro­zes­ses gelernt wurden.

Die Schwie­rig­keit bei neu­ro­na­len Net­zen besteht dar­in, dass die Regeln oft schwer ver­ständ­lich sind – sie sind „black box“-Modelle. In jüng­ster Zeit gab es jedoch Fort­schrit­te in der erklär­ba­ren KI („Explainable AI“), die dar­auf abzielt, die­se impli­zi­ten Regeln offen­zu­le­gen und ver­ständ­li­cher zu machen.

Wie ML vor­geht, ist damit noch nicht gesagt. Nach der Metho­dik des Ler­nens kön­nen vier For­men unter­schie­den werden:

  • Über­wach­tes Ler­nen (super­vi­sed lear­ning), bei dem gekenn­zeich­ne­te Daten­sät­ze (Labe­l­ing) ver­wen­det werden.

  • Unüber­wach­tes Ler­nen (unsu­per­vi­sed lear­ning), bei dem Muster ohne Labe­l­ing erkannt wer­den, bei­spiels­wei­se beim Data Mining.

  • Semi-über­wach­tes Ler­nen (semi-super­vi­sed lear­ning) als Zwi­schen­form, bei der sowohl gela­bel­te als auch unge­la­bel­te Daten ver­wen­det werden.

  • Bestär­ken­des Ler­nen (re-inforce­ment lear­ning), bei dem das Ler­nen durch Inter­ak­ti­on mit der Umge­bung ver­stärkt wird.

Hilf­reich ist wei­ter die Unter­schei­dung zwi­schen sym­bo­li­schem und sub­sym­bo­li­schem Ler­nen. Sym­bo­li­sches Ler­nen heisst so, weil es Sym­bo­le und logi­sche Regeln zur Reprä­sen­ta­ti­on von Wis­sen ver­wen­det. Ein Bei­spiel sind Ent­schei­dungs­bäu­me („decis­i­on trees“): Hier wird eine Struk­tur von Bedin­gun­gen oder Regeln ana­log zu einem Fluss­dia­gramm ver­wen­det oder gene­riert, um aus Trai­nings­da­ten regel­ba­siert Schlüs­se zu zie­hen. Die Struk­tur ist baum­ar­tig, weil Kno­ten Ent­schei­dun­gen dar­stel­len – jeder Kno­ten ent­spricht einer Wen­n/­Dann-Regel, basie­rend auf einer Eigen­schaft der Ein­ga­be­da­ten. Die Zwei­ge stel­len die Ergeb­nis­se der Anwen­dung die­ser Regeln dar, und die Blät­ter ste­hen als End­punk­te für das Ergeb­nis, die Klas­si­fi­zie­rung oder Vor­her­sa­ge. Ent­schei­dungs­bäu­me arbei­ten also durch defi­nier­te Ent­schei­dungs­pro­zes­se. Meh­re­re Ent­schei­dungs­bäu­me kön­nen dabei auf unter­schied­li­chen Daten trai­niert wer­den und dann zusam­men­ge­nom­men bspw. durch Mehr­heits­ent­scheid bes­se­re Ergeb­nis­se lie­fern als ein ein­zel­ner Baum, der zu Over­fit­ting neigt.

Sym­bo­li­sches Ler­nen kann bei gro­ssen Daten­men­gen aller­dings an Gren­zen sto­ssen. Sub­sym­bo­li­sches Ler­nen ver­wen­det dage­gen Roh­da­ten, die nicht in system­kom­pa­ti­ble Sym­bo­le umge­wan­delt wer­den müs­sen. Die­ses Vor­ge­hen eig­net sich bes­ser für die Erken­nung kom­ple­xer Muster in Input­da­ten, ist u.U. aber weni­ger trans­pa­rent, weil die kom­ple­xen Pro­zes­se schwe­rer nach­zu­voll­zie­hen sind. Wann wel­che Form von ML zur Anwen­dung kommt, ist nicht vom Ein­satz­ge­biet abhän­gig, son­dern eher davon, ob Regeln bereits bekannt sind oder erst gebil­det wer­den sol­len. Im Bei­spiel der Boni­täts­be­wer­tung kann ein Unter­neh­men nicht nur mit einem Ent­schei­dungs­baum arbei­ten; es kann auch ver­su­chen, Kor­re­la­tio­nen zwi­schen Ver­lu­sten und ande­ren Fak­to­ren wie bspw. Alter, Wohn­ort, Geschlecht, Ein­kaufs­ver­hal­ten, Haus­halts­grö­sse etc. durch eine Form sub­sym­bo­li­schen ML erst fest­zu­stel­len. Im Anschluss kön­nen die beob­ach­te­ten Zusam­men­hän­ge als Regeln eines Ent­schei­dungs­baums ver­wen­det werden.

Zum sub­sym­bo­li­schen Ler­nen gehö­ren bspw. künst­li­che neu­ro­na­le Net­ze (und Deep Lear­ning als Schlag­wort für beson­ders kom­ple­xe Net­ze → 11).

11. Was sind neu­ro­na­le Netze?

Neu­ro­na­le Net­ze sind Algo­rith­men, die die Infor­ma­ti­ons­ver­ar­bei­tung im Gehirn nach­bil­den, um Muster in Input­da­ten zu erken­nen. Dabei wird eine gro­sse Zahl ver­bun­de­ner „Kno­ten“ ver­wen­det, die zusam­men „Schich­ten“ bil­den und die Ein­ga­be­da­ten schritt­wei­se u.U. über meh­re­re oder sehr vie­le Schich­ten hin­weg ver­ar­bei­ten („gewich­ten“). Im Unter­schied zu Ent­schei­dungs­bäu­men (→ 10) sind neu­ro­na­le Net­ze kom­ple­xer ver­bun­den, weil jeder Kno­ten mit meh­re­ren ande­ren Kno­ten der näch­sten Schicht ver­bun­den sein kann.

Damit das Netz zu einer sinn­vol­len Ver­ar­bei­tung in der Lage ist, müs­sen die­se Gewich­tun­gen rich­tig ein­ge­stellt wer­den. Ent­spre­chend erfolgt die Ent­schei­dungs­fin­dung in neu­ro­na­len Net­zen als ver­teil­te und kon­ti­nu­ier­li­che Ver­ar­bei­tung von einem auf­neh­men­den „Input Lay­er“ über dazwi­schen­ge­schal­te­te „Hid­den Lay­er“ zur Aus­ga­be­ebe­ne, dem „Out­put Lay­er„; wobei das Netz durch Anpas­sung der Gewich­te zwi­schen den Kno­ten lernt. Ent­schei­dungs­bäu­me arbei­ten dage­gen mit expli­zi­ten Bedin­gun­gen („wenn A > X gehe nach links, sonst rechts“). Jeder Kno­ten trifft eine Ent­schei­dung, die zu einem bestimm­ten Zweig führt, wes­halb die Ent­schei­dungs­we­ge grund­sätz­lich voll­stän­dig nach­voll­zieh­bar sind. Deduk­ti­ve Syste­me sind des­halb eher eine „White Box“, induk­ti­ve Syste­me eine „Black Box“.

Die Fak­to­ren der ange­spro­che­nen Gewich­tung der Kno­ten im Netz wird durch Trai­ning ver­bes­sert, indem der Out­put des Net­zes mit einem erwar­te­ten Ergeb­nis ver­gli­chen wird. Bei Abwei­chun­gen wer­den die Gewich­te durch wei­te­re Trai­nings­da­ten ange­passt – und so weiter.

Dabei kann die­ses Trai­ning wie­der­um unter­schied­lich erfolgen:

  • Beim über­wach­ten Ler­nen wer­den dem Netz sowohl Input­da­ten als auch die gewünsch­ten Aus­ga­ben zur Ver­fü­gung gestellt. Das Netz lernt so, die Bezie­hung zwi­schen Input­da­ten und Out­put abzu­bil­den. Ein Bei­spiel ist ein Input von Tier­fo­tos, wenn dem Netz gleich­zei­tig ein Daten­satz mit ent­spre­chend gekenn­zeich­ne­ten Bil­dern von Hun­den und Kat­zen („Labels“) bereit­ge­stellt wird. Das Netz ver­gleicht die Pro­gno­sen aus den Input­da­ten mit den Labels und passt die Gewich­tun­gen solan­ge an, bis Pro­gno­se­feh­ler mini­miert wer­den. Das ist ein übli­ches Vor­ge­hen für Daten­klas­si­fi­ka­tio­nen, bspw. bei der Bild­klas­si­fi­ka­ti­on, bei Spam­fil­tern (Ler­nen durch Mar­kie­rung von E‑Mails als Spam) oder der Pro­gno­se von Immo­bi­li­en­prei­sen (= die gela­bel­ten Daten) auf der Grund­la­ge von Anga­ben über Grö­sse, Lage und Aus­stat­tung der Immobilie.

  • Beim unüber­wach­ten Ler­nen erhält das Netz Input­da­ten, aber kei­ne Labels. Muster und Struk­tu­ren in den Daten muss es also selb­stän­dig erken­nen, indem es ähn­li­che Daten­punk­te grup­piert oder Daten auf bestimm­te rele­van­te Merk­ma­le redu­ziert. Die­ses Vor­ge­hen eig­net sich für Daten­ex­plo­ra­tio­nen, bspw. bei der Kun­den­seg­men­tie­rung (Grup­pie­rung anhand des Kauf­ver­hal­tens ohne vor­ge­ge­be­ne Kate­go­rien), der Erken­nung unge­wöhn­li­cher Trans­ak­tio­nen ohne Defi­ni­ti­on von „unge­wöhn­lich“ oder der Erken­nung von The­men­clu­stern in einer gro­ssen Textsammlung.

  • Semi-über­wach­tes Ler­nen kom­bi­niert über­wach­tes und unüber­wach­tes Ler­nen – für das Trai­ning wer­den sowohl (weni­ge) gela­bel­te als auch (sehr vie­le) unge­la­bel­te Daten ver­wen­det. Durch die Labels wer­den Muster eher erkannt. Wenn das Labeln von Daten zu auf­wen­dig ist, kann die­ses Vor­ge­hen sinn­voll sein, etwa wenn eine klei­ne­re Zahl gela­bel­ter Rönt­gen­bil­der mit einer grö­sse­ren Men­ge nicht klas­si­fi­zier­ten Bil­der zur Ver­bes­se­rung der Dia­gno­se­ge­nau­ig­keit ver­wen­det wird, wenn klas­si­fi­zier­te Pro­dukt­be­wer­tun­gen mit unklas­si­fi­zier­ten Bewer­tun­gen ver­wen­det wird, um die Stim­mung in neu­en Bewer­tun­gen zu bestim­men („Sen­ti­ment­ana­ly­se“), oder bei der Sprach­er­ken­nung, wenn tran­skri­bier­ter Audio­auf­nah­men mit Sprach­da­ten zur Ver­bes­se­rung der Erken­nungs­ge­nau­ig­keit kom­bi­niert werden.

  • Beim ver­stär­ken­den Ler­nen („Rein­force­ment Lear­ning“) inter­agiert das Netz mit einer Umge­bung und „lernt“ – passt Gewich­tun­gen an – durch Beloh­nung und Bestra­fung. Es ist ein inter­ak­ti­ves Tri­al- and Error-Vor­ge­hen, das bspw. für das Trai­ning eines Agen­ten bei Spie­len wie Schach oder Go ver­wen­det wird (Ler­nen durch wie­der­hol­tes Spie­len, bei der Robo­ter­na­vi­ga­ti­on (Ler­nen durch Navi­ga­ti­on in einer Umge­bung) oder beim Ener­gie­ma­nage­ment (Ler­nen durch Anpas­sung der Strom­ver­tei­lung basie­rend auf Verbrauchsmustern).

Wie ande­re ML-Model­le bil­den auch neu­ro­na­le Net­ze Regeln. Aller­dings sind die­se Regeln nicht expli­zit, anders als bspw. bei einer Asso­zia­ti­ons­ana­ly­se (→ 9). Sie wol­len es auch nicht sein – das Ziel besteht nicht in der Regel­fin­dung, son­dern in einem Out­put, das Regeln anwen­det, aber nic ht dar­stellt („Black Box“). Ein Ent­schei­dungs­baum als bspw. bil­det also eine expli­zi­te Regel, wäh­rend neu­ro­na­le Net­ze impli­zi­te Regeln gene­rie­ren – die­se Regeln sind in Akti­vie­run­gen und Gewich­tun­gen der „Neu­ro­nen“ ver­steckt. Das Pro­blem bei neu­ro­na­len Net­zen besteht also dar­in, dass die Regeln oft schwer ver­ständ­lich sind.

Es gibt aller­dings Ansät­ze, impli­zi­te Regeln offen­zu­le­gen. Bspw. visua­li­sie­ren „Sali­en­cy Maps“, wel­che Bestand­tei­le des Inputs am mei­sten zur Ent­schei­dung bei­getra­gen haben (bspw. durch Her­vor­he­bung des Bild­be­reichs, der für die Klas­si­fi­zie­rung aus­schlag­ge­bend war), und ähn­lich funk­tio­nie­ren „Local Inter­pr­e­ta­ble Model-agno­stic Expl­ana­ti­ons“ (LIME) – sie ver­wen­den ein­fa­che Model­le wie bspw. linea­re Regres­sio­nen par­al­lel zum Ein­satz des neu­ro­na­len Net­zes und kön­nen nach­voll­zieh­ba­re Erklä­run­gen lie­fern (z.B. dass Wör­ter wie „gra­tis“ für die Klas­si­fi­zie­rung einer E‑Mail als Spam mass­ge­bend sind).

12. Was ist ein Lar­ge Lan­guage Model (LLM)?

Ein Lar­ge Lan­guage Model (LLM) basiert auf einem neu­ro­na­len Netz (→ 11) und „ver­steht“ Spra­che. Bekann­te Bei­spie­le sind die GPT-Model­le von Ope­nAI, Gemi­ni von Goog­le, LLaMA von Meta, Clau­de von Anthro­pic, Com­mand von Cohe­re, Grok von X, die Model­le von Mistral, Ernie von Bai­du oder Fal­con des Tech­no­lo­gy Inno­va­ti­on Insti­tu­te in Abu Dhabi.

Beim Trai­ning eines LLM kön­nen eine vor­an­ge­hen­de Auf­be­rei­tung und das eigent­li­che Trai­ning unter­schie­den werden.

Im Rah­men des Prepro­ce­s­sing wer­den die Trai­nings­da­ten (bspw. Tex­te aus Büchern, Web­sites, Foren, Wiki­pe­dia etc., inzwi­schen auch auf Basis ent­spre­chen­der Lizen­zen gro­sser Ver­la­ge wie der NY Times; zum Trai­ning → 36) berei­nigt. Bspw. wer­den irrele­van­te oder feh­ler­haf­te Inhal­te oder Spam ent­fernt, teils über­flüs­si­ge Sym­bo­le und Stopp­wör­ter wie „der“, „die“ etc.).

Ein „Toke­ni­zer“ zer­legt Tex­te anschlie­ssend in klei­ne­re Ein­hei­ten (die Tokens), je nach­dem ein Wort, ein ein­zel­nes Zei­chen oder ein Wort­be­stand­teil. Letz­te­res trifft bspw. bei Ope­nAI zu, hier kommt eine Vari­an­te des „Byte-Pair Enco­ding“ zum Ein­satz, bei dem von Ein­zel­zei­chen aus­ge­hend die häu­fig­sten Zei­chen­paa­re zu neu­en Tokens zusam­men­ge­fügt wer­den, wodurch das Voka­bu­lar suk­zes­si­ve wächst und häu­fi­ge­re Wör­ter oder Bestand­tei­le wer­den als Gan­zes ver­wen­det wer­den. Hom­ony­me wie „Bank“ kön­nen dabei je nach Kon­text als meh­re­re Tokens gespei­chert wer­den („Geld auf der Bank“, „auf der Bank sitzen“).

Die Tokens haben für sich genom­men aber kei­ne Aus­sa­ge­kraft – inter­es­sant sind sie erst in ihrer Bezie­hung zu ande­ren Tokens. Die­se Bezie­hun­gen erge­ben sich im Lauf des Trai­nings aus den Input­da­ten und kön­nen kon­zep­tio­nell als Nähe- bzw. Distanz­wert aus­ge­drückt wer­den. Bspw. hat das Wort „Haus“ eine grö­sse­re Nähe zum Wort „Dach“ als das Wort „Scha­den“, das Token „gross“ hat eine grö­sse­re Nähe zu „artig“, usw. Jedem Token wer­den des­halb ent­spre­chen­de Wer­te zuge­ord­net. Die­se Wer­te sind die Vek­to­ren: All­ge­mein ist ein Vek­tor eine geord­ne­te Liste von Zah­len, die mit einer bestimm­ten Dimen­sio­na­li­tät in einer bestimm­ten Rei­hen­fol­ge ange­ord­net sind. Im Kon­text eines LLM ist ein Vek­tor der Wert eines Tokens als Bezie­hung zu ande­ren Tokens. Die gelern­ten Vek­to­ren wer­den dabei als „Embed­ding“ gespei­chert – Embed­dings sind also Aus­druck der Struk­tur oder der Eigen­schaf­ten von Daten.

Dimen­sio­na­li­tät“ meint dabei die Anzahl Zah­len­wer­te des Vek­tors. Die­se Zah­len drücken dabei die Eigen­schaf­ten eines Tokens aus. Ein Vek­tor mit einer Dimen­sio­na­li­tät von 768 meint also eine Rei­he von 768 Zah­len, wobei jede für ein bestimm­tes gelern­tes Merk­mal steht. Je höher die Dimen­sio­na­li­tät, desto fei­ner die erfass­ten Bedeu­tungs­un­ter­schie­de. Das Modell GPT‑3 von Ope­nAI hat eine Dimen­sio­na­li­tät von 768 bis 12’288, je nach Vari­an­te. Bei GPT‑4 ist der Wert nicht bekannt, ver­mut­lich aber ähn­lich. Jedes Token erhält im Trai­ning also bis zu 12’288 Eigenschaften.

Aus­trai­nier­te Model­le kön­nen anschlie­ssend für bestimm­te Anwen­dungs­ge­bie­te auf einem spe­zi­fi­schen, klei­ne­ren Daten­satz wei­ter trai­niert wer­den („Fine­tu­ning„), bspw. durch medi­zi­ni­sche Daten, eine tech­ni­sche Doku­men­ta­tio­nen, juri­sti­sche Tex­te oder Mate­ri­al eines bestimm­ten Unter­neh­mens. Das Modell wird auf die­sen Daten so wei­ter­trai­niert, dass es die gelern­ten Fähig­kei­ten ver­fei­nert, ohne sie zu ver­ler­nen. Dabei wer­den die Para­me­ter des Modells Leicht ange­passt – das Modell lernt bspw. Fach­be­grif­fe, bestimm­te For­mu­lie­run­gen oder typi­sche Satz­struk­tu­ren. Ein Bei­spiel ist der EDÖ­Bot von daten­recht (https://edoebot.datenrecht.ch/), der auf einem Modell von Ope­nAI basiert, aber mit daten­schutz­recht­li­chen Mate­ri­al wei­ter trai­niert wurde.

Die Lei­stungs­fä­hig­keit kann auch durch „Retrie­val-Aug­men­ted Gene­ra­ti­on“ („RAG“) ver­bes­sert wer­den. Hier wird ein LLM mit exter­nen Infor­ma­ti­ons­quel­len kom­bi­niert, d.h. es wer­den Infor­ma­tio­nen ausser­halb des Modells bei der Abfra­ge ein­be­zo­gen, bspw. aktu­el­le­re oder spe­zi­fi­sche­re Infor­ma­tio­nen, die im Trai­ning nicht gelernt wur­den. Eine Such­kom­po­nen­te („Retrie­ver„) durch­sucht bei der Abfra­ge eine exter­ne Daten­bank nach rele­van­ten Daten, der Gene­ra­tor ver­wen­det die­se Daten für eine bes­se­re Ant­wort. Auch dies kommt beim EDÖ­Bot zur Anwen­dung, er kann bspw. auf die Bot­schaft zum aktu­el­len DSG oder die Leit­fä­den des EDÖB zugreifen.

Grund­fra­gen

13. Was ist ein “KI-System” (AI System, AIS)?

Im Ver­lauf der Ver­hand­lun­gen (→ 4) war die­ser zen­tra­le Punkt – der über die sach­li­che Anwend­bar­keit des AIA bestimmt – einer der beson­ders strit­ti­gen Punk­te, und man kann nicht behaup­ten, das Ergeb­nis sei geglückt. Der Kom­mis­si­ons­ent­wurf vom April 2021 (https://dtn.re/dzZqxl)angelehnte Begriffsbestimmung.

Der AIA defi­niert ein AIS nun wie folgt (Art. 3 Nr. 1 und ErwG 12):

KI-System“ ein maschi­nen­ge­stütz­tes System, das für einen in unter­schied­li­chem Gra­de auto­no­men Betrieb aus­ge­legt ist und das nach sei­ner Betriebs­auf­nah­me anpas­sungs­fä­hig sein kann und das aus den erhal­te­nen Ein­ga­ben für expli­zi­te oder impli­zi­te Zie­le ablei­tet, wie Aus­ga­ben wie etwa Vor­her­sa­gen, Inhal­te, Emp­feh­lun­gen oder Ent­schei­dun­gen erstellt wer­den, die phy­si­sche oder vir­tu­el­le Umge­bun­gen beein­flus­sen können;

Es geht also um

  • ein maschi­nen­ge­stütz­tes System“ (also kein bspw. bio­lo­gi­sches System – das Ver­pflan­zen eines Gehirns wäre also kein Inver­kehr­brin­gen eines AIS),

  • das für einen in unter­schied­li­chem Gra­de auto­no­men Betrieb aus­ge­legt ist und

  • das nach sei­ner Betriebs­auf­nah­me anpas­sungs­fä­hig sein kann und

  • das aus den erhal­te­nen Ein­ga­ben für expli­zi­te oder impli­zi­te Zie­le ablei­tet, wie Aus­ga­ben wie etwa Vor­her­sa­gen, Inhal­te, Emp­feh­lun­gen oder Ent­schei­dun­gen erstellt wer­den, die phy­si­sche oder vir­tu­el­le Umge­bun­gen beein­flus­sen können“.

Mass­ge­bend sind im Ergeb­nis zwei Ele­men­te, die aber letzt­lich in eines zusammenfallen:

  • Das System ist für einen auto­no­men Betrieb aus­ge­legt. Das heisst nach ErwG 12, dass es nicht „aus­schließ­lich von natür­li­chen Per­so­nen defi­nier­ten Regeln für das auto­ma­ti­sche Aus­füh­ren von Ope­ra­tio­nen beruht“, son­dern dass es „bis zu einem gewis­sen Grad unab­hän­gig von mensch­li­chem Zutun agie­ren und in der Lage [ist], ohne mensch­li­ches Ein­grei­fen zu arbei­ten“; und

  • es kann aus Input einen Out­put ablei­ten, wobei es dabei nicht um irgend­ei­ne Ablei­tung geht, son­dern um „Lern‑, Schluss­fol­ge­rungs- und Model­lie­rungs­pro­zes­se“ (ErwG 12; „Infe­renz“).

Das lässt aller­dings die Fra­ge offen, was mit der erfor­der­li­chen Auto­no­mie im Betrieb gemeint ist.

Die Basis für ein AIS wird vor allem Machi­ne Lear­ning (ML; Q10) sein (ErwG 12: „maschi­nel­les Ler­nen, wobei aus Daten gelernt wird, wie bestimm­te Zie­le erreicht wer­den kön­nen“). Es läge an sich nahe, hier die erwähn­te Unter­schei­dung zwi­schen deduk­ti­ven und induk­ti­ven Model­len zu ver­wen­den (→ 10) und AIS als ML zu ver­ste­hen, die im Unter­schied zu deter­mi­ni­sti­schen sta­ti­sti­schen Model­len nicht deduk­tiv vor­geht, d.h. die nicht oder nicht allein vor­de­fi­nier­te Regeln anwen­det, son­dern Regeln defi­niert oder vor­de­fi­nier­te Para­me­ter zumin­dest gewich­ten lernt. Ein AIS wäre dem­nach bspw. ein Modell, das aus Trai­nings­da­ten lernt, wie stark sich die Grund­stücks­flä­che als vor­ge­ge­be­ner Para­me­ter auf Immo­bi­li­en­prei­se aus­wirkt, und kein AIS wäre ein Modell, das defi­nier­te Para­me­ter und Gewich­tun­gen auf neue Daten anwen­det – bspw. ein ein­fa­ches Excel mit einer ent­spre­chen­den Formel.

So klar ist die Unter­schei­dung aller­dings nicht. Nach Erw­Gr 12 erfasst der AIA als AIS auch „logik- und wis­sens­ge­stütz­te Kon­zep­te, wobei aus kodier­ten Infor­ma­tio­nen oder sym­bo­li­schen Dar­stel­lun­gen der zu lösen­den Auf­ga­be abge­lei­tet wird“. Das trifft auf das erwähn­te Bei­spiel zu: Das Excel zur Berech­nung der Immo­bi­li­en­prei­se ist ein logik- und wis­sens­ge­stütz­tes Kon­zept, das aus der kodier­ten Auf­ga­be (die Excel-For­mel) Ablei­tun­gen trifft (die Immo­bi­li­en­prei­se abhän­gig von den Input­da­ten berech­net). Ob die­ses Kon­zept, also die Excel-For­mel, auf einem Trai­ning beruht, ist an sich belang­los, weil das Excel im Ein­satz nicht lernt. Wür­de man nur von der Unter­schei­dung zwi­schen deduk­ti­vem und induk­ti­vem Vor­ge­hen aus­ge­hen, fie­len alle die­se Syste­me aus der Definition.

Es kann jeden­falls nicht dar­um gehen, dass sich das Modell im lau­fen­den Betrieb, nach der Inbe­trieb­nah­me, wei­ter ver­än­dert, aus zwei Grün­den: Zum einen ist das Ele­ment der Anpas­sungs­fä­hig­keit nach dem Wort­laut der Bestim­mung nicht zwin­gend, son­dern illu­stra­tiv. Zum ande­ren wären aus­trai­nier­te Model­le sonst nicht vom AIA erfasst, und das betrifft die gro­sse Mehr­heit der ver­wen­de­ten Syste­me, auch ver­brei­te­ten LLMs, was natür­lich nicht beab­sich­tigt ist. Ein aus­trai­nier­tes System ist im Betrieb nun aber nicht wirk­lich auto­nom – es ver­ar­bei­tet die Input­da­ten sei­nen Para­me­tern ent­spre­chend, die zwar in einer Trai­nings­pha­se erlernt sein mögen, sich wie erwähnt aber nicht mehr ver­än­dern (bis zu einem Update und vor­be­halt­lich des Aus­nah­me­falls, dass ein System im Betrieb wei­ter trai­niert, wie es bspw. bei Syste­men zur Betrugs­be­kämp­fung der Fall sein kann). So betrach­tet sind die mei­sten Syste­me deter­mi­ni­stisch, nicht autonom.

Man kann auch nicht allei­ne auf die Ent­wick­lungs­pha­se schau­en. In der Ent­wick­lung kann ein Modell zwar ler­nen, und weil das Ziel des Lern­vor­gangs nur funk­tio­nal umschrie­ben wird (bspw. ver­läss­li­che Klas­si­fi­zie­rung von Bil­dern, Gene­rie­rung eines sinn­voll wir­ken­den Tex­tes), nicht aber tech­nisch, ist der Lern­vor­gang auf einer tech­ni­schen Ebe­ne nicht deter­mi­niert (wie die Para­me­ter ein­zu­stel­len sind, damit das Lern­ziel erreicht wird, ist nicht vor­ge­ge­ben, des­halb das Trai­ning). Der Wort­laut von Art. 3 Nr. 1 nimmt aber aus­drück­lich auf den „Betrieb“ und nicht das Trai­ning Bezug – das Trai­ning wird im AI Act ange­spro­chen (→ 36), aber nicht in der Defi­ni­ti­on des AI-Systems, und es ist anders als das Testen auch nicht zwin­gend vor­ge­schrie­ben. Man kann die erfor­der­li­che Auto­no­mie also nicht nur im Trai­ning suchen.

Damit bleibt wei­ter­hin offen, was gemeint ist. Die OECD hat für ihre par­al­le­le Defi­ni­ti­on des „AI System“ im März 2024 aber ein Begleit­me­mo­ran­dum ver­öf­fent­licht, das sich zur erfor­der­li­chen Auto­no­mie etwas kla­rer äussert:

AI system auto­no­my (con­tai­ned in both the ori­gi­nal and the revi­sed defi­ni­ti­on of an AI system) means the degree to which a system can learn or act wit­hout human invol­vement fol­lo­wing the dele­ga­ti­on of auto­no­my and pro­cess auto­ma­ti­on by humans. Human super­vi­si­on can occur at any stage of the AI system life­cy­cle, such as during AI system design, data coll­ec­tion and pro­ce­s­sing, deve­lo­p­ment, veri­fi­ca­ti­on, vali­da­ti­on, deployment, or ope­ra­ti­on and moni­to­ring. Some AI systems can gene­ra­te out­puts wit­hout the­se out­puts being expli­ci­t­ly descri­bed in the AI system’s objec­ti­ve and wit­hout spe­ci­fic ins­truc­tions from a human.

Auto­no­mie im Betrieb bezieht sich also nicht auf die Funk­ti­on des Systems als sol­che, die wie ange­merkt i.d.R. deter­mi­niert ist, son­dern auf das, was es mit Input­da­ten tut: Ein System ist auto­nom, wenn es nach dem Input ohne mensch­li­ches Ein­grei­fen arbei­ten kann und dabei einen Out­put gene­riert, der nicht expli­zit vor­ge­ge­ben ist. Das Nicht-deter­mi­ni­sti­sche ist also in der Daten­ver­ar­bei­tung zu suchen und bezieht sich auf das Ver­hält­nis von Input und Out­put.

Man kann dem zwar ent­ge­gen­hal­ten, dass es ech­te Auto­no­mie auch hier nicht gibt. Wenn das System aus­trai­niert ist, ist sei­ne Daten­ver­ar­bei­tung durch die Para­me­ter des Systems deter­mi­niert. Der glei­che Input muss den glei­chen Out­put erzeu­gen, es sei denn, es sei eine Zufalls­funk­ti­on ein­ge­baut. Das ist zwar häu­fig der Fall, bspw. bei den Model­len von Ope­nAI (mit der Tem­pe­ra­tur­ein­stel­lung kann die­ser Fak­tor bis zu einem gewis­sen Grad gesteu­ert wer­den), aber auch ein Zufalls­ge­nera­tor ist im Grun­de deter­mi­niert (nicht-deter­mi­ni­sti­sche Gene­ra­to­ren lie­fern bei glei­chen Aus­gangs­be­din­gun­gen unter­schied­li­che Wer­te, aber weil die Soft­ware für sich genom­men deter­mi­ni­stisch ist, muss zur Ran­do­mi­sie­rung ein exter­ner Fak­tor wie bspw. radio­ak­ti­ver Zer­fall ein­be­zo­gen wer­den, und die­ser Fak­tor gehorcht Naturgesetzen).

Der AIA ist aber ein Gesetz mit einem Zweck und kei­ne natur­phi­lo­so­phi­sche Betrach­tung. Ent­spre­chend muss man ihn funk­tio­nal aus­le­gen, ins­be­son­de­re mit Blick auf die Rechts­fol­gen, die Sach­ver­hal­te erfas­sen soll­ten, auf die sie aus­ge­legt sind. Als Zwi­schen­er­geb­nis muss man die erfor­der­li­che Auto­no­mie also auf der Ebe­ne der Daten­ver­ar­bei­tung erfol­gen, im Weg vom Input zum Out­put, und die­ser muss so beschaf­fen sein, dass das Ergeb­nis in einer nor­ma­len mensch­li­chen Betrach­tung nicht deter­mi­niert erscheint.

Letzt­lich ist das eine Form des Turing-Tests (→ 6): Der AIA erfasst ein System dann als AI-System, wenn es wie AI aus­sieht. In die­se Rich­tung geht auch die Faust­re­gel der öster­rei­chi­schen Daten­schutz­be­hör­de (→ 1):

Ver­ein­facht gesagt han­delt es sich um Com­pu­ter­sy­ste­me, die Auf­ga­ben aus­füh­ren kön­nen, die nor­ma­ler­wei­se mensch­li­che Intel­li­genz erfor­dern. Das bedeu­tet, dass die­se Syste­me Pro­ble­me lösen, ler­nen, Ent­schei­dun­gen tref­fen und mit ihrer Umge­bung inter­agie­ren kön­nen, ähn­lich wie Men­schen es tun.

Ein AIS ist also ein System, das im Betrieb, bei der Gene­rie­rung eines Out­puts, aus ver­schie­de­nen, a prio­ri gege­be­nen Mög­lich­kei­ten aus­wäh­len kann, ohne dass die Aus­wahl rein zufäl­lig erfolgt und ohne dass sie einer direk­ten mensch­li­chen Anlei­tung folgt, und das daher eine Auf­ga­be erfüllt, bei der ein Mensch den­ken müss­te. Dies erklärt auch die Abgren­zung zum deter­mi­nier­ten System: Ein Mensch, dem im Detail vor­ge­ge­ben wird, wie er vor­zu­ge­hen hat, muss nicht mehr den­ken. Es wird ent­spre­chend nicht mög­lich sein, bei allen Syste­men trenn­scharf zu sagen, ob sie unter den AIA fal­len oder nicht.

AIS sind etwa:

  • Chat­bots

  • Emp­feh­lungs­sy­ste­me bei Streaming-Diensten

  • Sprach­as­si­sten­ten, die durch Nut­zer­inter­ak­ti­on lernen

  • auto­no­me Fahr­zeu­ge, die ihre Fahr­wei­se durch Sen­sor- und Umge­bungs­da­ten anpassen

  • Gesichts­er­ken­nungs­sy­ste­me, deren Genau­ig­keit durch die Ver­wen­dung ver­bes­sert wird

  • ML-basier­te Übersetzungstools

  • Betrugs­er­ken­nungs­sy­ste­me bei Ban­ken, die ver­däch­ti­ge Muster erken­nen lernen

  • dia­gno­sti­sche Syste­me im Gesundheitsbereich

  • per­so­na­li­sier­te Lern­platt­for­men (schon dann, wenn sie gestützt auf den Lern­erfolg Wie­der­ho­lungs­in­ter­val­le generieren)

  • Spam­fil­ter

Vor­aus­ge­setzt bleibt jeweils ein nicht-deter­mi­ni­sti­sches Vor­ge­hen. Rei­ne wen­n/­dann-Logi­ken genü­gen aber nicht, bspw. ein Musik­strea­ming­dienst allen Hörern von Metal­li­ca prin­zi­pi­ell Mega­deth vor­schlägt – sol­che Logi­ken sind deter­mi­ni­stisch, eine Lern- oder Schluss­fol­ge­rungs­kom­po­nen­te fehlt (vor­aus­ge­setzt, dass das System nicht selbst auf die­se Kor­re­la­ti­on gesto­ssen ist).

Kei­ne AIS sind bspw.:

  • Excel­kal­ku­la­tio­nen, aller­dings mit dem Vor­be­halt, dass auch ein Excel-Doku­ment zu einem AIS pro­gram­miert wer­den könnte

  • Daten­ban­ken wie MySQL, die Infor­ma­tio­nen auf Abfra­ge liefern

  • Bild­be­ar­bei­tungs­soft­ware, soweit sie deter­mi­stisch ist, d.h. kei­ne Bil­der gene­riert und auch nicht auf einem LLM basiert

  • Mail­cli­ents, die E‑Mails nach fixen Regeln in Ord­ner verschieben

  • der Brow­ser, mit dem ChatGPT ver­wen­det wird

  • Spam­fil­ter basie­rend allei­ne auf White-/Black-Listen

  • eine deter­mi­ni­sti­sche Soft­ware, die durch oder mit Hil­fe von AIS erzeugt wur­de (das dürf­te heu­te einen gro­ssen Teil der Soft­ware betref­fen, wenn die Ent­wick­lung AI-unter­stützt erfolgt, bspw. beim Ein­satz von Git­hub Copilot)

Diver­se wei­te­re Anwen­dungs­bei­spie­le fin­den sich übri­gens im Atlas von Algo­rithm Watch (https://dtn.re/ggJqKy).

Eben­falls kein AIS ist ein AI-Modell, also Grund­la­gen­tech­no­lo­gie, die noch kei­nem Anwen­dungs­be­reich zuge­führt wur­de (→ 39).

AIS kann dabei selbst ein Pro­dukt sein (bspw. ein AIS zur Ein­schät­zung der Eig­nung von Stel­len­be­wer­ben­den), oder es kann als „embedded system“ oder „embedded AI“ Teil eines ande­ren Pro­dukts sein (z.B. ein Steue­rungs­sy­stem). Bei Steue­rungs­sy­ste­men wird das ent­spre­chen­de Pro­dukt also nicht ins­ge­samt zum AIS, wie sich aus Art. 6 Abs. 1 und Art. 25 Abs. 3 ergibt – es unter­liegt wei­ter­hin den ent­spre­chen­den Pro­duk­te­vor­schrif­ten, aber das „embedded AIS“ wird durch den Ein­bau zum HRAIS, sofern das Pro­dukt unter Anhang 1 fällt (→ 28). Erst wenn der Pro­duk­te­her­stel­ler die AIS-Kom­po­nen­te im eige­nen Namen auf dem Markt bereit­stellt oder in Betrieb nimmt, wird er zum Anbie­ter des HRAIS (Art. 25 Abs. 3). Bei der Kon­for­mi­täts­be­wer­tung wird das Steue­rungs­sy­stem den­noch im Kon­text des Gesamt­sy­stems zu bewer­ten sein. Bei ande­ren AIS ist eine Auf­tei­lung dage­gen nur mög­lich, wenn die AI-Kom­po­nen­te von ande­ren Kom­po­nen­ten klar abgrenz­bar ist (bspw. in einem Recrui­ting-System, das ein KI-Modul für das Bewer­ber­ran­king klar von der Ver­wal­tung der berück­sich­tig­ten Bewer­bun­gen trennt).

Mit der Qua­li­fi­ka­ti­on als AIS als sol­cher ist nichts über das damit ver­bun­de­ne Risi­ko gesagt – auch des­halb nicht, weil sich die Risi­ken nicht aus der Tech­no­lo­gie, son­dern den Bedin­gun­gen ihres Ein­sat­zes erge­ben. Der AI Act unter­teilt AIS-Use Cases dabei grund­sätz­lich – wenn auch nicht expres­sis ver­bis – in vier Kate­go­rien (→ 16). Dane­ben kennt der AIS die GPAI, deren Rege­lung bei der Ver­hand­lung ein piè­ce de rési­stance war (→ 39 ff.).

14. Fal­len alle AI-Syste­me unter den AIA?

Nein. Zunächst kann die EU nur inner­halb ihres Man­dats regu­lie­ren, d.h. nur Tätig­keit im Anwen­dungs­be­reich des Uni­ons­rechts. Das schliesst Tätig­kei­ten der Mit­glied­staa­ten aus, die die natio­na­le Sicher­heit betref­fen. Bestimm­te KI-Syste­me sind sodann vom AIA aus­ge­nom­men (Art. 2):

  • AIS, die aus­schliess­lich mili­tä­ri­schen Zwecken und der natio­na­len Sicher­heit dient (Art. 2 Abs. 3), womit der AIA die Gren­ze des EU-Rechts aufnimmt;

  • AIS, die aus­schliess­lich für For­schungs­zwecke ent­wickelt und ver­wen­det wird (Art. 2 Abs. 6), damit die For­schungs­frei­heit nicht beein­träch­tigt wird (AIS, deren Ein­satz­mög­lich­kei­ten die For­schung ledig­lich umfas­sen, fal­len aber unter den AIA; ErwG 23);

  • AIS, die Pri­vat­per­so­nen für nicht-gewerb­li­che Zwecke nut­zen (Art. 2 Abs. 10; bspw. der pri­va­te Ein­satz von ChatGPT für die Pla­nung einer Hochzeitsfeier);

  • FOSS (Art. 2 Abs. 12), d.h. freie und quell­of­fe­ne Soft­ware (bzw. Model­le), unter der Vor­aus­set­zung, dass die offe­ne Wei­ter­ga­be erlaubt ist und Nut­zer das Modell kosten­los ver­wen­den, ver­än­dern und wei­ter­ver­trei­ben dür­fen, und mit dem Vor­be­halt, dass FOSS erfasst bleibt, wenn es sich um ein HRAIS han­delt (→ 28), wenn sie bzw. ihre Nut­zung eine ver­bo­te­ne Pra­xis dar­stellt (→ 27) oder wenn sie direkt mit Nut­zern inter­agiert oder für die Gene­rie­rung von Con­tent ver­wen­det wird (Art. 50 → 37);

  • AIS wäh­rend der Forschungs‑, Test- und Ent­wick­lungs­pha­se vor dem Inver­kehr­brin­gen oder der Inbe­trieb­nah­me, ausser bei Tests unter Real­be­din­gun­gen (Art. 2 Abs. 8). Anbie­ter von AIS müs­sen aber selbst­ver­ständ­lich auch wäh­rend die­ser Pha­sen die Anfor­de­run­gen ein­hal­ten oder viel­mehr ihre Ein­hal­tung vorbereiten.

15. Was ist all­ge­mein der Rege­lungs­an­satz des AIA?

Der AIA ist trotz sei­nes Namens weder eine umfas­sen­de Rege­lung der künst­li­chen Intel­li­genz noch Markt­ver­hal­tens­recht, son­dern Pro­duk­te­si­cher­heits­recht. Er ori­en­tiert sich an den eta­blier­ten Prin­zi­pi­en der Pro­dukt­re­gu­lie­rung im euro­päi­schen Bin­nen­markt, ins­be­son­de­re in den „New Approach“-Regelungen.

Der „New Approach“ (oder „Neu­es Kon­zept“; sie­he dazu die Mit­tei­lung der Kom­mis­si­on KOM(2003)0240 von 2003, https://dtn.re/0mGegd)) ist ein Kon­zept, das die EU in den 1980er Jah­ren für die Regu­lie­rung des Bin­nen­mark­tes ein­ge­führt hat: Statt detail­lier­te tech­ni­sche Vor­schrif­ten zu erlas­sen, legt die EU grund­le­gen­de Anfor­de­run­gen für Pro­duk­te als Vor­aus­set­zung des Markt­zu­gangs fest. Detail­lier­te­re Anfor­de­run­gen wer­den dann durch euro­päi­sche Nor­mungs­or­ga­ni­sa­tio­nen (z.B. CEN, CENELEC oder ETSI) ent­wickelt. Die­se Nor­men sind nicht zwin­gend, aber ihre Ein­hal­tung begrün­det die Ver­mu­tung der Kon­for­mi­tät der ent­spre­chen­den Pro­duk­te (im AIA: Art. 40.

Der Nach­weis der Kon­for­mi­tät erfolgt sodann im Kon­for­mi­täts­be­wer­tungs­ver­fah­ren, das der Her­stel­ler selbst durch­führt (Selbst­zer­ti­fi­zie­rung) oder von einer unab­hän­gi­gen noti­fi­zier­ten Stel­le durch­füh­ren lässt. Die­se Bewer­tung muss durch­lau­fen wer­den, bevor das Pro­dukt – also das AIS – in Ver­kehr gebracht wird, also vor dem Moment, ab dem sich das Risi­ko eines AIS mani­fe­stie­ren kann.

Dass der Her­stel­ler die Kon­for­mi­tät des Pro­dukts geprüft hat, das anwend­ba­re Kon­for­mi­täts­be­wer­tungs­ver­fah­ren durch­lau­fen wur­de und die Vor­ga­ben ein­ge­hal­ten sind, wird durch das CE-Kenn­zei­chen ange­zeigt. Dazu fin­den sich wei­te­re Infor­ma­tio­nen im Blue Gui­de der EU-Kom­mis­si­on, dem Leit­fa­den für die Umset­zung der Pro­dukt­vor­schrif­ten der EU 2022 vom 29. Juni 2022 (https://dtn.re/hrqXlb).

Der AI Act greift die­sen Ansatz auf, aber mit eini­gen Besonderheiten:

  • Der AIA regu­liert nicht eine Tech­no­lo­gie, son­dern ihren Ein­satz. Er ver­langt aber die Ein­hal­tung grund­le­gen­der Anfor­de­run­gen an alle HRAIS, gemäss Art. 8 – 15. Spe­zi­fi­sche Use Cases wer­den durch punk­tu­el­le Ver­bo­te (→ 27) und durch die Kri­te­ri­en für die Ein­stu­fung als HRAIS (→ 28) festgelegt.

  • Die Zuwei­sung von Pflich­ten erfolgt über die unter­schied­li­chen Rol­len der Akteu­re ent­lang der Wert­schöp­fungs­ket­te (→ 20 ff.). Was im New Approach grund­sätz­lich die „Her­stel­ler“ sind, sind beim AIA die Anbie­ter, und die „Nut­zer“ sind die Betreiber.

  • Grund­sätz­lich muss der Anbie­ter (→ 20) des HRAIS ein Kon­for­mi­täts­ver­fah­ren durch­lau­fen, sofern nicht aus beson­de­ren öffent­li­chen Inter­es­sen eine Aus­nah­me greift (Art. 16 lit. f und Art. 46). Das Kon­for­mi­täts­be­wer­tungs­ver­fah­ren gibt Art. 43 vor. Der Pro­vi­der kann für HRAIS im Bereich Bio­me­trie (Anhang III Ziff. 1) wäh­len, ob er eine Selbst­zer­ti­fi­zie­rung vor­nimmt (inter­nes Ver­fah­ren, das Anhang VI fest­legt) oder eine noti­fi­zier­te Stel­le (Art. 29 ff. → 56) bei­zieht (exter­nes Ver­fah­ren, das Anhang VII festlegt).

Die Zuläs­sig­keit der Selbst­zer­ti­fi­zie­rung setzt vor­aus, dass für alle Aspek­te des HRAIS har­mo­ni­sier­te Nor­men (Art. 40) oder gemein­sa­me Spe­zi­fi­ka­tio­nen (Art. 41) vor­lie­gen, also har­mo­ni­sier­te Kon­kre­ti­sie­run­gen der grund­le­gen­den Anfor­de­run­gen bzw. ihrer Umset­zung. Feh­len die­se, bleibt dem Pro­vi­der nur der Weg über eine noti­fi­zier­te Stel­le (Art. 43). Bei den ande­ren Hoch­ri­si­ko-Use Cases nach Anhang III gilt gene­rell das Ver­fah­ren der Selbst­zer­ti­fi­zie­rung (Art. 43 Abs. 2), und bei HRAIS, die unter eine Pro­dukt­re­gu­lie­rung nach Anhang I Abschnitt A fal­len (bspw. Medi­zin­pro­duk­te), gilt das jeweils anwend­ba­re Ver­fah­ren auch für die Kon­for­mi­täts­be­wer­tung nach dem AIA (Art. 43 Abs. 3).

  • Der Pro­vi­der muss für jedes HRAIS eine EU-Kon­for­mi­täts­er­klä­rung aus­stel­len und 10 Jah­re ab dem Inver­kehr­brin­gen oder der Inbe­trieb­nah­me des HRAIS zuhan­den der Behör­den auf­be­wah­ren (Art. 16 lit. g und Art. 47). Mit der Kon­for­mi­täts­er­klä­rung bringt er zum Aus­druck, dass das HRAIS den ent­spre­chen­den Anfor­de­run­gen ent­spricht und er dafür ver­ant­wort­lich ist (Art. 47 Abs. 2 und 4). Die Kon­for­mi­täts­er­klä­rung muss die Infor­ma­tio­nen nach Anhang V ent­hal­ten und in eine Spra­che über­setzt wer­den, die für die zustän­di­gen natio­na­len Behör­den „leicht ver­ständ­lich“ ist (Art. 47 Abs. 2).

  • Der Pro­vi­der muss das CE-Zei­chen anbrin­gen (Art. 16 lit. h und Art. 48). Damit gibt er an, dass er die Ver­ant­wor­tung für die Kon­for­mi­tät mit den Anfor­de­run­gen des AIA und ggf. wei­te­ren anwend­ba­ren Pro­dukt­an­for­de­run­gen über­nimmt (Art. 30 der Markt­über­wa­chungs­ver­ord­nung, https://dtn.re/h4EI0Y).

  • Das Inver­kehr­brin­gen und die Inbe­trieb­nah­me sind nicht erlaubt, bevor die Kon­for­mi­täts­be­wer­tung nicht durch­lau­fen wur­de, und bei einer wesent­li­chen Ände­rung des HRAIS ist eine erneu­te Kon­for­mi­täts­be­wer­tung erfor­der­lich (Art. 43 Abs. 5).

  • Soweit ein Anbie­ter sek­tor­spe­zi­fi­scher Pro­dukt­re­gu­lie­rung unter­liegt, sind die Anfor­de­run­gen des AIA gene­rell im ent­spre­chend vor­ge­ge­be­nen Rah­men abzudecken.

  • Zudem müs­sen HRAIS in einer öffent­li­chen Daten­bank regi­striert wer­den (Art. 49).

HRAIS sind dabei nicht etwa ver­bo­ten – der AIA ist inso­fern durch­aus inno­va­ti­ons­freund­lich. Ver­bo­ten sind nur weni­ge Ein­satz­be­rei­che oder Use Cases, die als gesell­schaft­lich beson­ders uner­wünscht taxiert wur­den (→ 27).

Umge­kehrt sind aber jeweils par­al­lel gel­ten­de Anfor­de­run­gen, Auf­la­gen und Ein­schrän­kun­gen zu beach­ten, bspw. datenschutz‑, lauterkeits‑, arbeits- oder imma­te­ri­al­gü­ter­recht­li­cher Natur. Der AIA erhält dies­be­züg­lich kaum Erlaub­nis­tat­be­stän­de, mit einer Aus­nah­me beim Daten­schutz (→ 1).

16. Wie wer­den Risi­ken im AIA kategorisiert?

Der AIA unter­schei­det bei der Regu­lie­rung unter­schied­li­che Stu­fen oder Klas­sen von Risi­ken. Mass­ge­bend ist dabei vor allem der kon­kre­te Ein­satz eines AIS und nicht sei­ne tech­nischen Eigen­schaf­ten als sol­che oder die für das Trai­ning oder beim Ein­satz ver­wen­de­ten Daten oder ande­re Kri­te­ri­en, die sich für eine Risi­ko­ein­stu­fung eben­falls anbie­ten könn­ten. Die­se Dif­fe­ren­zie­rung ist grund­sätz­lich sinn­voll; aller­dings ist sie recht grob und kann den kon­kre­ten Umstän­den nicht in allem gerecht wer­den, ana­log zur gesetz­li­chen Ein­stu­fung bestimm­ter Per­so­nen­da­ten als beson­ders schüt­zens­wert. Der AIA kennt vier Risi­ko­stu­fen für AIS: inak­zep­ta­bles Risi­ko, hohes Risi­ko, begrenz­tes Risi­ko bzw. Trans­pa­renz­ri­si­ko und alles andere:

  • Ver­bo­te­ne AIS: AIS bzw. Use Cases mit inak­zep­ta­blen Risi­ken sind als „ver­bo­te­ne Pra­xis“ gene­rell unter­sagt (Art. 5 → 27).

  • HRAIS: AIS bzw. Use Cases in heik­len Berei­chen wie kri­ti­schen Infra­struk­tu­ren, Bil­dung, Beschäf­ti­gung, wesent­li­che öffent­li­che Dien­sten oder Straf­ver­fol­gung; sie unter­lie­gen den Anfor­de­run­gen, die den Haupt­teil des AIA aus­ma­chen. Art. 6 regelt die Ein­stu­fung eines AIS als HRAIS (→ 28).

  • AIS mit Trans­pa­renz­ri­si­ken: Das sind AIS, die zwar kei­ne HRAIS sind, die aber für die direk­te Inter­ak­ti­on mit natür­li­chen Per­so­nen bestimmt sind, die Con­tent gene­rie­ren oder die zur Emo­ti­ons­er­ken­nung oder zur bio­me­tri­schen Kate­go­ri­sie­rung bestimmt sind (Art. 50 → 37). Hier gel­ten ein­ge­schränk­te Anfor­de­run­gen, die vor allem auf Trans­pa­renz zielen.

  • Son­sti­ge AIS: Für alle ande­ren AIS ent­hält der AIS nur am Ran­de Vor­ga­ben (→ 38).

Die Pflich­ten einer Risi­koklas­sen gel­ten dabei jeweils auch für die höhe­ren Klassen.

Pri­ma vista defi­niert der AIA eine fünf­te Risi­ko­ka­te­go­rie: AIS, die „ein Risi­ko ber­gen“, nach Art. 79. Das sind AIA mit beson­de­ren Risi­ken nach Art. 3 Nr. 19 der Markt­über­wa­chungs­ver­ord­nung (https://dtn.re/JgakBQ)) also unty­pisch erhöh­ten Risi­ken für die Gesund­heit oder Sicher­heit oder Grund­rech­te. Es muss sich dabei nicht um ein HRAIS han­deln, auch wenn das i.d.R. der Fall sein müss­te. Hat eine Markt­über­wa­chungs­be­hör­de (→ 43 Grund zur Annah­me, dass sol­che Risi­ken vor­lie­gen, prüft sie das betref­fen­de AIS und – soll­te sich die Annah­me bestä­ti­gen – infor­miert die zustän­di­gen natio­na­len Behör­den. Auch Betrei­ber haben bei einem sol­chen System beson­de­re Pflich­ten, nun aber nur dann, wenn es sich um ein HRAIS handelt.

Mate­ri­ell erhö­hen sich die Anfor­de­run­gen an sol­che AIS aller­dings nicht, es geht nur um eine beson­de­re Prü­fung und erfor­der­li­chen­falls die Durch­set­zung der Com­pli­ance. Eine eige­ne Risi­ko­ka­te­go­rie bil­den sol­che AIS des­halb nicht, und wenn sie nicht zugleich ein HRAIS sind, was aller­dings meist der Fall sein dürf­te, bestehen kaum Anforderungen.

GPAIM fal­len nicht in die­se Risi­koklas­sen, weil sie kei­nen bestimm­ten Anwen­dungs­be­reich haben, der ent­spre­chend klas­si­fi­ziert wer­den könn­ten. Erst wenn sie zu einem GPAIS wer­den, fal­len sie als AIS in eine Risikoklasse.

17. Wel­che Rol­len wer­den im AIA definiert?

Der AIA defi­niert meh­re­re Rol­len, die unter­schied­li­che Pflich­ten und Ver­ant­wort­lich­kei­ten in Bezug auf AIS – und teil­wei­se auch auf GPAI – mit sich brin­gen. Er folgt dabei mit der Unter­schei­dung zwi­schen Anbie­ter, Betrei­ber, Ein­füh­rer und Händ­ler dem Stan­dard des Euro­päi­schen Pro­duk­te­si­cher­heits­rechts, kennt aber auch Rollen:

  • Anbie­ter (Provider/AIS und GPAI): Die Stel­le (d.h. die­je­ni­ge natür­li­che oder juri­sti­sche Per­son), die ein AIS in Ver­kehr bringt und die Haupt­ver­ant­wor­tung für die Ein­hal­tung der Anfor­de­run­gen trägt (→ 20);

  • Betrei­ber (Deployer/AIS): Die Stel­le, die ein AIS oder eine GPAI ein­setzt (→ 21);

  • Ein­füh­rer (Importer/AIS): Die Stel­le, die ein AIS oder eine GPAI eines Dritt­staat­pro­vi­ders erst­mals in die EU ein­führt (→ 23);

  • Händ­ler (Distributor/AIS): Die Stel­le, die ein AIS auf dem Gemein­schafts­markt anbie­tet, ohne selbst ein Anbie­ter oder Ein­füh­rer zu sein (→ 24);

  • Pro­dukt­her­stel­ler (Pro­duct Manufacturer/AIS): Die Stel­le, die ein Pro­dukt her­stellt, in das ein AIS ver­baut wird;

  • Bevoll­mäch­tig­ter (Repre­sen­ta­ti­ve): Das ist nach Art. 3 Nr. 5 eine Stel­le in der EU, die vom Pro­vi­der schrift­lich bevoll­mäch­tigt wur­de, in sei­nem Namen die in die­ser Ver­ord­nung fest­ge­leg­ten Pflich­ten zu erfül­len bzw. Ver­fah­ren durch­zu­füh­ren. Ver­tre­ter haben die Kon­troll- und Mit­wir­kungs­pflich­ten nach Art. 22.

  • Betrof­fe­ne Per­son: Die betrof­fe­ne Per­son wird nicht legal­de­fi­niert, aber es geht um Per­so­nen, deren Daten von einem AIS ver­ar­bei­tet wer­den. Sie haben bestimm­te Rech­te nach dem AIA (zusätz­lich zu den Rech­ten nach der DSGVO).

Hat eine Stel­le meh­re­re Rol­len zugleich, gel­ten die Anfor­de­run­gen jeweils kumu­la­tiv (ErwG 83). ErwG 83 nennt als Bei­spiel den Händ­ler, der auch Ein­füh­rer ist, was durch die Legal­de­fi­ni­tio­nen aber aus­ge­schlos­sen ist (ein Händ­ler stellt ein AIS bereit, „mit Aus­nah­me des Anbie­ters oder des Ein­füh­rers“; Art. 3 Nr. 7). Nahe­lie­gen­der ist der Anbie­ter, der sein AIS in Betreib nimmt und dann auch Betrei­ber ist.

Zudem defi­niert der AIA den „Akteur“ (Ope­ra­tor); das ist ein Ober­be­griff für Anbie­ter, Pro­dukt­her­stel­ler, Betrei­ber, Bevoll­mäch­tig­te, Ein­füh­rer und Händ­ler (Art. 3 Nr. 8). Er wird im AIA nicht oft ver­wen­det, in der Regel nur zur ein­fa­che­ren Ver­wei­sung und ohne Rechts­fol­gen für Akteu­re zu definieren.

18. Was ist der räum­li­che Anwen­dungs­be­reich des AIA?

Der AIA ist zunächst in der EU anwend­bar. Er wird aber ins EWR-Recht über­nom­men und dann auch für Nor­we­gen, Island und Liech­ten­stein gel­ten. Der­zeit befin­det sich der AIA im EWR im Sta­di­um der Prü­fung (https://dtn.re/LxZNyE); for­mell ins EWR-Recht über­nom­men wird er erst nach einem Beschluss des Draft Joint Committee.

Wie die DSGVO will der AI Act einen gewis­sen Grund­schutz und ein Level Play­ing Field inner­halb des EWR fest­le­gen (ErwG 22). Er muss des­halb auch bestimm­te Fäl­le mit inter-regio­na­ler Kom­po­nen­te erfas­sen. Dabei unter­schei­det der AIA zwi­schen den ein­zel­nen Rol­len in der Wert­schöp­fungs­ket­te, wes­halb → 17 vor­an­ge­stellt wurde.

Nach Art. 2 und 3 (bei­de Bestim­mun­gen sind zusam­men für den Anwen­dungs­be­reich mass­ge­bend) fin­det er in räum­lich-per­sön­li­cher Hin­sicht wie folgt Anwendung:

  • Für Anbie­ter (Pro­vi­der):

  • unab­hän­gig vom Stand­ort des Pro­vi­ders dann, wenn ein AIS oder ein GPAIM in der EU in Ver­kehr gesetzt oder in Betrieb genom­men wird (Art. 2 Abs. 1 lit. a); und

  • wenn der Out­put des Systems in der EU ver­wen­det wird (lit. c → 19);

  • für Betrei­ber (Deployer):

  • wenn der Deployer in der EU nie­der­ge­las­sen sind bzw. sich in der EU befin­den (lit. b). Die „Nie­der­las­sung“ dürf­te ana­log zur DSGVO weit aus­ge­legt werden;

  • wenn der Out­put des Systems in der EU ver­wen­det wird (wie­der­um lit. c);

  • für Ein­füh­rer (Importer): wenn er in der EU ansäs­sig ist und ein AIS ein­führt (Art. 3 Nr. 6);

  • für Händ­ler (Dis­tri­bu­tor): wenn das AIS auf den auf dem EU-Markt bereit­ge­stellt wird, unab­hän­gig vom Stand­ort des Händ­lers (Art. 3 Nr. 7);

  • für Pro­dukt­her­stel­ler (Manu­fac­tu­rer): wenn sie ein AIS zusam­men mit ihrem Pro­dukt in eige­nen Namen in der EU in Ver­kehr brin­gen oder in Betrieb neh­men (Art. 2 Abs. 1 lit. e);

  • für (EU-)Ver­tre­ter aus­län­di­scher Pro­vi­der (Art. 2 Abs. 1 lit. f);

  • für betrof­fe­ne Per­so­nen in der EU (Art. 2 Abs. 1 lit. g).

Ein schwei­ze­ri­sches Unter­neh­men kann also ins­be­son­de­re dann unter den AIA fal­len, wenn es:

  • ein AIS in der bzw. in die EU ver­kauft (als Ent­wick­ler, Ein­füh­rer oder Händler),

  • ein ande­res Pro­dukt in der EU ver­kauft, das ein AIS als Kom­po­nen­te verwendet,

  • Out­put gene­riert, der in der EU ver­wen­det wird (→ 19).

19. Was bedeu­tet “Out­put wird in der EU verwendet”?

Out­put wird in Art. 2 Abs. 1 lit. c umschrieben:

c) Anbie­ter und Betrei­ber von KI-Syste­men, die ihren Sitz in einem Dritt­land haben oder sich in einem Dritt­land befin­den, wenn die vom KI-System her­vor­ge­brach­te Aus­ga­be in der Uni­on ver­wen­det wird;

Dazu gehört sicher etwa AI-gene­rier­ter Text oder ein Bild. Aller­dings ent­hält der AIA kei­ne eige­ne Defi­ni­ti­on der her­vor­ge­brach­ten Aus­ga­be, im Gegen­satz zum Input (Art. 3 Nr. 33). Der Begriff wird häu­fi­ger ver­wen­det, aber jeweils ohne nähe­re Umschrei­bung (bspw. in ErwG 12 bei der Defi­ni­ti­on des AIS → 13).

An eini­gen Stel­len wird Out­put aber in einer Wei­se ver­wen­det, die eine brei­te Aus­le­gung nahe­legt, sofern man eine ein­heit­li­che Ver­wen­dung die­ses Begriffs unter­stellt (etwa in Anhang III Ziff. 8 lit. b, HRAIS beim Ein­satz für die Beein­flus­sung einer Wahl oder Abstim­mung: ein AIS ist hier nicht als HRAIS erfasst, wenn sein Out­put nicht direkt natür­li­che Per­so­nen betrifft wie etwa bei einem Tool zur Kam­pa­gnen­or­ga­ni­sa­ti­on: Hier kann Out­put nicht nur das Ergeb­nis von Gene­ra­ti­ve AI mei­nen). Es liegt des­halb und auf­grund des Schutz­zwecks des AIA nahe, auch etwa AI-gene­rier­te Steue­rungs­si­gna­le unter den Begriff des Out­put zu fassen.

Wich­ti­ger ist daher die Fra­ge, wann Out­put in der EU ver­wen­det wird. Jeder Spill­over kann nicht gemeint sein. Man wird viel­mehr eine gewis­se Spür­bar­keit der Aus­wir­kung in der EU ver­lan­gen müs­sen, die ana­log zu Markt­ver­hal­tens­re­geln nur durch eine Aus­rich­tung kon­kre­ti­siert wer­den kann. Dafür spricht ins­be­son­de­re auch ErwG 22, der eine Umge­hung ver­hin­dern, aber nicht jeden belie­bi­gen Effekt in der EU erfas­sen will, von der „Absicht“ spricht und als Bei­spiel eine Kon­stel­la­ti­on nennt, bei der klar nicht nur ein Spill­over vorliegt:

Um die Umge­hung die­ser Ver­ord­nung zu ver­hin­dern […], soll­te die­se Ver­ord­nung auch für Anbie­ter und Betrei­ber von KI-Syste­men gel­ten, die in einem Dritt­land nie­der­ge­las­sen sind, soweit beab­sich­tigt wird, die von die­sem System erzeug­te Aus­ga­be in der Uni­on zu verwenden.

und:

Dies ist bei­spiels­wei­se der Fall, wenn ein in der Uni­on nie­der­ge­las­se­ner Akteur bestimm­te Dienst­lei­stun­gen an einen in einem Dritt­land nie­der­ge­las­se­nen Akteur im Zusam­men­hang mit einer Tätig­keit ver­gibt, die von einem KI-System aus­ge­übt wer­den soll […]. Unter die­sen Umstän­den könn­te das von dem Akteur in einem Dritt­land betrie­be­ne KI-System […] dem ver­trag­li­chen Akteur in der Uni­on die aus die­ser Ver­ar­bei­tung resul­tie­ren­de Aus­ga­be die­ses KI-Systems liefern […] 

Ein Anbie­ter kann des­halb allei­ne auf­grund einer Ver­wen­dung des Out­puts solan­ge nicht unter den AIA fal­len, als der Out­put nicht auf eine Ver­wen­dung in der EU aus­ge­rich­tet ist, d.h. bestim­mungs­ge­mäss in der EU ver­wen­det wird. Eine gewis­se Kon­kre­ti­sie­rung kann dabei über den Blue Gui­de (→ 15) erfol­gen, der aller­dings vage bleibt.

Der Anwen­dungs­be­reich ist auch so breit genug. Wenn ein Mit­ar­bei­ter eines schwei­ze­ri­schen Unter­neh­mens eine E‑Mail an eine fran­zö­si­sche Kol­le­gin schickt und dar­in AI-gene­rier­ten Text ver­wen­det, oder wenn eine Prä­sen­ta­ti­on mit einem AI-gene­rier­ten Bild oder ein durch AI tran­skri­bier­tes Pro­to­koll an einen Emp­fän­ger in der EU ver­sandt wird, dürf­te dies aus­rei­chen, es sei denn, man lei­te aus dem Kri­te­ri­um der Spür­bar­keit eine Baga­tell­schwel­le ab, die zusätz­lich zum Erfor­der­nis der Aus­rich­tung zur Anwen­dung käme.

Die Fra­ge muss vor­läu­fig aller­dings offen­blei­ben – es ist anzu­neh­men, dass das EAIB (→ 53) hier Kon­kre­ti­sie­run­gen vor­schla­gen wird. Für Nicht-EU-Akteu­re, die nur Betrei­ber eines HRAIS sind, und für Akteu­re, die sich nur mit Nicht-Hoch­ri­si­ko-AIS befas­sen, spielt die­se Fra­ge aller­dings eine nicht ganz so wesent­li­che Rol­le wie für HRAIS-Anbieter.

Auf­grund der Legal­de­fi­ni­ti­on des Anbie­ters kann man zudem die Fra­ge stel­len, ob die Ver­wen­dung des Out­put allei­ne über­haupt aus­rei­chen kann oder ob zusätz­lich auch ein Inver­kehr­brin­gen oder eine Inbe­trieb­nah­me in der EU vor­aus­ge­setzt wird. Gegen die­se Aus­le­gung spre­chen aber meh­re­re Argumente:

  • ErwG 22 wei­tet den Anwen­dungs­be­reich für KIS aus, „selbst wenn sie in der Uni­on weder in Ver­kehr gebracht noch in Betrieb genom­men oder ver­wen­det werden“.

  • Mit Bezug auf Anbie­ter müss­te Art. 2 die Ver­wen­dung von Out­put bei die­ser Aus­le­gung gar nicht mehr erwäh­nen, weil das Inver­kehr­brin­gen in der EU allei­ne schon genügt (Art. 2 Abs. 1). Beim Betrei­ber dage­gen hät­te der Hin­weis auf den Out­put auch dann eine Berech­ti­gung, wenn beim Pro­vi­der das Inver­kehr­brin­gen bzw. die Inbe­trieb­nah­me ver­langt werden.

  • Die enge Aus­le­gung wür­de zur Situa­ti­on füh­ren, in der ein Betrei­ber dem AIA unter­lie­gen kann, nicht aber der Anbie­ter des ent­spre­chen­den Systems. Da die Pflich­ten des Betrei­bers zumin­dest in Tei­len vor­aus­set­zen, dass auch der Anbie­ter sei­nen Pflich­ten nach­ge­kom­men ist (bspw. bei der Auf­be­wah­rung von Log-Daten, die nicht mög­lich ist, wenn der Anbie­ter nicht für die Log­fä­hig­keit des HRAIS gesorgt hat), liegt ein Gleich­lauf näher.

  • Die Legal­de­fi­ni­ti­on des Anbie­ters lässt den Schluss zu, dass ein Inver­kehr­brin­gen bzw. eine Inbe­trieb­nah­me nur dann eine Vor­aus­set­zung für die Anbie­ter­ei­gen­schaft ist, wenn eine Stel­le ein AIS nicht selbst ent­wickelt, son­dern ent­wickeln lässt. Bei selbst­ent­wickel­ter AIS genügt nach die­ser Aus­le­gung schon die Ent­wick­lung des AIS (→ 20).

  • Aus Schutz­über­le­gun­gen wer­den Behör­den und Gerich­te wohl einer wei­ten Aus­le­gung fol­gen, den Out­put also genü­gen las­sen. Dafür spre­chen jeden­falls die Erfah­run­gen mit der grund­rechts­be­zo­ge­nen Aus­le­gung der DSGVO.

Bis zur Klä­rung der Fra­ge soll­te daher davon aus­ge­gan­gen wer­den, dass die bestim­mungs­ge­mä­sse Ver­wen­dung des Out­put aus­reicht genügt.

Fra­gen kann man sich aller­dings, ob auch eine Ver­wen­dung als Out­put erfor­der­lich ist. Das dürf­te zutref­fen: Wer AI-gene­rier­te Tex­te in der EU ver­wen­det wis­sen will, wird zwar auch dann unter den AIA fal­len kön­nen, wenn er einen Screen­shot mit dem ent­spre­chen­den Text ver­wen­det. Wer dage­gen zu Tex­te gene­riert, um die Funk­ti­ons­wei­se eines LLM zu illu­strie­ren und gene­rier­te Tex­te als Bei­spie­le ver­wen­det und nicht auf­grund ihres eigent­li­chen Aus­sa­ge­ge­halts, ver­wen­det kaum Out­put in der EU.

Rol­len

20. Was ist ein Anbie­ter (Pro­vi­der)?

Die „Anbie­ter“ haben die Rol­le, die im Pro­dukt­si­cher­heits­recht den „Her­stel­lern“ zukommt. Es sind die­je­ni­gen Stel­len, die AIS oder ein GPAIM ent­wickeln (oder für sich unter ihrer Kon­trol­le ent­wickeln las­sen) und in Ver­kehr brin­gen oder in Betrieb neh­men (Art. 3 Nr. 3):

[…] eine […] Stel­le, die ein KI-System oder ein KI-Modell mit all­ge­mei­nem Ver­wen­dungs­zweck ent­wickelt oder ent­wickeln lässt und es unter ihrem eige­nen Namen oder ihrer Han­dels­mar­ke in Ver­kehr bringt oder das KI-System unter ihrem eige­nen Namen oder ihrer Han­dels­mar­ke in Betrieb nimmt, sei es ent­gelt­lich oder unentgeltlich;

Anbie­ter tra­gen die Haupt­ver­ant­wor­tung für die Kon­for­mi­tät des AIS, bspw. durch das Kon­for­mi­täts­be­wer­tungs­ver­fah­ren, das Risi­ko­ma­nage­ment, Gewähr­lei­stung der Daten­qua­li­tät beim Trai­ning und die Über­wa­chung nach dem Inver­kehr­brin­gen (→ 0).

Die For­mu­lie­rung von Art. 3 Nr. 3 lässt aller­dings zwei Aus­le­gun­gen zu:

  • Die Vor­aus­set­zung, dass ein AIS in Ver­kehr gebracht oder in Betrieb genom­men wird, kann gene­rell gelten

  • oder aber nur für den zwei­ten Fall, bei dem ein AIS nicht selbst ent­wickelt wird („ent­wickeln lässt“).

Auf den ersten Blick ist die erste Aus­le­gung nahe­lie­gen­der. Ein­deu­tig ist das aber kei­nes­wegs. Für die räum­li­che Anwen­dung genügt eine Ver­wen­dung des Out­put in der EU (→ 19). Es wäre wider­sprüch­lich, die mei­sten Pflich­ten ent­fal­len zu las­sen, weil die betref­fen­de Stel­le das ver­wen­de­te (HR)AIS nicht auch in der EU in Ver­kehr bringt oder in Betrieb nimmt. Mit ande­ren Wor­ten: Die­se wei­te Aus­le­gung des Anbie­ter­be­griffs löst den inne­ren Wider­spruch bei Art. 2 auf, denn dann genügt die Ver­wen­dung des Out­put in der EU ein­deu­tig. Dies spricht für die wei­te­re Aus­le­gung des Anbie­ter­be­griffs, wie er auch in der Lite­ra­tur ver­tre­ten wird.

Inver­kehr­brin­gen“ („Pla­cing on the mar­ket“; AIS oder GPAIM) wird in Art. 3 Nr. 9 defi­niert als der Vor­gang, durch den ein bestimm­tes AIS oder ein bestimm­tes GPAIM erst­mals im Uni­ons­markt bereit­ge­stellt wird:

  • Das kann ein­ma­lig oder dau­er­haft gesche­hen, für jedes ein­zel­ne AIS oder GPAIM aber nur ein­mal. Wer ein AIS einem Kun­den in der EU zur Ver­fü­gung stellt, wird also nicht zum Anbie­ter, wenn das AIS bereits in der EU in Ver­kehr gebracht ist.

  • Das Inver­kehr­brin­gen meint dabei ein Ange­bot oder eine Ver­ein­ba­rung zur Über­tra­gung des Eigen­tums, des Besit­zes oder son­sti­ger Rech­te am AIS bzw. GPAIM vor­aus, ent­gelt­lich oder unent­gelt­lich. Bei einem AIS ist das bspw. dann der Fall, wenn ein AIS zur Ver­wen­dung on pre­mi­se oder als SaaS-Ange­bot über­las­sen wird, bspw. über eine Schnitt­stel­le (API; vgl. ErwG 97 und Art. 6 der Markt­über­wa­chungs­ver­ord­nung zum Fern­ab­satz). Das Inver­kehr­brin­gen erfolgt durch den Anbie­ter oder – im Fall eines AIS – einen Ein­füh­rer (Impor­teur; s. unten). Geben die­se ein AIS an einen Ver­trei­ber (Dis­tri­bu­tor) für den wei­te­ren Ver­trieb wei­ter, brin­gen sie das AIS bereits in Ver­kehr (die fol­gen­de Hand­lung des Ver­trei­bers ist dann eine „Bereit­stel­lung“).

  • Kein Inver­kehr­brin­gen wäre dage­gen die Ein­fuhr durch eine Per­son für den Eigen­ge­brauch, also bspw. eines Han­dys mit AI-Anwen­dun­gen, die Über­ga­be eines AIS zu rei­nen Test­zwecken oder die Demon­stra­ti­on eines AIS an einer Fach­mes­se (vgl. den Blue Gui­de, Ziff. 2.3).

Das „in Betrieb neh­men“ („Put­ting into ser­vice“; AIS) wird in Art. 3 Nr. 11 sodann defi­niert als der Vor­gang, bei dem ein AIS dem Betrei­ber (Deployer) für des­sen erst­ma­li­ge Ver­wen­dung abge­ge­ben wird, aber auch die eige­ne Erst­ver­wen­dung durch den Anbie­ter (Pro­vi­der):

  • Wer ein AIS ent­wickelt und selbst ein­setzt, ist ein Anbie­ter im Sin­ne des AIA mit den ent­spre­chen­den Pflichten.

  • Auch Betrei­ber, Ein­füh­rer, Ver­trei­ber oder son­sti­ge Stel­len kön­nen nach­träg­lich zum Anbie­ter wer­den (→ 22).

Weil ein Pro­dukt durch den Ein­bau eines AIS („Embedded AIS„) nicht selbst zum AIS wird, wird der Her­stel­ler des ent­spre­chen­den Pro­dukts auch nicht zum Anbie­ter i.S.d. AIA, sofern das Embedded AIS unter dem Namen bzw. der Mar­ke einer ande­ren Stel­le zur Anwen­dung kommt.

Bei einer Kom­bi­na­ti­on von AIS dürf­te eben­falls jeder ein­zel­ne Anbie­ter als Anbie­ter gel­ten, sofern die Kom­po­nen­ten wei­ter­hin bestim­mungs­ge­mäss ver­wen­det wer­den. Weil der AIA aber auf „Syste­me“ und nicht Soft­ware­pa­ke­te Bezug nimmt, kön­nen Kom­po­nen­ten wohl gemein­sam als AIS gel­ten, wenn sie funk­tio­nal eine Ein­heit bilden.

Her­stel­ler eines regu­lier­ten Pro­dukts, das unter eine Pro­dukt­re­gu­lie­rung nach Anhang I fällt, weil ein AIS als Sicher­heits­bau­teil (i.S.v. Art. 3 Nr. 14) ver­baut wur­de, und die das Pro­dukt im eige­nen Namen in Ver­kehr brin­gen oder in Betrieb neh­men, gel­ten sodann eben­falls als Anbie­ter (Art. 25 Abs. 3).

21. Was ist ein Betrei­ber (Deployer)?

Betrei­ber gestal­ten das System nicht selbst, sie set­zen es bloss ein (Art. 3 Nr. 4) – nach dem all­ge­mei­nen Pro­dukt­si­cher­heits­recht sind es also „End­nut­zer“.

Aller­dings muss die Ver­wen­dung des AIS „under the aut­ho­ri­ty“ des Betrei­bers erfol­gen, „in eige­ner Ver­ant­wor­tung“ (Art. 3 Nr. 4). Das setzt vor­aus, dass das System nicht allei­ne im Auf­trag eines ande­ren Betrei­bers betrie­ben wird. Offen ist, ob es auch ver­langt, dass der Betrei­ber das AIS selbst kon­fi­gu­riert, steu­ert, para­me­tri­siert usw. oder ob es genügt, dass er selbst über die Ver­wen­dung ent­schei­det. Geht man von den Pflich­ten des Betrei­bers aus und stellt man die Fra­ge, wann die­se Pflich­ten grei­fen kön­nen, genügt schon eine nied­ri­ge­re Schwel­le, der blo­sse Ein­satz ohne wei­ter­ge­hen­de Kon­trol­le wäre hier nicht vor­aus­ge­setzt. „Under it’s aut­ho­ri­ty“ heisst nach die­ser nahe­lie­gen­den Sicht, dass der Ein­satz nicht allei­ne im Sin­ne einer Auf­trags­be­ar­bei­tung oder durch einen Arbeit­neh­mer erfolgt, son­dern durch eine Stel­le, die ein AIS für ihre eige­nen Zwecke ein­setzt. Wer ein AIS für einen ande­ren ein­setzt, ist umge­kehrt also kein Betrei­ber (aber meist ein Anbieter).

Der Betrei­ber muss sich an die Betriebs­an­lei­tung hal­ten (→ 35). Die­se ist des­halb wesent­lich, weil die­se u.a. den bestim­mungs­ge­mä­ssen Gebrauch des AIS bestimmt, d.h. die „Zweck­be­stim­mung“ (Art. 3 Nr. 12), für die das AIS bestimmt ist, eben­so wie den Rah­men des kor­rek­ten Ein­sat­zes. Ver­lässt der Betrei­ber die­sen Rah­men, kann er zum Anbie­ter wer­den (→ 22).

Bei GPAIM fehlt ein Betrei­ber, weil ein GPAIM nicht betrie­ben wer­den kann (→ 39).

22. Wann wird der Betrei­ber zum Anbieter?

Die­se Fra­ge ist weni­ger ein­fach zu beant­wor­ten, als es zunächst scheint. Art. 25 AIA ent­hält die Grund­re­gel, dass ein Betrei­ber unter bestimm­ten Umstän­den ein Anbie­ter wird (sog. „dee­med provider“):

  • wenn er als Anbie­ter auf­tritt, indem er sei­nen Namen oder sei­ne Mar­ke auf einem HRAIS anbringt, nach­dem die­ses vom ursprüng­li­chen Anbie­ter in Ver­kehr gebracht oder in Betrieb genom­men wurde,

  • wenn er das HRAIS wesent­lich ändert (wie in Art. 3 Nr. 23 AIA defi­niert), aber ohne das HRAIS dadurch zum low-risk-AIS zu machen, und

  • wenn er ein AIS ausser­halb sei­ner Zweck­be­stim­mung so ein­setzt, dass er es erst zum HRAIS macht.

Dabei gilt jeweils nur der „dee­med pro­vi­der“ als Anbie­ter; der ursprüng­li­che Anbie­ter wird inso­weit aus sei­ner Ver­ant­wor­tung ent­las­sen. Er muss aber mit dem neu­en Anbie­ter zusam­men­ar­bei­ten (Art. 25 Abs. 2). Das kann er wohl ent­spre­chend beprei­sen. Die Koope­ra­ti­ons­pflicht ent­fällt aller­dings, wenn der Erst­an­bie­ter vor­ge­ge­ben hat, dass das AIS nicht in ein HRAIS umge­wan­delt wer­den darf – auch dies spricht daher für eine ent­spre­chen­de Ver­trags­ge­stal­tung.

Für eine Ein­stu­fung als Anbie­ter nicht genü­gend ist dem­ge­gen­über der blo­sse Ein­satz eines HRAIS ausser­halb der bestim­mungs­ge­mä­ssen Ver­wen­dung. Der Anbie­ter muss mit einer sol­chen viel­mehr bis zu einem gewis­sen Grad rech­nen, wie neben Art. 25 auch Art. 9 Abs. 2 lit. b zeigt: Das RMS des Anbie­ters muss auch den Risi­ken bei vor­her­seh­ba­ren Miss­brauchs­fäl­len Rech­nung tra­gen. Erst wenn der Miss­brauch zu einer wesent­li­chen Ände­rung führt oder ein AIS erst zum HRAIS macht, wird der Betrei­ber nach Art. 25 zum „dee­med pro­vi­der“. Wer einen für den Kun­den­sup­port bestimm­ten Chat­bot zur Aus­wahl von Stel­len­be­wer­bern ein­setzt, wird des­halb zum HRAIS-Anbie­ter, nicht aber beim Ein­satz für Mit­ar­bei­ter-Zufrie­den­heits­um­fra­gen (kein HRAIS).

Auch ein Fine­tu­ning (→ 12) soll­te nicht aus­rei­chen, um zum Anbie­ter des ent­spre­chend wei­ter trai­nier­ten AIS zu wer­den, es sei denn, der Betrei­ber bie­te das AIS unter eige­nem Namen an oder set­ze es in einer Wei­se ein, dass es neu zum HRAIS wird. Es ist zwar offen, ob sich die Qua­li­fi­ka­ti­on des Anbie­ters im Fall eines Fine­tu­ning an Art. 25 anlehnt oder schlicht auf das nicht näher defi­nier­te Ele­ment des „Ent­wickelns“ nach Art. 3 Nr. 3 abstellt. Im letz­te­ren Fall könn­te der Betrei­ber im Fall eines Fine­tu­nings eher als Anbie­ter ein­ge­stuft wer­den. Aller­dings ver­wen­det der AIA den Aus­druck „ent­wickeln“ („deve­lop“) in der Regel in einem wei­ter­ge­hen­den Sinn (bspw. in Art. 2 Abs. 6: kei­ne Anwen­dung des AIA auf ein AIS, das allei­ne für For­schungs­zwecke „ent­wickelt“ [und in Betrieb genom­men] wur­de). Zudem grenzt ErwG 93 den Bereich der Ent­wick­lung von der Rol­le des Betrei­bers ab. Vor allem aber dürf­te ins Gewicht fal­len, dass der Anwen­der im Fal­le eines Fine­tu­nings die Pflich­ten des Anbie­ters kaum erfül­len kann, weil sei­ne Kon­trol­le des AIS nicht weit genug geht. Kein Anbie­ter wird der Betrei­ber eines GPAIS nur dadurch, dass er ein RAG (→ 12) verwendet.

Bei GPAIM gilt wei­ter, dass das Modell zum GPAIS wird, sobald das Modell als Pro­dukt bereit­ge­stellt wird, und sei es nur dadurch, dass es mit einer Nut­zer­schnitt­stel­le ergänzt wird (→ 39). Anschlie­ssend gel­ten die vor­ste­hen­den Vor­ga­ben. Wer also ein GPAIM ein­kauft und dann für einen bestimm­ten Use Case in Betrieb nimmt, ist Anbie­ter des resul­tie­ren­den AIS.

23. Was ist ein Ein­füh­rer (Importer)?

Der Ein­füh­rer ist eine Stel­le in der EU, die ein frem­des HRAIS (d.h. ein unter frem­dem Namen bzw. frem­der Mar­ke ange­bo­te­nes HRAIS) in die EU ein­führt (Art. 3 Nr. 6).

Der Ein­füh­rer muss die Kon­for­mi­tät nicht selbst her­stel­len, aber sei­ne Pflich­ten bau­en auf jenen des Anbie­ters auf – er ist mit ande­ren Wor­ten nicht bloss Resel­ler, son­dern muss

  • kon­trol­lie­ren, dass die Kon­for­mi­täts­be­wer­tung erfolgt ist, die tech­ni­sche Doku­men­ta­ti­on gemäss Art. 11 und Anhang IV AIA vor­liegt, das HRAIS das CE-Kenn­zei­chen trägt und der Anbie­ter einen Bevoll­mäch­tig­ten bestellt hat (Art. 23 Abs. 1), und

  • die Doku­men­ta­ti­on zuhan­den der Auf­sichts­be­hör­den auf­be­wah­ren (Abs. 5).

  • Bestehen Zwei­fel an der Ein­hal­tung der grund­le­gen­den Anfor­de­run­gen, darf das HRAIS nicht in Ver­kehr gebracht wer­den, und

  • bei höhe­ren Risi­ken (i.S.v. Art. 79 Abs. 1) müs­sen der Anbie­ter, der Bevoll­mäch­tig­te und die zustän­di­gen Markt­über­wa­chungs­be­hör­den ent­spre­chend infor­miert wer­den (Art. 23 Abs. 2).

24. Was ist ein Händ­ler (Dis­tri­bu­tor)?

Das ist nach Art. 3 Nr. 7 eine Stel­le, die ein HRAIS von Anbie­ter, einem Ein­füh­rer oder einem ande­ren Händ­ler bezieht und auf dem Uni­ons­markt bereit­stellt, ohne selbst ein Anbie­ter oder Ein­füh­rer zu sein, d.h. nach dem Inver­kehr­brin­gen. „Bereit­stel­len“ meint dabei jede ent­gelt­li­che oder unent­gelt­li­che Abga­be eines AIS oder einer GPAI zum wei­te­ren Ver­trieb oder zur Ver­wen­dung auf dem Uni­ons­markt (Art. 3 Nr. 10).

Ähn­lich wie der Ein­füh­rer muss der Händler

  • prü­fen, dass das HRAIS das CE-Kenn­zei­chen trägt, dass eine Kon­for­mi­täts­er­klä­rung und die Betriebs­an­lei­tung vor­lie­gen und dass der Anbie­ter oder auch der Ein­füh­rer ihren Namen bzw. ihre Mar­ke ange­ge­ben haben und über ein QMS (→ 35) verfügen.

  • Bei berech­tig­ten Zwei­feln an der Ein­hal­tung der grund­le­gen­den Anfor­de­run­gen darf das HRAIS wie­der­um nicht bereit­ge­stellt wer­den, und der Händ­ler muss mit dem Anbie­ter oder Ein­füh­rer Kon­takt aufnehmen.

  • Kön­nen Män­gel nicht beho­ben wer­den, muss das HRAIS vom Markt genom­men oder zurück­ge­ru­fen wer­den (vom Händ­ler, von Anbie­ter oder vom Ein­füh­rer; Art. 24 Abs. 4).

  • Bei höhe­ren Risi­ken (nach Art. 79 Abs. 1) müs­sen der Anbie­ter oder der Ein­füh­rer und die zustän­di­gen Behör­den infor­miert wer­den (Art. 24 Abs. 4).

25. Was ist ein Pro­dukt­her­stel­ler (Pro­duct Manufacturer)?

Auch die­se Rol­le wird nicht legal­de­fi­niert. Es han­delt sich um eine Stel­le, die ein Pro­dukt her­stellt, in das ein AIS inte­griert wird. Unter bestimm­ten Umstän­den wird die­se Stel­le dadurch zum Anbie­ter, näm­lich dann, wenn das AIS eine Sicher­heits­kom­po­nen­te ihres Systems ist, die­ses unter eine Pro­dukt­re­gu­lie­rung nach Anhang I fällt und der Pro­dukt­her­stel­ler das AIS als Teil des eige­nen Pro­dukts im eige­nen Namen auf dem Markt bereit­stellt bzw. das Pro­dukt nach der Bereit­stel­lung auf dem Markt im Namen des Pro­dukt­her­stel­lers in Betrieb genom­men wird (Art. 25 Abs. 3). In die­sem Fall muss der Pro­dukt­her­stel­ler sicher­stel­len, dass das ver­bau­te AIS den Anfor­de­run­gen ent­spricht (ErwG 87).

26. Wann muss ein Bevoll­mäch­tig­ter in der EU bestellt werden?

Nach Art. 22 muss der Anbie­ter eines HRAIS einen Bevoll­mäch­tig­ten bestel­len, wenn er ausser­halb der EU nie­der­ge­las­sen ist. Ein „Bevoll­mäch­tig­ter“ ist nach Art. 3 Nr. 5 eine in der EU ansäs­si­ge oder nie­der­ge­las­se­ne Stel­le, die der Anbie­ter eines AIS oder eines GPAI-Modells schrift­lich (d.h. wohl in Text­form) bevoll­mäch­tigt hat und sich ein­ver­stan­den erklärt, in des­sen Namen die Pflich­ten nach dem AIA zu erfül­len bzw. Ver­fah­ren durchzuführen.

Die Auf­ga­ben des Bevoll­mäch­ti­gen sind ver­trag­lich fest­zu­le­gen, umfas­sen aber min­de­stens den Kata­log nach Art. 22 Abs. 3, bspw. die Prü­fung, ob die Kon­for­mi­täts­er­klä­rung und die tech­ni­sche Doku­men­ta­ti­on erstellt wur­den und das Kon­for­mi­täts­be­wer­tungs­ver­fah­ren durch­ge­führt wur­de, die Bereit­hal­tung bestimm­ter Anga­ben und Unter­la­gen zuhan­den der Behör­den und Mit­wir­kungs­pflich­ten bei der Regi­strie­rung des HRAIS. Eine ana­lo­ge Bestim­mung ent­hält Art. 54 für Anbie­ter eines GPAIM (→ 39).

Bevoll­mäch­ti­ge kön­nen ihr Man­dat nie­der­le­gen, und u.U. müs­sen sie das sogar.

Betrei­ber und ande­re Akteu­re ausser dem Anbie­ter haben kei­ne Pflicht, einen Bevoll­mäch­ti­gen zu bestellen.

Ver­bo­te­ne und hoch­ris­kan­te Anwen­dun­gen (HRAIS)

27. Wel­che Anwen­dungs­fäl­le sind verboten?

AIS bzw. Use Cases mit inak­zep­ta­blen Risi­ken sind als „ver­bo­te­ne Pra­xis“ aus­nahms­wei­se unter­sagt, d.h. unter­sagt ist jeweils das Inver­kehr­brin­gen, die Inbe­trieb­nah­me oder die Ver­wen­dung eines AIS für einen ent­spre­chen­den Zweck (Art. 5):

  • Unter­schwel­li­ge Beein­flus­sung (Art. 5 Abs. 1 lit. a): Mani­pu­la­ti­on, die das Ver­hal­ten unbe­wusst beein­flus­sen, dabei eine Ent­schei­dung ver­fäl­schen und so einen Scha­den ver­ur­sa­chen. Dabei geht es bspw. um For­men der Täu­schung bspw. durch „Dark Pat­terns“ oder auch ein „Nud­ging“, beson­ders durch ein so nie­der­schwel­li­ges Vor­ge­hen, dass es nicht bewusst wahr­ge­nom­men wird, bspw. in einer vir­tu­el­len Umge­bung (ErwG 29). Eine Täu­schungs­ab­sicht ist dabei nicht grund­sätz­lich vor­aus­ge­setzt, weil die absicht­li­che Täu­schung nur eine Tat­be­stands­va­ri­an­te ist.

  • Aus­nut­zen von Schutz­be­dürf­tig­keit, auf­grund von Alter, Behin­de­rung, etc. (Art. 5 Abs. 1 lit. b). Auch hier geht es um die schäd­li­che Ver­fäl­schung von Ent­schei­dun­gen (ErwG 29). Nicht erfasst ist eine ver­hält­nis­mä­ssi­ge Affir­ma­ti­ve Action;

  • Social Scoring (Art. 5 Abs. 1 lit. c): Bewer­tung von Per­so­nen nach sozia­lem Ver­hal­ten oder per­sön­li­chen Eigen­schaf­ten über län­ge­re Zeit­räu­me, wenn Per­so­nen dabei unfair behan­delt wer­den, d.h. wenn der Ein­satz des AIS für betrof­fe­ne Per­so­nen eine uner­war­te­te oder unver­hält­nis­mä­ssi­ge Fol­ge hät­te. Nicht erfasst ist dabei die Boni­täts­be­wer­tung, die nicht ver­bo­ten, son­dern hoch­ris­kant ist (→ 32);

  • Risi­ko­be­wer­tung für Straf­ta­ten (Pre­dic­ti­ve Poli­cing) durch Pro­fil­ing (Art. 5 Abs. 1 lit. d; mit Ausnahmen);

  • Gesichts­er­ken­nung: Erstel­len von Gesichts­er­ken­nungs­da­ten­ban­ken durch brei­tes Scra­ping von Bil­dern aus dem Inter­net oder Über­wa­chungs­auf­nah­men (Art. 5 Abs. 1 lit. e). Nicht erfasst wäre bspw. der Abgleich eines Bil­des mit Bil­dern im Inter­net, weil es dabei nicht zu einem Scra­ping kommt;

  • Emo­ti­ons­er­ken­nung am Arbeits­platz oder in Bil­dungs­ein­rich­tun­gen (Art. 5 Abs. 1 lit f; mit Aus­nah­men für gesund­heits- oder sicher­heits­be­zo­ge­ne Anlie­gen). Die Emo­ti­ons­er­ken­nung in ande­ren Berei­chen ist nicht ver­bo­ten. Ver­bo­ten wäre bspw. eine Tran­skrip­ti­on von Calls mit einer Aus­wer­tung, ob ein Kun­den­be­ra­ter aus­rei­chend freund­lich ist oder ob ein Mit­ar­bei­ter nega­ti­ve Emo­tio­nen gegen­über dem Unter­neh­men äussert. Weil der AIA bei die­sem Ver­bot nicht mit dem defi­nier­ten Begriff des Emo­ti­ons­er­ken­nungs­sy­stems arbei­tet, ist eine Erken­nung von „Absich­ten“ (Art. 3 Nr. 39) nicht erfasst, es muss um Emo­tio­nen gehen, aber Grund­la­ge einer Absichts­er­ken­nung kön­nen nicht nur bio­me­tri­sche, son­dern auch ande­re Daten sein;

  • Kate­go­ri­sie­rung nach bio­me­tri­schen Daten, um auf Ras­se, poli­ti­sche Ein­stel­lun­gen, reli­giö­se Über­zeu­gun­gen, sexu­el­le Ori­en­tie­rung usw. zu schlie­ssen (Art. 5 Abs. 1 lit. g; mit Aus­nah­men). Der Begriff der „bio­me­tri­schen Daten“ wird in Art. 3 Nr. 34 defi­niert, es muss um Per­so­nen­da­ten gehen. Aus­ge­nom­men vom Ver­bot sind AIS aber dann, wenn die Kate­go­ri­sie­rung nur eine aus objek­ti­ven tech­ni­schen Grün­den not­wen­di­ge Neben­funk­ti­on eines ande­ren kom­mer­zi­el­len Dien­stes ist (Art. 3 Nr. 40); bspw. wenn ein Online-Dienst für den Klei­der­kauf Kör­per­merk­ma­le ver­wen­det (soweit es sich dabei um bio­me­tri­sche Daten handelt);

  • Real­time-bio­me­tri­sche Fern­iden­ti­fi­zie­rung in öffent­lich zugäng­li­chen Berei­chen (Art. 5 Abs. 1 lit. h und Abs. 2 – 7; mit Aus­nah­men). Nicht erfasst ist eine Authen­ti­fi­zie­rung (→ 29).

Die Kom­mis­si­on zudem Leit­li­ni­en zu den ver­bo­te­nen Prak­ti­ken erlas­sen (→ 51).

Die­se Ver­bo­te kön­nen sich mit wei­te­ren Ver­bo­ten über­schnei­den, bspw. lau­ter­keits­recht­li­chen Täu­schungs­ver­bo­ten oder daten­schutz­recht­li­chen Schran­ken. Dass ein AIS nicht ver­bo­ten ist, heisst also nicht im Umkehr­schluss, dass es gene­rell erlaubt ist. Schran­ken kön­nen sich bspw. aus dem Daten­schutz- und dem Lau­ter­keits­recht ergeben.

28. Was ist ein Hochrisiko-AI-System?

AIS bzw. Use Cases in heik­len Berei­chen wie kri­ti­schen Infra­struk­tu­ren, Bil­dung, Beschäf­ti­gung, wesent­li­che öffent­li­che Dien­sten oder Straf­ver­fol­gung; sie unter­lie­gen den Anfor­de­run­gen, die den Haupt­teil des AIA aus­ma­chen (→ 15). Art. 6 regelt die Ein­stu­fung eines AIS als HRAIS.

Dabei sind zwei Fäl­le zu unterscheiden:

Der erste Fall nach Art. 6 Abs. 1 betrifft AIS, die unter eine Pro­dukt­re­gu­lie­rung nach Anhang I fällt, weil das AIS bzw. sein Use Case selbst unter eine sol­che Regu­lie­rung fällt oder weil es als Sicher­heits­bau­teil (i.S.v. Art. 3 Nr. 14) in ein sol­ches Pro­dukt ver­baut wur­de). Hier steht das Pro­dukt­ri­si­ko im Vor­der­grund, ins­be­son­de­re Risi­ken für Leib und Leben. Der Anhang I unter­schei­det dabei zwei Kategorien:

  • Die erste Kate­go­rie in Abschnitt A betrifft Pro­dukt­re­gu­lie­run­gen, die dem New Approach fol­gen. Hier ist der AIA direkt anwend­bar. Das betrifft bspw. Maschi­nen, Spiel­zeu­ge, Explo­siv­stof­fe oder Medizinprodukte.

  • Die zwei­te in Abschnitt B betrifft Pro­dukt­re­gu­lie­run­gen ausser­halb des New Approach. Der AIA ist hier nicht direkt anwend­bar. Statt­des­sen wer­den die ent­spre­chen­den Rechts­ak­te in Art. 102 ff. so ange­passt, dass die Vor­ga­ben aus dem Kapi­tel III Abschnitt 2 (Art. 8 ff., grund­le­gen­de Anfor­de­run­gen an HRAIS) im Sek­to­rer­lass berück­sich­tigt wer­den. Das betrifft Trans­port­mit­tel (Luft­fahrt, Eisen­bahn, Kraft­fahr­zeu­ge usw.).

Vor­aus­ge­setzt
ist dabei jeweils, dass das Pro­dukt bzw. AIS als Pro­dukt die Durch­füh­rung einer Kon­for­mi­täts­be­wer­tung durch Drit­te ver­langt (Art. 6 Abs. 1 lit. b). Ob dies auch Fäl­le erfas­sen kann, bei denen ein inter­nes Kon­for­mi­täts­be­wer­tungs­ver­fah­ren zur Anwen­dung kommt, ist strittig.

Der zwei­te Fall nach Art. 6 Abs. 2 betrifft AIS, die im Anhang III genannt wird. Anhang III betrifft bestimm­te Ein­satz­ge­bie­te; Anknüp­fungs­punkt ist hier also weni­ger ein Pro­dukt- als viel­mehr ein Ein­satz­ri­si­ko. Es geht um die fol­gen­den, abschlie­ssend auf­ge­zähl­ten Fäl­le, wobei es jeweils um den bestim­mungs­ge­mä­ssen Ein­satz des HRAIS geht (näher 29 ff.):

  • Bio­me­trie: Ein­satz von AIS zur bio­me­tri­schen Fern­iden­ti­fi­zie­rung, bio­me­tri­schen Kate­go­ri­sie­rung oder Gefühls­er­ken­nung (vgl. → 27);

  • Kri­ti­sche Infra­struk­tur: AIS, die als Sicher­heits­kom­po­nen­te in bestimm­ten kri­ti­schen Infra­struk­tu­ren dient (→ 31);

  • All­ge­mei­ne und beruf­li­che Bil­dung: AIS zur Steue­rung des Zugangs zu Bil­dungs­an­ge­bo­ten, der Bewer­tung von Lern­ergeb­nis­sen oder der Über­wa­chung bei Prü­fun­gen (→ 30);

  • Beschäf­ti­gung, Per­so­nal­ma­nage­ment und Zugang zur Selb­stän­dig­keit: AIS im Bereich Recrui­ting oder für rele­van­te Ent­schei­dun­gen oder die Beob­ach­tung und Bewer­tung von Lei­stung oder Ver­hal­tens (→ 30);

  • Grund­le­gen­de Dien­ste und Lei­stun­gen: AIS zur Beur­tei­lung des Anspruchs auf öffent­li­che Unter­stüt­zung (bspw. Sozi­al­ver­si­che­rung), Boni­täts­be­ur­tei­lung, Risi­ko- und Prä­mi­en­be­stim­mung in der Lebens- und Kran­ken­ver­si­che­rung oder Tria­ge von Not­ru­fen, Not­fall­ein­sät­zen und der ersten Hil­fe (→ 32);

  • AIS zur Unter­stüt­zung von Straf­ver­fol­gungs­be­hör­den, im Bereich Migra­ti­on, Asyl und Grenz­kon­trol­le und in der Justiz und der demo­kra­ti­schen Mei­nungs­bil­dung (→ 33).

Mass­ge­bend ist dabei die bestim­mungs­ge­mä­sse Ver­wen­dung des AIS, wobei die Zweck­be­stim­mung ent­we­der vom Her­stel­ler gesetzt wird (Art. 3 Nr. 12) oder dann vom Betrei­ber, der ein AIS ausser­halb des Zweck ein­setzt (Art. 25 → Q22).

29. Wel­che Fäl­le sind im Bereich der Bio­me­trie hochriskant?

Anhang III Ziff. 1 regelt Use Cases im Bereich der Bio­me­trie. Drei Fäl­le sind erfasst:

  • Der erste Fall ist die bio­me­tri­sche Fern­iden­ti­fi­zie­rung. Die­se wird in Art. 3 Nr. 41 legal­de­fi­niert. Es geht um AIS, die dafür bestimmt sind, Per­so­nen ohne deren Mit­wir­kung und in der Regel aus der Fer­ne zu iden­ti­fi­zie­ren. Nicht erfasst sind damit Authen­ti­fi­zie­rungs­sy­ste­me bei Räum­lich­kei­ten und Gerä­ten wie z.B. Iris‑, Gesichts‑, Venen- und Fin­ger­ab­druck­scan­ner (s. auch ErwG 54). Erfasst wäre dage­gen eine über einer Auto­bahn mon­tier­te Kame­ra, wenn ein AIS die Bil­der mit einer Daten­bank abgleicht.

  • Der zwei­te Fall betrifft die bio­me­tri­sche Kate­go­ri­sie­rung von Men­schen, wenn ein AIS dazu bestimmt ist, auf „sen­si­ble oder geschütz­te Attri­bu­te“ zu schlie­ssen (bspw. Men­schen AI-gestützt in Eth­ni­en ein­ge­teilt wer­den). Nicht erfasst sind wie­der­um (→ 27) Fäl­le, bei denen die Kate­go­ri­sie­rung nur eine aus objek­ti­ven tech­ni­schen Grün­den not­wen­di­ge Neben­funk­ti­on eines ande­ren kom­mer­zi­el­len Dien­stes ist (Art. 3 Nr. 40).

  • Der drit­te Fall sind AIS zur Emo­ti­ons­er­ken­nung. Das sind nach Art. 3 Nr. 39 AIS, die „Emo­tio­nen oder Absich­ten“ fest­stel­len bzw. pro­gno­sti­zie­ren sol­len, dies aber auf Grund­la­ge bio­me­tri­scher Daten. Das betrifft bspw. ein AIS, das aus der Stim­me – Fär­bung, Zit­tern etc. – auf Emo­tio­nen schliesst. Auch ein Schluss auf die Gesund­heit dürf­te erfasst sein, in wei­ter Aus­le­gung. Die Grund­la­ge muss aber ein bio­me­tri­sches Datum sein. Wer­den Emo­tio­nen (oder Absich­ten) auf Basis von E‑Mails oder ande­ren Tex­ten ein­ge­schätzt, wird das AIS dadurch nicht zum HRAIS. Aller­dings: Im Arbeits­be­reich kann das Ergeb­nis anders aus­fal­len, denn hier wird ein AIS u.a. dann zum HRAIS, wenn es dazu dient, Ent­schei­dun­gen über Arbeits­be­din­gun­gen, Beför­de­rung, Kün­di­gung usw. zu beein­flus­sen, oder Lei­stung oder Ver­hal­ten zu beob­ach­ten (→ 30). Das gilt selbst­ver­ständ­lich auch dann, wenn die Input­da­ten bio­me­tri­sche Daten sind.

30. Wel­che Fäl­le sind im Arbeits- und Bil­dungs­be­reich hochriskant?

Anhang III nennt wie erwähnt Anwen­dungs­fäl­le (Use Cases), die als hoch­ris­kant gel­ten (→ 28). Anhang III Ziff. 3 betrifft die beruf­li­che und ausser­be­ruf­li­che (Weiter-)Bildung:

  • Ein erster Anwen­dungs­fall (lit. a) sind AIS, die ein­ge­setzt wer­den sol­len, um den Zugang oder die Zulas­sung zu Bil­dungs­an­ge­bo­ten fest­zu­stel­len. „Fest­stel­len“ meint „Bestim­men“, wie sich aus ErwG 56 ergibt – hoch­ris­kant ist also ein AIS, des­sen bestim­mungs­ge­mä­sse Ver­wen­dung eine Gate­kee­per-Funk­ti­on für Bil­dungs­an­ge­bo­te ist, bspw. bei einer Zulas­sungs- oder Eig­nungs­prü­fung. Das betrifft nicht nur Ent­schei­dun­gen über den Zugang als sol­chen, son­dern auch die Aus­wahl aus unter­schied­li­chen Bil­dungs­an­ge­bo­ten. „Bestim­men“ ist dabei mehr als „dabei mit­wir­ken“. Ein AIS, das Emp­feh­lun­gen für den Zugang abgibt, wäre daher nicht wenig erfasst.

  • Ein zwei­ter Fall ist ein AIS, das für die Bewer­tun­gen von „Lern­ergeb­nis­sen“ bestimmt ist. Es geht also ins­be­son­de­re um die Prü­fungs­be­wer­tung. Die For­mu­lie­rung des Geset­zes geht etwas aller­dings wei­ter, die Bewer­tung von Lern­ergeb­nis­sen scheint für sich genom­men zu genü­gen. Erfasst wäre damit eigent­lich auch etwa die Kor­rek­tur­funk­ti­on in einem Sprach­lern­pro­gramm, wenn die­se ein AIS ein­setzt, auch wenn es um nichts wei­ter geht, als ein Level zu bestehen.

  • Der drit­te Fall über­schnei­det sich mit dem ersten: Es geht um AIS, die zur Bewer­tung des Bil­dungs­ni­veaus die­nen soll, das jemand erhal­ten soll oder zu dem sie zuge­las­sen wird. Dabei dürf­ten Eig­nungs­tests im Vor­der­grund ste­hen. Es muss aber um die Bil­dung gehen – Talent Manage­ment mit einer AI-gestütz­ten Bewer­tung der Eig­nung für eine ande­re Stel­le wäre hier nicht erfasst (wür­de aber unter einen ande­ren Use Case fal­len, s. unten).

  • Der vier­te Fall betrifft AIS, die bestim­mungs­ge­mäss zur Prü­fungs­auf­sicht in der all­ge­mei­nen und beruf­li­chen Bil­dung zum Ein­satz kommen.

Offen ist, wie weit der Begriff der Bil­dung zu ver­ste­hen ist. Nach ErwG 56 umfasst dies „Bil­dungs- und Berufs­bil­dungs­ein­rich­tun­gen oder ‑pro­gram­men auf allen Ebe­nen“, also die schu­li­sche Bil­dung, aber wohl auch die Früh- und Wei­ter­bil­dung. Kaum erfasst sind dage­gen inter­ne Schu­lun­gen, die nicht der Wei­ter­bil­dung die­nen, bspw. Com­pli­ance-Schu­lun­gen. Eine AI-gestütz­te Aus­wer­tung von Test­fra­gen bei einer sol­chen Schu­lung soll­te daher nicht genü­gen. Es ist aber ein Grenz­fall, und hier wer­den häu­fig die arbeits­platz­be­zo­ge­nen Use Cases (s. unten) grei­fen (ins­be­son­de­re die Ver­hal­tens- und Lei­stungs­be­wer­tung eines Mitarbeitenden).

Anhang III Ziff. 4 betrifft spe­zi­fisch den Arbeits­be­reich. Dabei ist zwi­schen dem Rekru­tie­rungs­ver­fah­ren und dem Arbeits­ver­hält­nis zu unterscheiden:

  • HRAIS sind AIS, die für die Ein­stel­lung oder Aus­wahl von Bewer­ben­den ein­ge­setzt wer­den sol­len. Das ist eine brei­te Umschrei­bung, weil weder die Art noch die Wirk­sam­keit des Ein­sat­zes beschränkt wer­den. Die­ser Use Case ist auch breit gemeint, wie der Text ver­deut­licht: Es genügt, wenn ein AIS Bewer­bun­gen „sich­tet“ oder „fil­tert“.

Wie bei allen Use Cases von Anhang III muss die­ser Ein­satz aber in der bestim­mungs­ge­mä­ssen Ver­wen­dung lie­gen. Die For­mu­lie­rung einer Stel­len­an­zei­ge mit ChatGPT genügt des­halb nicht. Wer dage­gen ein AIS baut, das auf der Basis eines Ope­nAI-Modells Bewer­bun­gen kate­go­ri­siert, betreibt ein HRAIS. Es dürf­te auch genü­gen, wenn ein AIS Bewer­bun­gen prüft, wie gut sie auf eine Stel­len­aus­schrei­bung pas­sen – eine Form der seman­ti­schen Suche, die einem „Sich­ten“ von Bewer­bun­gen entspricht.

  • Ent­schei­dun­gen über Arbeits­be­din­gun­gen, Beför­de­rung und Kün­di­gung. Hier ist pri­ma vista unklar, ob das AIS die­se Ent­schei­dun­gen tref­fen oder nur beein­flus­sen muss. Aus dem Geset­zes­text folgt letz­te­res: Es geht um den Ein­satz für Ent­schei­dun­gen, die dann – als Fol­ge – Arbeits­be­din­gun­gen usw. beein­flus­sen. Das AIS muss das AIS die Ent­schei­dung aber nicht selbst fäl­len; es genügt, wenn es dazu bestimmt ist, eine mensch­li­che Ent­schei­dung über sol­che Punk­te zu unter­stüt­zen (der eng­li­sche Text ist kla­rer: „inten­ded to be used to make decis­i­ons“, nicht „inten­ded to make decis­i­ons“). Auch der Geset­zes­zweck nach ErwG 57 spricht für die­se Aus­le­gung (Schutz der Kar­rie­re­aus­sich­ten und Lebens­grund­la­gen vor einer „spür­ba­ren Beeinflussung“).

  • Zwei wei­te­re Use Cases gel­ten ergän­zend. Der eine ist eine Zuwei­sung von Auf­ga­ben auf der Grund­la­ge des Ver­hal­tens oder per­sön­li­cher Merk­ma­le oder Eigen­schaf­ten, der ande­re die Beob­ach­tung und Bewer­tung der Lei­stung und des Ver­hal­tens. Zum HRAIS wird ein AIS damit schon dann, wenn Ver­hal­ten aus­ge­wer­tet wird, auch wenn im Anschluss kei­ne Ent­schei­dung über das beruf­li­che Fort­kom­men getrof­fen, vor­be­rei­tet oder beein­flusst wird (auch wenn AI-gestütz­te Lei­stungs- oder Ver­hal­tens­be­wer­tun­gen i.d.R. auf sol­che Ent­schei­dun­gen ange­legt sein dürften).

Ein HRAIS wäre also eine AI-gestütz­te Aus­wer­tung der Per­for­mance eines Mit­ar­bei­ters in einem Call Cen­ter. Kein HRAIS wäre dem­ge­gen­über eine AI-gestütz­te Opti­mie­rung von Fahrt­rou­ten des Aussen­dien­stes. Dabei wird zwar grund­sätz­lich ein Ver­hal­ten der ent­spre­chen­den Mit­ar­bei­ten­den aus­ge­wer­tet. Die Aus­wer­tung bezieht sich aber nicht auf die­ses Ver­hal­ten, son­dern abstra­hiert davon. Da in einem sol­chen Fall das beruf­li­che Fort­kom­men nicht gefähr­det ist, soll­te er kein HRAIS dar­stel­len. Wird anschlie­ssend aber AI-gestützt bewer­tet, ob ein Fah­rer der opti­ma­len Rou­te folgt, wäre dies ein HRAIS. Dabei dürf­te eine mensch­li­che Kennt­nis­nah­me des Ergeb­nis­ses kei­ne Vor­aus­set­zung sein. Ein Fahr­as­si­stent, der abhän­gig von der tat­säch­lich befah­re­nen Rou­te Vor­schlä­ge macht, wäre daher wohl ein HRAIS. Das­sel­be gilt ana­log für ein AIS, das im Rah­men der Pro­duk­ti­on zur Opti­mie­rung der Abläu­fe ein­ge­setzt wird.

Was alles zum „Arbeits­be­reich“ gehört, ist damit nicht gesagt. Auch die selb­stän­di­ge Arbeit kann erfasst sein, zumal ErwG 57 auch den „Zugang zur Selbst­stän­dig­keit“ nennt. Alle der genann­ten Use Cases kön­nen dabei auch dann zur Anwen­dung kom­men, wenn die Aus­wahl, Ent­schei­dung oder Beob­ach­tung bzw. Bewer­tung nicht einen unselb­stän­di­gen Mit­ar­bei­ten­den, son­dern einen selb­stän­dig Erwer­ben­den betrifft. Ein arbeit­neh­mer­ähn­li­cher Sta­tus, d.h. eine gewis­se Abhän­gig­keit und Sub­or­di­na­ti­on, muss aber ver­langt wer­den; andern­falls besteht kein ent­spre­chen­der Schutzbedarf.

31. Wel­che Fäl­le sind bei kri­ti­schen Infra­struk­tu­ren hochriskant?

Hier sieht der AIA nur einen Fall vor: Ein AIS wird ist (bestim­mungs­ge­mäss) ein Sicher­heits­bau­teil ver­wen­det, das in der Steue­rung oder beim Betrieb zum Ein­satz kommt, und zwar einer kri­ti­schen digi­ta­len Infra­struk­tur nach Ziff. 8 des Anhangs zur Richt­li­nie 2022/2557 über die Resi­li­enz kri­ti­scher Ein­rich­tun­gen (CER-Richt­li­nie, https://dtn.re/D2CV56) und im Bereich des Stra­ssen­ver­kehrs oder bei der Wasser‑, Gas‑, Wär­me- oder Stromversorgung.

32. Wel­che wei­te­ren Fäl­le im Pri­vat­be­reich sind hochriskant?

Anhang III Ziff. 5 regelt drei wei­te­re Fäl­le, die im Pri­vat­be­reich rele­vant sind.

  • Der erste betrifft AIS für die „Kre­dit­wür­dig­keits­prü­fung und Boni­täts­be­wer­tung“ natür­li­cher Per­so­nen (nicht aber juri­sti­scher Per­so­nen). Das ist rela­tiv breit, weil der AIA nicht defi­niert, was unter die­se Begrif­fe fällt. Es geht jeden­falls nicht nur um Wirt­schafts­aus­kunf­tei­en und ver­gleich­ba­re Anbie­ter von Boni­täts­in­for­ma­tio­nen, son­dern auch um Unter­neh­men, die für sich selbst oder für Grup­pen­ge­sell­schaf­ten ent­spre­chen­de Bewer­tun­gen vor­neh­men (sofern sie AI-gestützt sind).

  • Aus­ge­nom­men sind aber AIS, die zur „Auf­deckung von Finanz­be­trug“ ver­wen­det wer­den. Der Text spricht hier von „ver­wen­det wer­den“ und nicht von „dazu bestimmt sind“. Das könn­te dar­auf schlie­ssen las­sen, dass ein AIS auch dann kein HRAIS (mehr) ist, soweit sein pri­mä­rer Zweck zwar in der Boni­täts­be­ur­tei­lung besteht, es aber nur zur Betrugs­er­ken­nung ein­ge­setzt wird. Dies wider­spricht aber ErwG 58, der inso­fern enger ist: Aus­ge­nom­men sind danach nur AIS, die zur Betrugs­prä­ven­ti­on „vor­ge­se­hen“ sind. Er ist gleich­zei­tig aber auch wei­ter: AIS, die nach Uni­ons­recht zur Auf­deckung von Finanz­be­trug oder zur Berech­nung der Eigen­ka­pi­tal­an­for­de­run­gen vor­ge­se­hen sind, sind kein HRAIS. Das könn­te ein Pro­blem sein für einen schwei­ze­ri­schen Finanz­dienst­lei­ster, der ein AIS zur Berech­nung der schwei­ze­ri­schen Kapi­tal­an­for­de­run­gen ein­setzt (also nicht auf Basis des EU-Rechts) und das Ergeb­nis sei­nem EU-Stamm­haus zur Ver­fü­gung stellt und des­halb ört­lich unter den AI Act fällt (→ 18).

  • Zum HRAIS wird ein AIS fer­ner dann, wenn es im Ver­si­che­rungs­be­reich zur Risiko­prüfung oder Prä­mi­en­fest­set­zung dient, aller­dings nur im Bereich der Lebens- oder Krankenversicherung.

  • Eben­falls ein HRAIS ist ein AIS, das zur Tria­ge von Not­ru­fen oder den Ein­satz von Sani­tät, Poli­zei oder Feu­er­wehr oder die Prio­ri­sie­rung der ersten Hil­fe dient.

  • Nach Anhang III Ziff. 6 sind schliess­lich auch AIS als HRAIS erfasst, die für die Sach­ver­halts­er­mitt­lung und Rechts­an­wen­dung durch Schieds­ge­rich­te und Media­to­ren bestimmt sind (neben den staat­li­chen Gerich­ten → 33). Erfasst wären bspw. AIS, die aus Akten den Sach­ver­halt her­stel­len, wie immer aber unter Vor­be­halt einer unter­ge­ord­ne­ten Unter­stüt­zung i.S.v. Art. 6 Abs. 3 (→ 34), bspw. „die Anony­mi­sie­rung oder Pseud­ony­mi­sie­rung gericht­li­cher Urtei­le, Doku­men­te oder Daten, die Kom­mu­ni­ka­ti­on zwi­schen dem Per­so­nal oder Ver­wal­tungs­auf­ga­ben“ (ErwG 61). Auch im Zusam­men­hang mit der Wahl- und Abstim­mungs­be­ein­flus­sung kön­nen AIS im Pri­vat­be­reich ein HRAIS sein (→ 33).

33. Wel­che Fäl­le sind im öffent­li­chen Bereich hochriskant?

Anhang III ent­hält eini­ge Use Cases, die nur im öffent­li­chen Bereich rele­vant sind (aber ein­schliess­lich von Unter­neh­men, die im Auf­trag einer Behör­de tätig sind).

Anhang III Ziff. 5 betrifft AIS zur Ver­wen­dung durch oder für Behör­den für die Beur­tei­lung, ob ein Anspruch auf „grund­le­gen­de öffent­li­che Unter­stüt­zungs­lei­stun­gen und ‑dien­ste“ besteht, ein­zu­schrän­ken oder auf­zu­he­ben ist. Das betrifft bspw. die Sozi­al­ver­si­che­rung oder sozia­le Hil­fe. Die­se Fäl­le sind aber jeweils auf die Anwen­dung gegen­über natür­li­chen Per­so­nen beschränkt.

Anhang III Ziff. 6 betrifft ver­schie­de­ne Use Cases im Bereich der Straf­ver­fol­gung, und Ziff. 7 im Bereich der Migra­ti­on, des Asyl­we­sens und der Grenz­kon­trol­le. Ziff. 8 lit. a betrifft sodann AIS zur Ver­wen­dung durch oder für eine Justiz­be­hör­de (ein­schliess­lich der pri­va­ten Streit­bei­le­gung → 32) als Unter­stüt­zung bei der Sach­ver­halts­er­mitt­lung und Rechts­an­wen­dung. Nach lit. b sind AIS fer­ner auch dann hoch­ris­kant, wenn sie dazu die­nen, das Ergeb­nis einer Wahl oder Abstim­mung oder das Wahl­ver­hal­ten zu beein­flus­sen. Es muss aller­dings um eine direk­te Beein­flus­sung gehen – nicht erfasst sind AIS Instru­men­te zur admi­ni­stra­ti­ven Unter­stüt­zung von Kampagnen.

34. Gibt es Fäl­le, bei denen ein HRAIS aus­nahms­wei­se nicht als hoch­ris­kant gilt?

Ja. Anders als bei den pro­dukt­be­zo­ge­nen Hoch­ri­si­ko­fäl­len ist es bei den ein­satz­be­zo­ge­nen Ein­stu­fun­gen nach Anhang III (→ 28) mög­lich, im Sin­ne einer Aus­nah­me das feh­len­de hohe Risi­ko zu belegen.

Das trifft nach Art. 6 Abs. 3 unter zwei kumu­la­ti­ven Vor­aus­set­zun­gen zu:

  • Erstens muss der Ver­wen­dungs­zweck des AIS harm­los sein, weil es weder ein grö­sse­res Risi­ko bedeu­tet noch eine Ent­schei­dung wesent­lich beein­flusst (ErwG 53). Das ist der Fall, wenn es nur dazu bestimmt ist,

  • eine „eng gefass­te Ver­fah­rens­auf­ga­be“ durch­zu­füh­ren (bspw. unstruk­tu­rier­te Daten zu struk­tu­rie­ren oder Daten zu kate­go­ri­sie­ren), oder

  • als blo­sser zusätz­li­cher Lay­er das Ergeb­nis einer mensch­li­chen Tätig­keit zu ver­bes­sern (bspw. beim inzwi­schen übli­chen „Ver­bes­sern“ eines von einem Men­schen ver­fass­ten Tex­tes), oder Ent­schei­dungs­mu­ster oder Abwei­chun­gen von frü­he­ren Ent­schei­dungs­mu­stern zu erken­nen (bspw. bei einer Über­prü­fung, ob eine mensch­li­che Prü­fung von einem vor­ge­ge­be­nen Muster abweicht), oder

  • eine bloss vor­be­rei­ten­de Auf­ga­be für eine Bewer­tung durch­zu­füh­ren (bspw. bei einer Über­set­zung von Tex­ten für die wei­te­re mensch­li­che Ver­wen­dung); jeweils näher in Art. 6 Abs. 3 und ErwG 53). Die EU-Kom­mis­si­on (→ 51) soll­te hier Kon­kre­ti­sie­run­gen vorschlagen.

  • Zwei­tens darf das AIS kein Pro­fil­ing vor­neh­men (a.a.O.). Für den Begriff ver­weist der AIA auf die DSGVO (https://dtn.re/8YoXjh); Art. 4 Nr. 4.

Ein Anbie­ter, der die­se Aus­nah­me in Anspruch neh­men will, muss die­se Ein­schät­zung vor dem Inver­kehr­brin­gen bzw. der Inbe­trieb­nah­me doku­men­tie­ren (Art. 6 Abs. 4). Er muss das AIS fer­ner gleich wie ein HRAIS regi­strie­ren (Art. 49).

Kern­pflich­ten bei HRAIS

35. Wel­ches sind die wesent­li­chen Pflich­ten ent­lang der Wertschöpfungskette?

Nicht alle Zwi­schen­schrit­te im Rah­men der Wert­schöp­fungs­ket­te sind Haupt­aus­lö­ser von Pflich­ten und Auf­la­gen. Grund­sätz­lich müs­sen AIS zum Zeit­punkt des Inver­kehr­brin­gens bzw. der Inbe­trieb­nah­me die grund­le­gen­den Anfor­de­run­gen erfül­len (→ 15). Aus einer prak­ti­schen Sicht lösen aber auch ande­re Vor­gän­ge bestimm­te Pflich­ten aus.

Die­se Pflich­ten las­sen sich über­sichts­wei­se wie folgt auf­schlüs­seln, wobei die Zuord­nung zu ein­zel­nen Pha­sen nicht trenn­scharf sein kann, weil der AIA nicht alle die­ser fak­tisch zu unter­schei­den­den Stu­fen recht­lich als Anknüp­fungs­punkt von Pflich­ten bestimmt. Ein­zel­hei­ten zu den ein­zel­nen Pflich­ten fin­den sich in den ver­wie­se­nen Fra­gen bzw. Ant­wor­ten. Zu beach­ten ist wei­ter, dass bei den Pro­duk­ten nach Anhang III Abschnitt B nicht der AIA gilt, son­dern die in die jewei­li­ge Pro­dukt­re­gu­lie­rung über­nom­me­nen Pflich­ten (→ 28).

SystemRol­leAus­lö­serRecht­li­che Fol­gen und Anforderungen
Anbie­ter
1HRAISAnbie­terBeschaf­fung von SystemkomponentenBezieht der Anbie­ter Kom­po­nen­ten von einem Zulie­fe­rer – es wird um Soft­ware­kom­po­nen­ten gehen, weil in einer Kom­bi­na­ti­on von Hard- und Soft­ware ledig­lich die Soft­ware als AIS gel­ten dürf­te und der Bezug von Hard­ware des­halb kei­nen Ein­bau in ein AIS dar­stellt (→ 28) –, muss er mit dem Lie­fe­ran­ten einen Ver­trag schlie­ssen. Der Ver­trag muss schrift­lich sein, d.h. wohl in Text­form doku­men­tiert, und die für den Anbie­ter des HRAIS wesent­li­chen Punk­te regeln (Art. 25 Abs. 4). Das AI Office (→ 52) soll hier Vor­la­gen lie­fern.

Aus­ge­nom­men von die­ser Pflicht ist die Lie­fe­rung einer Nicht-GPAI im Rah­men einer frei­en und quell­of­fe­nen Lizenz (FOSS), doch wer­den ent­spre­chen­de Soft­ware­an­bie­ter ermu­tigt, für HRAIS-Anbie­ter rele­van­te Infor­ma­tio­nen bereit­zu­stel­len (ErwG 89).
2HRAISAnbie­terTrai­ningEin HRAIS muss nicht zwin­gend trai­niert wer­den – das ist nicht eine eige­ne Pflicht (Art. 10 Abs. 6; auch nicht als Risi­ko­mi­ti­gie­rungs­mass­nah­me: ErwG 65), son­dern viel­mehr ein Umstand, der zur Ein­stu­fung als AIS füh­ren kann (→ 13). Im Fal­le eines Trai­nings grei­fen aber bestimm­te Anfor­de­run­gen.

Zunächst stellt sich die Fra­ge, mit wel­chen Daten ein HRAIS trai­niert wer­den soll oder darf. Dafür gibt Art. 10 Abs. 3 (Data Gover­nan­ce) Anfor­de­run­gen vor: Test­da­ten müs­sen Merk­ma­le oder Ele­men­te berück­sich­ti­gen, die für die Rah­men­be­din­gun­gen des HRAIS in sei­ner bestim­mungs­ge­mä­ssen Ver­wen­dung typisch sind, also aus­sa­ge­kräf­tig. Das kann die Ver­wen­dung von Per­so­nen­da­ten oder sogar beson­ders schüt­zens­wer­ter Per­so­nen­da­ten (→ 58) vor­aus­set­zen, bspw. bei Syste­men, die Bewer­bun­gen ein­stu­fen und so trai­niert wer­den müs­sen, dass sie einen mög­lichst schwa­chen Bias in Bezug auf Alter, Geschlecht, eth­ni­schem Hin­ter­grund usw. auf­wei­sen (man­che Her­stel­ler legen ihrer Kun­den­do­ku­men­ta­ti­on des­halb Bias-Audits bei). Art. 10 Abs. 5 ent­hält des­halb eine Rechts­grund­la­ge für die Ver­wen­dung sol­cher Daten zu Test- und Trai­nings­zwecken, unter den Vor­aus­set­zun­gen von Abs. 5 lit. a‑f.

Für das Trai­ning selbst muss der Anbie­ter sodann eini­ge Ent­schei­dun­gen tref­fen und doku­men­tie­ren. Dies legt Art. 10 Abs. 2 fest. Es geht vor allem um die Beschaf­fung von Trai­nings­da­ten, die Vor­be­rei­tung von Test­da­ten (z.B. Label­ling, Tag­ging usw.), die Defi­ni­ti­on von Annah­men und Ziel­grö­ssen, die Metrik zur Mes­sung, ob Zie­le erreicht bzw. Annah­men zutref­fend sind, oder um die Ver­mei­dung von Ver­zer­run­gen (Bias).

Auch in der Trai­nings­pha­se ist das genann­te Risi­ko­ma­nage­ment­sy­stem (RMS) für HRAIS rele­vant (vgl. Art. 9). Zwar muss der Anbie­ter wie erwähnt kein Trai­ning als Risi­ko­mi­ti­gie­rungs­mass­nah­me durch­füh­ren, wird dazu aber den­noch ein­ge­la­den (ErwG 65). Inso­fern soll­te das RMS selbst­ver­ständ­lich auch die Trai­nings­pha­se abdecken.
3HRAISAnbie­terTestenAnders als ein Trai­ning ist ein Test eine eige­ne Pflicht des HRAIS-Anbie­ters (Art. 9 Abs. 6). HRAIS müs­sen gete­stet wer­den, damit das Risi­ko ermit­telt und ggf. miti­giert wer­den kann. Tests müs­sen zum geeig­ne­ten Zeit­punkt, aber vor dem Inver­kehr­brin­gen oder der Inbe­trieb­nah­me durch­ge­führt wer­den (Abs. 8). Zu Tests durch Anbie­ter von GPAI-Model­len mit syste­mi­schen Risi­ken sie­he Q41.

Für die Durch­füh­rung der Tests fin­den sich in Art. 9 und 10 Vor­ga­ben. Die Anfor­de­run­gen an Trai­nings­da­ten gel­ten auch für Test­da­ten (Art. 9 Abs. 6; das betrifft auch eine etwa­ige Ver­wen­dung von Per­so­nen­da­ten).

Nach Art. 9 Abs. 7 kön­nen Tests unter Umstän­den für höch­stens 12 Mona­te auch unter Real­be­din­gun­gen erfol­gen – sofern die Vor­aus­set­zun­gen von Art. 60 AIA ein­ge­hal­ten wer­den. Sol­che Tests erfor­dern u.a. einen eige­nen Plan, der von der zustän­di­gen Markt­über­wa­chungs­be­hör­de zu geneh­mi­gen ist (Art. 60 Abs. 4 lit. a und b).
4HRAISAnbie­terInver­kehr­brin­gen bzw. InbetriebnahmeRecht­lich ist der Zeit­punkt des Inver­kehr­brin­gens bzw. der Inbe­trieb­nah­me des HRAIS mass­ge­bend für die mei­sten Pflich­ten des Anbie­ters. Er muss die­se daher bei der Pla­nung und beim Design eines AIS, das poten­ti­ell ein HRAIS ist, berück­sich­ti­gen.

Zunächst muss der Anbie­ter die tech­ni­sche Doku­men­ta­ti­on erstel­len (Art. 11 und Anhang IV). Das ist das Herz­stück: Die tech­ni­sche Doku­men­ta­ti­on dient dazu, die Ein­hal­tung der grund­le­gen­den Anfor­de­run­gen zu doku­men­tie­ren, und sie ist ent­spre­chend auch Grund­la­ge der Kon­for­mi­täts­be­wer­tung. Sie ent­hält ins­be­son­de­re eine Beschrei­bung des HRAIS, sei­ner Bestand­tei­le, sei­ner Ent­wick­lung bzw. sei­nes Trai­nings ein­schliess­lich der dafür ver­wen­de­ten Daten und der Vali­die­rung und der mass­geb­li­chen Tests, sei­ner Funk­ti­ons­wei­se und Archi­tek­tur, der Gewähr­lei­stung der mensch­li­chen Auf­sicht (→ 37), sei­ner Kon­trol­le, des Risi­ko­ma­nage­ment-Systems und des Ver­fah­rens der Markt­über­wa­chung (Anhang IV).

Auch die Betriebs­an­lei­tung (Art. 3 Nr. 15 und Art. 13 Abs. 3) gehört zur tech­ni­schen Doku­men­ta­ti­on (Anhang IV Ziff. 1 lit. h). Die­se nennt und defi­niert die bestim­mungs­ge­mä­sse Ver­wen­dung des HRAIS (Art. 3 Nr. 15), die dar­über bestimmt, ob das AIS ein HRAIS nach Anhang III ist (→ 32) und dazu bei­trägt, den Ver­ant­wor­tungs­be­reich des Anbie­ters abzu­gren­zen, und die ein wesent­li­cher Mass­stab für die Com­pli­ance-Anfor­de­run­gen ist (vgl. etwa Art. 8 Abs. 1, Art. 10 Abs. 3 oder Art. 26 Abs. 6 AIA). Die Betriebs­an­lei­tung muss prä­zi­se, voll­stän­di­ge, kor­rek­te, ein­deu­ti­ge und ver­ständ­li­che Infor­ma­tio­nen ent­hal­ten und digi­tal oder phy­sisch, aber bar­rie­re­frei bereit­ge­stellt wer­den (Art. 13 Abs. 3) und min­de­stens die Infor­ma­tio­nen nach Art. 13 Abs. 3 lit. a‑f ent­hal­ten. Dazu gehö­ren u.a. die Zweck­be­stim­mung, die Eigen­schaf­ten und die Lei­stungs­gren­zen des HRAIS, die Mass­nah­men zur Gewähr­lei­stung mensch­li­cher Auf­sicht, die Lebens­dau­er des HRAIS und Anga­ben zur Pfle­ge und zu Updates und eine Beschrei­bung der Log­fä­hig­keit.

Auf Basis der tech­ni­schen Doku­men­ta­ti­on muss der Anbie­ter sodann recht­zei­tig vor dem Inver­kehr­brin­gen bzw. der Inbe­trieb­nah­me das Kon­for­mi­täts­be­wer­tungs­ver­fah­ren durch­lau­fen (→ 15), und er muss für jedes HRAIS eine EU-Kon­for­mi­täts­er­klä­rung aus­stel­len und zuhan­den der Behör­den auf­be­wah­ren (Art. 47). Zudem muss er jeweils ein phy­si­sches oder digi­ta­les CE-Zei­chen anbrin­gen, abge­se­hen von der Anga­be sei­nes Namens bzw. sei­ner Mar­ke und einer Kon­takt­adres­se (Art. 16 lit. b → 15).

Zu den wesent­li­chen Pflich­ten gehö­ren fer­ner die fol­gen­den:

– QMS: Nach Art. 17 muss der Anbie­ter über ein Qua­li­täts­ma­nage­ment­sy­stem (QMS) ver­fü­gen, das all­ge­mein die Ein­hal­tung des AIA „gewähr­lei­stet“, also ein System aus Poli­ci­es, Pro­zes­sen und Anwei­sun­gen, das alle Pha­sen des HRAIS abdeckt, ein­schliess­lich eines Com­pli­ance-Kon­zepts mit Zustän­dig­kei­ten und Ver­ant­wort­lich­kei­ten, Anga­ben zur Ent­wick­lung und zum Testen und Vali­die­ren des HRAIS, ggf. die har­mo­ni­sier­ten Nor­men, die für die Kon­for­mi­täts­be­wer­tung zur Anwen­dung kom­men, die Data Gover­nan­ce (→ 36), die Markt­über­wa­chung (→ 43), den Umgang mit Inci­dents (→ 45), die Kom­mu­ni­ka­ti­on mit Behör­den, die erfor­der­li­che Doku­men­ta­ti­on und das Res­sour­cen­ma­nage­ment. Auch das Risi­ko­ma­nage­ment­sy­stem ist Teil des QMS (Art. 17 Abs. 1 lit. g; das RMS kann sepa­rat geführt wer­den, muss im QMS aber abge­deckt wer­den).

– RMS: Der Anbie­ter muss für jedes HRAIS ein Risi­ko­ma­nage­ment­sy­stem (RMS) ein­rich­ten, anwen­den, doku­men­tie­ren und auf­recht­erhal­ten (Art. 9). Das RMS muss das HRAIS durch sei­nen Lebens­zy­klus hin­durch – auch nach dem Inver­kehr­brin­gen bzw. der Inbe­trieb­nah­me – beglei­ten und aktu­ell gehal­ten wer­den – das ver­langt eine ent­spre­chen­de Gover­nan­ce. Ins­be­son­de­re müs­sen Risi­ken für die Gesund­heit, die Sicher­heit oder die Grund­rech­te ins­be­son­de­re auch schutz­be­dürf­ti­ger Per­so­nen lau­fend erkannt und bewer­tet wer­den, und zwar nicht nur in Bezug auf den bestim­mungs­ge­mä­ssen Ein­satz, son­dern auch den vor­her­seh­ba­ren Miss­brauch (Art. 9 Abs. 2 lit. b), und sie müs­sen schon bei der Design- und Ent­wick­lungs­pha­se ange­mes­sen miti­giert wer­den, soweit der Anbie­ter die Risi­ken miti­gie­ren kann (lit. d). Dazu gehört auch bspw. die Infor­ma­ti­on des Betrei­bers oder sei­ne Schu­lung (Art. 9 Abs. 5 lit. c). Die iden­ti­fi­zier­ten und akzep­tier­ten Risi­ken soll­ten dann in der Betriebs­an­lei­tung genannt wer­den. Der Anbie­ter kann sich beim RMS an ent­spre­chen­den Stan­dards ori­en­tie­ren (→ 61).

– Log­fä­hig­keit sicher­stel­len: Der Anbie­ter muss sicher­stel­len, dass das System tech­nisch log­fä­hig ist (Art. 12). Was geloggt wer­den muss, gibt Art. 12 Abs. 2 – 3 vor.

– Ver­ständ­lich­keit des Out­put (Art. 13): Der Anbie­ter muss sicher­stel­len, dass der Out­put des Systems für den Betrei­ber klar und ver­ständ­lich ist. Dazu dient die Betriebs­an­lei­tung (Art. 3 Nr. 15), aber auch Design­mass­nah­men wer­den erfor­der­lich sein.

– Mensch­li­che Auf­sicht (Art. 14): Das HRAIS muss so gestal­tet sein, dass es eine wirk­sa­me mensch­li­che Auf­sicht ermög­licht. Dazu kom­men ins HRAIS ein­ge­bau­te Mass­nah­men in Betracht (z.B. Benut­zer­schnitt­stel­len, ein Kill Switch usw.), aber auch Anlei­tun­gen zuhan­den des Betrei­bers, die ihm ein aus­rei­chen­des Ver­ständ­nis des HRAIS ermög­li­chen (vgl. Art. 11, Art. 14 Abs. 4 und Anhang IV).

– Zuver­läs­sig­keit, Robust­heit und Cyber­si­cher­heit (Art. 15): Ein HRAIS muss so kon­zi­piert sein, dass es zuver­läs­sig und robust ist und ein aus­rei­chen­des Mass an Cyber­si­cher­heit gewähr­lei­stet. Der Anbie­ter muss des­halb u.a. sicher­stel­len, dass das HRAIS gegen phy­si­sche und digi­ta­le Bedro­hun­gen aus­rei­chend resi­stent ist und geeig­ne­te Mass­nah­men zum Schutz der Inte­gri­tät, Ver­trau­lich­keit und Ver­füg­bar­keit des HRAIS grei­fen. Bei Syste­men, die auch nach dem Inver­kehr­brin­gen bzw. der Inbe­trieb­nah­me ler­nen, muss das Risi­ko eines Bias und von Feed­back-Loops miti­giert wer­den. Die EU-Kom­mis­si­on (→ 51) soll zur Ent­wick­lung von Bench­marks und Mess­grö­ssen bei­tra­gen (Art. 15 Abs. 2 AIA).

– Acce­s­si­bi­li­ty by Design (Art. 16): Die Acce­s­si­bi­li­ty muss in das Design des HRAIS inte­griert wer­den. Die Anfor­de­run­gen erge­ben sich im Ein­zel­nen aus der RL 2016/2102 über den bar­rie­re­frei­en Zugang zu den Web­sites und mobi­len Anwen­dun­gen öffent­li­cher Stel­len und der RL 2019/882 über die Bar­rie­re­frei­heits­an­for­de­run­gen für Pro­duk­te und Dienst­lei­stun­gen (Art. 16 lit. l).

– Regi­strie­rung: Anbie­ter müs­sen HRAIS bei der Kom­mis­si­on (→ 51) regi­strie­ren, wenn sie nach Anhang III (Use Cases) als HRAIS ein­zu­stu­fen sind (→ 28). Dazu müs­sen sie min­de­stens die Infor­ma­tio­nen nach Anhang VIII Abschnitt A bereitstellen.
5HRAISAnbie­terAuf­tre­ten beson­de­rer RisikenErlangt der Anbie­ter Kennt­nis von beson­de­ren Risi­ken i.S.v. Art. 79 Abs. 1, muss er sofort die Ursa­chen unter­su­chen und die zustän­di­gen Markt­über­wa­chungs­be­hör­den infor­mie­ren (Art. 82 Abs. 2 → 45).
6HRAISAnbie­terEin­tritt eines schwer­wie­gen­den VorfallsBei Fest­stel­lung eines schwer­wie­gen­den Vor­falls (→ 45) muss der Anbie­ter sofort die zustän­di­gen Markt­über­wa­chungs­be­hör­den (→ 55) infor­mie­ren, den Vor­fall unter­su­chen und Risi­ken ein­schät­zen miti­gie­ren. Für Anbie­ter von GPAIM mit syste­mi­schen Risi­ken s. unten.
7AISAnbie­terInver­kehr­brin­gen oder Inbe­trieb­nah­me in der EUIm Fall des Inver­kehr­brin­gens oder der Inbe­trieb­nah­me eines AIS in der EU fällt der Anbie­ter unter den AIA (→ 18) und muss er einen Bevoll­mäch­tig­ten in der EU bestel­len (→ 26).
8AISAnbie­terVer­wen­dung von Out­put in der EUAuch wenn eine Stel­le ein AIS so ver­wen­det, dass sein Out­put bestim­mungs­ge­mäss in der EU ver­wen­det wird, fällt er in den Anwen­dungs­be­reich des AIA (→ 18) und muss er einen Be
voll­mäch­tig­ten
in der EU bestel­len (→ 26).
9AISAnbie­terUmgang mit AISDer Umgang eines Anbie­ters mit AIS löst auch für ihn die Anfor­de­rung an AI Liter­a­cy aus (→ ).
10AISAnbie­terGene­ra­ti­ve AISBei AIS – das wer­den vor allem GPAIS sein, erfasst wer­den aber auch ande­re AIS –, die syn­the­ti­sche Inhal­te (Audio, Bild, Video, Text) gene­rie­ren, müs­sen Anbie­ter dafür sor­gen, dass der Out­put in einem maschi­nen­les­ba­ren For­mat gekenn­zeich­net ist, damit er als künst­lich erzeugt oder mani­pu­liert erkenn­bar ist („Water­mar­king“ → 37).
11AISAnbie­terAIS zur direk­ten Inter­ak­ti­on mit BetroffenenIst ein AIS (ggf. ein­schliess­lich eines HRAIS) für die direk­te Inter­ak­ti­on mit betrof­fe­nen Per­so­nen bestimmt, muss der Anbie­ter schon in der Kon­zep­ti­ons- und Ent­wick­lungs­pha­se dafür sor­gen, dass die natür­li­chen Per­so­nen über die Inter­ak­ti­on mit einem AIS infor­miert wer­den (wenn es in den gege­be­nen Umstän­den nicht offen­sicht­lich ist → 37).
Pro­dukt­her­stel­ler
12HRAISPro­dukt­her­stel­lerEin­bau eines AIS in ein ProduktHer­stel­ler eines regu­lier­ten Pro­dukts, das unter eine Pro­dukt­re­gu­lie­rung nach Anhang I fällt, weil ein AIS als Sicher­heits­bau­teil (i.S.v. Art. 3 Nr. 14) ver­baut wur­de, und die das Pro­dukt im eige­nen Namen in Ver­kehr brin­gen oder in Betrieb neh­men, gel­ten als Anbie­ter i.S.d. AIA (Art. 25 Abs. 3) und haben die ent­spre­chen­den Pflichten.
Ein­füh­rer und Händler
13HRAISEin­füh­rerImportDie Pflich­ten des Ein­füh­rers („Importer“ → 23) sind wesent­lich enger als jene des Anbie­ters, weil die Haupt­ver­ant­wor­tung beim Anbie­ter bleibt. Der Ein­füh­rer hat zunächst vor allem die Pflicht, Com­pli­ance-Mass­nah­men des Anbie­ters nach­zu­prü­fen, und zwei­felt er an der Com­pli­ance des HRAIS, darf er es HRAIS nicht in Ver­kehr brin­gen. Falls er auf Risi­ken i.S.v. Art. 79 Abs. 1 stösst, hat er zudem den Anbie­ter, die Bevoll­mäch­tig­ten und die Markt­über­wa­chungs­be­hör­den zu infor­mie­ren (Art. 23 Abs. 2 → 45). Wei­te­re Pflich­ten erge­ben sich aus Art. 23 Abs. 3 – 7.
14HRAISBetrei­ber, Ein­füh­rer, HändlerAuf­tre­ten beson­de­rer RisikenHat ein Betrei­ber oder ein Ein­füh­rer Grund zur Annah­me, dass ein HRAIS mit beson­de­ren Risi­ken für die Gesund­heit, die Sicher­heit oder Grund­rech­te ver­bun­den ist (Art. 79), muss er sofort sowohl den Anbie­ter oder Händ­ler (im Fall des Betrei­bers) bzw. den Anbie­ter und des­sen Bevoll­mäch­ti­gen (im Fall des Ein­füh­rers) bzw. den Anbie­ter und den Ein­füh­rer oder jede ande­re betei­lig­te Stel­le (im Fall des Händ­lers) als auch die zustän­di­ge Markt­über­wa­chungs­be­hör­de infor­mie­ren und den Ein­satz des HRAIS aus­set­zen (Art. 26 Abs. 5, Art. 23 Abs. 2 und Art. 24 Abs. 4; Art. 82 Abs. 2 → 45).
15HRAISHänd­lerVer­triebHänd­ler ist, wer ein HRAIS auf Markt bereit­stellt (→ 20). Die Pflich­ten der Händ­ler sind ähn­lich wie jene des Ein­füh­rers (Art. 24).
Betrei­ber
16HRAISBetrei­berEin­satzBetrei­ber (→ 21) müs­sen die ein­ge­setz­ten HRAIS inven­ta­ri­sie­ren (das folgt indi­rekt aus Art. 26). Sie müs­sen zudem sicher­stel­len, dass alle rele­van­ten Betriebs­da­ten auto­ma­tisch pro­to­kol­liert und für einen fest­ge­leg­ten Zeit­raum auf­be­wahrt wer­den, und sie müs­sen sich beim Ein­satz des HRAIS an die Anwei­sun­gen des Anbie­ters hal­ten (Art. 26 Abs. 1). Sie müs­sen fer­ner dafür sor­gen, die Input­da­ten zweck­kon­form (d.h. dem Zweck des HRAIS ange­mes­sen) und aus­rei­chend reprä­sen­ta­tiv sind (Art. 26 Abs. 4 → 36).

Zen­tral ist zudem die mensch­li­che Über­wa­chung: Der Betrei­ber muss sicher­stel­len, dass wäh­rend des Betriebs eine mensch­li­che Über­wa­chung mög­lich ist (Art. 26 Abs. 2), und er muss den Betrieb des Systems kon­ti­nu­ier­lich über­wa­chen (Art. 26 Abs. 5). Bei Ver­dacht auf ein beson­de­res Risi­ko i.S.v. Art. 79 Abs. 1 (→ 45) müs­sen sie den Anbie­ter oder Händ­ler und die Markt­über­wa­chungs­be­hör­de ent­spre­chend infor­mie­ren und die Ver­wen­dung des HRAIS ein­stel­len (Art. 26 Abs. 5; was vor­aus­setzt, dass sie ent­spre­chend reagie­ren kön­nen). Im Fall eines schwer­wie­gen­den Vor­falls (→ 45) fest­ge­stellt, ist sofort den Anbie­ter und dann der Ein­füh­rer oder Händ­ler und die Markt­über­wa­chungs­be­hör­de zu infor­mie­ren (vgl. auch Art. 73).
17HRAISBetrei­berEin­satz am ArbeitsplatzSetzt ein Arbeit­ge­ber ein HRAIS am Arbeits­platz ein, muss er die Arbeit­neh­mer und die Arbeit­neh­mer­ver­tre­ter infor­mie­ren, dass sie von der Ver­wen­dung betrof­fen sein wer­den (Art. 26 Abs. 7). Vor­be­hal­ten sind Mit­wir­kungs­pflich­ten nach dem anwend­ba­ren Recht.
18HRAISBetrei­berVer­wen­dung für EntscheidungenBeson­de­re Anfor­de­run­gen gel­ten, wenn ein HRAIS für Ent­schei­dun­gen ein­ge­setzt wer­den soll (es kann auch sein, dass ein AIS dadurch zum HRAIS wird: Art. 25 und Anhang III → 28). Wenn das HRAIS Ent­schei­dun­gen trifft, die recht­li­che oder ande­re signi­fi­kan­te Aus­wir­kun­gen haben, müs­sen die Betrof­fe­nen infor­miert wer­den (Art. 13 und 25 Abs. 11 → 37), und bei auto­ma­ti­sier­ten AI-Ent­schei­dun­gen haben betrof­fe­ne Per­so­nen das Recht, dage­gen Ein­spruch zu erhe­ben (Art. 86; zudem kön­nen natür­lich die ein­schlä­gi­gen Anfor­de­run­gen des anwend­ba­ren Daten­schutz­rechts grei­fen). Zudem muss der Betrei­ber sicher­stel­len, dass die Ein­ga­be­da­ten für das System rele­vant, kor­rekt und aktu­ell sind (s. oben).
19HRAISBetrei­berBio­me­tri­sche FernidentifikationWird ein HRAIS für die bio­me­tri­sche Fern­iden­ti­fi­ka­ti­on 4i.S.v. Anhang III Ziff. I lit. a ein­ge­setzt, müs­sen die Ergeb­nis­se durch min­de­stens zwei natür­li­che, kom­pe­ten­te Per­so­nen getrennt über­prüft und bestä­tigt wer­den, bevor Ent­schei­dun­gen gefällt oder Mass­nah­men getrof­fen wer­den (Art. 15 Abs. 4).
20HRAISBetrei­berEin­satz eines Emo­ti­ons­er­ken­nungs­sy­stems oder zur bio­me­tri­schen KategorisierungBeim Ein­satz eines Emo­ti­ons­er­ken­nungs­sy­stems oder eines Systems zur bio­me­tri­schen Kate­go­ri­sie­rung müs­sen die Betrei­ber die betrof­fe­nen Per­so­nen über den Betrieb und die ver­wen­de­ten Per­so­nen­da­ten infor­mie­ren (→ 37).
21HRAISBetrei­berEin­tritt eines schwer­wie­gen­den VorfallsBei Fest­stel­lung eines schwer­wie­gen­den Vor­falls muss der Betrei­ber sofort sowohl den Anbie­ter und dann den Ein­füh­rer oder Händ­ler als auch die zustän­di­gen Markt­über­wa­chungs­be­hör­den infor­mie­ren (Art. 26 Abs. 5 und Art. 72 → 45).
22AISBetrei­berBetriebIm Betrieb eines AIS gel­ten nur die Anfor­de­rung an AI Liter­a­cy (→ 38).
23AISBetrei­berEin­satz für DeepfakesWird ein AIS (das auch ein HRAIS sein kann) für Deepf­akes ver­wen­det, muss der Betrei­ber die künst­li­che Her­stel­lung offen­le­gen (Art. 50 Abs. 4 → 37).
24AISBetrei­berGene­rie­rung von OutputSet­zen Betrei­ber ein AIS ein, um Text zu erzeu­gen oder mani­pu­lie­ren, und wird der Text ver­öf­fent­licht, um die Öffent­lich­keit über Ange­le­gen­hei­ten von öffent­li­chem Inter­es­se zu infor­mie­ren, müs­sen sie die künst­li­che Her­stel­lung bzw. die Mani­pu­la­ti­on offen­le­gen (Art. 50 Abs. 4 → 37).
GPAIM
25Anbie­terInver­kehr­brin­gen eines GPAIM in der EUAnbie­ter eines GPAIM fal­len in den Anwen­dungs­be­reich des AIA, wenn sie in der EU ein GPAIM in Ver­kehr brin­gen (→ 18). In die­sem Fall müs­sen sie einen Bevoll­mäch­tig­ten in der EU bestel­len (→ 26).
26Anbie­terAnbie­ten eines GPAIM für den Ein­bau in ein AISDer AIA ver­steht GPAIM nicht als HRAIS, son­dern als Vor­stu­fe zu einem AIS (→ 39). Der Anbie­ter des GPAI-Modells muss Anbie­ter, die GPAIM ver­bau­en, des­halb über das GPAI-Modell und sei­ne Ent­wick­lung infor­mie­ren, nach den Vor­ga­ben von Anhang XII (Art. 53 Abs. 1 lit. b). Er muss ins­be­son­de­re eine tech­ni­sche Doku­men­ta­ti­on erstel­len (Art. 53 Abs. 1 lit. a), aber nicht wie bei HRAIS-Anbie­tern nach Anhang IV, son­dern nach dem eige­nen Anhang XI.

Weil GPAI-Model­le meist LLMs sind, die mit einer Mas­se von Daten trai­niert wer­den, muss der Anbie­ter des Modells fer­ner eine Poli­cy zur Ein­hal­tung des euro­päi­schen Urhe­ber­rechts haben (Art. 53 Abs. 1 lit. c; sie­he Q0), und er muss Anga­ben über die Trai­nings­da­ten öffent­lich zur Ver­fü­gung stel­len (Art. 53 Abs. 1 lit. d; dafür soll das AI Office → 52 eine Vor­la­ge aus­ar­bei­ten).

Von die­sen Pflich­ten aus­ge­nom­men sind aller­dings Anbie­ter, die das GPAIM im Rah­men einer frei­en und quell­of­fe­nen Lizenz (FOSS), wenn sie die Para­me­ter des Modells öffent­lich zugäng­lich machen. Davon gilt wie­der­um eine Gegen­aus­nah­me bei GPAI-Model­len mit syste­mi­schen Risi­ken (→ 39).

Die all­ge­mei­nen Anfor­de­run­gen an HRAIS-Anbie­ter gel­ten für GPA­IM-Anbie­ter dem­ge­gen­über nicht (→ 39; solan­ge sie nicht auch HRAIS-Anbie­ter sind).
27Anbie­terAnbie­ten eines GPAIM mit syste­mi­schen RisikenDer Anbie­ter eines GPAIM mit syste­mi­schen Risi­ken (→ 39) hat die Pflich­ten aller GPA­IM-Anbie­ter. Zusätz­lich muss er das Modell zunächst der EU-Kom­mis­si­on mel­den, spä­te­stens zwei Wochen, nach­dem das Modell die Schwel­le der syste­mi­schen Risi­ken erreicht hat (Art. 52 Abs. 1). Die Kom­mis­si­on pflegt eine ent­spre­chen­de, öffent­li­che Liste (Art. 52 Abs. 6), wobei der Anbie­ter ver­su­chen kann, sein Modell als nicht syste­misch rele­vant strei­chen zu las­sen (→ 41).

Wei­ter ist der ent­spre­chen­de Anbie­ter nach Art. 55 Abs. 1 ver­pflich­tet,

– syste­mi­sche Risi­ken zu bewer­ten und ggf. zu miti­gie­ren,

– das Modell mit Blick auf das Risi­ko­ma­nage­ment zu bewer­ten, auch durch Angriffs­tests (Adver­sa­ri­al Test­ing bzw. Red Team­ing),

– Infor­ma­tio­nen über schwer­wie­gen­de Vor­fäl­le (→ 45) und mög­li­che Min­de­rungs­mass­nah­men zu doku­men­tie­ren und das AI Office (→ 52) sofort ent­spre­chend zu infor­mie­ren,

– ange­mes­se­ne Cyber­si­cher­heit zu gewährleisten.
36. Was gilt für das Trai­ning, Vali­die­ren und Testen von KI-Systemen?

Tests und Vali­die­run­gen und ins­be­son­de­re das Trai­ning sind zen­tra­le Aspek­te bei AIS. Der AIA ent­hält dafür beson­de­re Regelungen:

  • Anbie­ter sind ver­pflich­tet, das HRAIS vor dem Inver­kehr­brin­gen bzw. vor der Inbe­trieb­nah­me zu testen (Art. 9 Abs. 6).

  • Für die für das Trai­ning und für Test­zwecke ver­wen­de­ten Daten (vgl. Art. 3 Nr. 29 und 31) müs­sen geeig­ne­te „Daten-Gover­nan­ce- und Daten­ver­wal­tungs­ver­fah­ren“ zur Anwen­dung kom­men (Art. 10 Abs. 1 und 2). Dabei ist ins­be­son­de­re zu regeln, wie die ent­spre­chen­den kon­zep­tio­nel­len Ent­schei­dun­gen getrof­fen wer­den, wel­che Daten erfor­der­lich sind und wie sie beschafft wer­den (ins­be­son­de­re Per­so­nen­da­ten), wie Daten auf­be­rei­tet wer­den (bspw. durch Anno­ta­ti­on, Label­ling, Berei­ni­gung, Aktua­li­sie­rung, Anrei­che­rung und Agg­re­gie­rung), wie Prüf­hy­po­the­sen gebil­det wer­den und wie mit einem mög­li­chen Bias umzu­ge­hen ist (Art. 10 Abs. 2).

  • Trainings‑, Vali­die­rungs- und Test­da­ten müs­sen – mit Blick auf die bestim­mungs­ge­mä­sse Ver­wen­dung des HRAIS – mög­lichst rele­vant, reprä­sen­ta­tiv, feh­ler­frei und voll­stän­dig sein. Dazu gehört auch, dass sie über geeig­ne­te sta­ti­sti­sche Merk­ma­le ver­fü­gen (Art. 10 Abs. 3), und den Kon­text ihrer Ver­wen­dung abbil­den bzw. berück­sich­ti­gen (Abs. 4).

  • Unter Umstän­den kann ein Bias nur ver­hin­dert oder ent­deckt wer­den, wenn die für Trai­nings, Tests und Vali­die­run­gen ver­wen­de­ten Daten Per­so­nen­da­ten ent­hal­ten. Für die­sen Fall ent­hält Art. 10 Abs. 5 aus­nahms­wei­se eine Rechts­grund­la­ge i.S.v. Art. 6 und 9 DSGVO, d.h. sogar für beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten, sofern dabei bestimm­te Vor­aus­set­zun­gen zur Gewähr­lei­stung der Daten­spar­sam­keit und zum Schutz der betref­fen­den Daten ein­ge­hal­ten wer­den. Dies muss im Ver­ar­bei­tung­ver­zeich­nis doku­men­tiert werden.

  • Der Anbie­ter muss die nach­ge­la­ger­ten Akteu­re infor­mie­ren, ins­be­son­de­re über die tech­ni­sche Doku­men­ta­ti­on und die Betriebs­an­lei­tung (→ 35). Die tech­ni­sche Doku­men­ta­ti­on muss u.a. Anga­ben über das Trai­ning und die ver­wen­de­ten Trai­nings­da­ten­sät­ze ent­hal­ten (Anhang IV Ziff. 2 lit. d; eben­so für Anbie­ter eines GPAIM nach Anhang XI Ziff. 2 lit. b und nach Anhang XII Ziff. 2 lit. c, wenn das GPAIM in ein AIS inte­griert wer­den soll), und die Betriebs­an­lei­tung muss eben­falls Anga­ben über die ver­wen­de­ten Trainings‑, Vali­die­rungs- und Test­da­ten­sät­ze ent­hal­ten (Art. 13 Abs. 3 lit. b Ziff. 6).

  • HRAIS müs­sen gene­rell ein aus­rei­chen­des Mass an Cyber­si­cher­heit gewähr­lei­sten. Dazu gehört auch ein aus­rei­chen­der Schutz gegen Angrif­fe in der Trai­nings­pha­se, bspw. durch Mani­pu­la­ti­on der Trai­nings­da­ten („data poi­so­ning“) oder vor­trai­nier­ter Kom­po­nen­ten wie bspw. einem GPAIM, die beim Trai­ning zum Ein­satz kom­men („model poi­so­ning“; Art. 15 Abs. 5).

  • Anbie­ter eines GPAIM müs­sen ana­log zum Anbie­ter eines HRAIS in der tech­ni­schen Doku­men­ta­ti­on das Trai­nings- und Test­ver­fah­ren doku­men­tie­ren (Art. 53 Abs. 1 lit. a), und sie müs­sen eine Zusam­men­fas­sung der für das Trai­ning ver­wen­de­ten Inhal­te erstel­len und ver­öf­fent­li­chen (Art. 53 Abs. 1 lit. d; mit Aus­nah­me von FOSS).

  • Die Men­ge der für das Trai­ning ver­wen­de­ten Berech­nun­gen ist mass­ge­bend für die Ein­stu­fung eines GPAIM als ein sol­ches mit syste­mi­schen Risi­ken (Art. 51 Abs. 2).

  • Die Markt­über­wa­chungs­be­hör­den kön­nen Zugang u.a. zu den Trainings‑, Vali­die­rungs- und Test­da­ten­sät­zen ver­lan­gen (Art. 74 Abs. 12).

  • Erleich­te­run­gen für das Trai­ning gel­ten sodann im Rah­men der Real­la­bo­re (→ 48).

Die­se Pflich­ten rich­ten sich natur­ge­mäss an die Anbie­ter. Betrei­ber haben ande­re, eige­ne Pflich­ten mit Bezug auf die Daten­qua­li­tät (→ 35).

37. Wie adres­siert der AI Act die Trans­pa­renz­pflich­ten für KI-Syste­me, ins­be­son­de­re bei auto­ma­ti­sier­ten Entscheidungen?

Der AI Act legt beson­de­res Gewicht auf Trans­pa­renz, ins­be­son­de­re bei AIS, die Ent­schei­dun­gen tref­fen. Das kann auch bei AIS gel­ten, die kei­ne HRAIS sind. Ins­be­son­de­re das ei gene Kapi­tel IV ent­hält mit sei­nem ein­zi­gen Art. 50 ent­spre­chen­de Vor­ga­ben, wobei die ersten bei­den Absät­ze Anbie­ter und die fol­gen­den bei­den Absät­ze Betrei­ber betreffen.

Anbie­ter haben ins­be­son­de­re die fol­gen­den Pflichten:

  • System­ge­stal­tung: Anbie­ter müs­sen das HRAIS so kon­zi­pie­ren, dass der Betrieb trans­pa­rent ist, d.h. dass die Aus­ga­ben inter­pre­tier- und bewusst ver­wend­bar sind (Art. 13 Abs. 1). Wie dies zu gewähr­lei­sten ist, gibt der AIA nicht abschlie­ssend vor.

  • Betriebs­an­lei­tung: HRAIS müs­sen jeweils von einer Betriebs­an­lei­tung beglei­tet wer­den (→ 35 Nr. 6).

  • Inter­ak­ti­on mit Betrof­fe­nen: Bei AIS, die zur Inter­ak­ti­on mit Betrof­fe­nen vor­ge­se­hen sind (z.B. Chat­bots), müs­sen die­se über die Inter­ak­ti­on mit einem AIS ins Bild gesetzt wer­den – es sei denn, es sei in den Umstän­den offen­sicht­lich (Art. 50 Abs. 1), bspw. bei einem Über­set­zungs­dienst oder einem Chat­bot wie ChatGPT. Dies müs­sen ggf. die Anbie­ter des ent­spre­chen­den AIS sicher­stel­len. Dazu kann oft schon die Bezeich­nung als „Bot“ genügen.

  • Syn­the­ti­sche Inhal­te: Anbie­ter von AIS müs­sen syn­the­ti­sche Aus­ga­ben in einem maschi­nen­les­ba­ren For­mat kenn­zeich­nen und sicher­stel­len, dass sie als künst­lich erzeugt oder mani­pu­liert erkenn­bar sind (Art. 50 Abs. 2). Die­se Pflicht betrifft wie­der­um Anbie­ter, nicht Betrei­ber (dazu den näch­sten Punkt). Zu ver­wei­sen ist hier auf die Arbei­ten der Coali­ti­on for Con­tent Pro­ven­an­ce and Authen­ti­ci­ty (C2PA; https://c2pa.org/).

Aus­ge­nom­men sind HRAIS mit einer bloss unter­stüt­zen­den Funk­ti­on für eine Stan­dard­be­ar­bei­tung oder ohne wesent­li­che Ver­än­de­rung des Inputs. Kei­ne Kenn­zeich­nungs­pflicht gilt daher etwa für DeepL oder ChatGPT bear­bei­te­te, von einem Men­schen ver­fass­te Tex­te. Über den Wort­laut hin­aus muss das ana­log zu Art. 50 Abs. 4 auch gel­ten, wenn ein Text von einem AIS gene­riert, aber von einem Men­schen über­ar­bei­tet oder zumin­dest rele­vant kon­trol­liert wur­de; in die­sem Fall hat sich der Mensch den Text zu eigen gemacht, wes­halb er nicht mehr als syn­the­tisch behan­delt wer­den sollte.

  • Mensch­li­che Auf­sicht: Art. 14 ent­hält Vor­ga­ben zur Gewähr­lei­stung mensch­li­cher Auf­sicht, die eben­falls einen Trans­pa­renz­aspekt haben.

Betrei­ber haben ins­be­son­de­re die fol­gen­den Pflichten:

  • Deepf­akes: Deepf­akes sind nach Art. 3 Nr. 60 Bild‑, Ton- oder Video­in­hal­te, die wirk­li­chen Per­so­nen, Gegen­stän­den, Orten, Ein­rich­tun­gen oder Ereig­nis­sen täu­schend ähn­lich sind. Betrei­ber – hier geht es nun um die Ver­wen­dung des AIS, nicht mehr sei­ne Ent­wick­lung – müs­sen in die­sem Fall offen­le­gen, dass die Inhal­te künst­lich erzeugt oder mani­pu­liert wur­den (Art. 50 Abs. 4).

Bei offen­sicht­lich künst­le­ri­schen, krea­ti­ven, sati­ri­schen, fik­tio­na­len oder ana­lo­gen Wer­ken muss der Hin­weis auf die künst­li­che Her­stel­lung oder Mani­pu­la­ti­on so erfol­gen, dass die Dar­stel­lung oder den Genuss des Werks nicht beein­träch­tigt wird.

  • Gene­ra­ti­ve AIS: Betrei­ber eines gene­ra­ti­ven AIS müs­sen offen­le­gen, dass die Inhal­te künst­lich erzeugt oder mani­pu­liert wur­den (Art. 50 Abs. 4). Das betrifft aller­dings nur ver­öf­fent­lich­te Tex­te, wenn es um die Infor­ma­ti­on der Öffent­lich­keit über Ange­le­gen­hei­ten von öffent­li­chem Inter­es­se geht, und nicht, soweit die gene­rier­ten Tex­te mensch­lich über­prüft oder redak­tio­nell kon­trol­liert wur­den und jemand die redak­tio­nel­le Ver­ant­wor­tung für die Ver­öf­fent­li­chung trägt. Eine Aus­nah­me gilt sodann für den Strafverfolgungsbereich.

  • Emo­ti­ons­er­ken­nung: Der Betrei­ber eines (nicht ver­bo­te­nen → 27) Emo­ti­ons­er­ken­nungs­sy­stems oder eines Systems zur bio­me­tri­schen Kate­go­ri­sie­rung müs­sen die betrof­fe­nen natür­li­chen Per­so­nen infor­mie­ren (Art. 50 Abs. 3; wie­der­um mit einer Aus­nah­me für den Bereich der Strafverfolgung).

  • Ent­schei­dun­gen: Wenn der Betrei­ber eines HRAIS nach Anhang III (Use Cases → 28) das HRAIS ver­wen­det, um eine Ent­schei­dung zu fäl­len oder dabei zu unter­stüt­zen, die natür­li­che Per­so­nen betrifft, müs­sen die­se ent­spre­chend infor­miert wer­den (Art. 26 Abs. 11).

  • Mensch­li­che Auf­sicht: Art. 26 ent­hält Vor­ga­ben an Betrei­ber zur Wahr­neh­mung mensch­li­cher Auf­sicht, die eben­falls einen Trans­pa­renz­aspekt haben.

Die Pflicht­in­for­ma­ti­on muss jeweils spä­te­stens bei der der ersten Inter­ak­ti­on oder Aus­set­zung klar, ein­deu­tig und bar­rie­re­frei bereit­ge­stellt wer­den (Art. 50 Abs. 5).

Bei GPAIM wer­den eben­falls Trans­pa­renz­mas­sah­men vor­ge­ge­ben, aber sepa­rat in Art. 53 (vgl. → 40 und 42). Wei­te­re Anfor­de­run­gen kön­nen nach ande­ren Vor­ga­ben gel­ten, bspw. bei der Bear­bei­tung von Per­so­nen­da­ten aus den Infor­ma­ti­ons- und Trans­pa­renz­pflich­ten des anwend­ba­ren Datenschutzrechts.

38. Wel­che Anfor­de­run­gen stellt der AI an “AI Literacy”?

AI Liter­a­cy“ bzw. „KI-Kom­pe­tenz“ meint die für eine sach­kun­di­ge und risi­ko­be­wuss­te Ver­wen­dung eines AIS erfor­der­li­chen Fähig­kei­ten (Art. 3 Nr. 56). Art. 4 ver­langt daher Mass­nah­men, um dem Per­so­nal und Hilfs­per­so­nen die­se Kom­pe­tenz zu ver­mit­teln (soweit sie mit einem AIS umge­hen sol­len). Dafür kom­men vor allem Schu­lun­gen, Anlei­tun­gen und ande­re Infor­ma­tio­nen in Betracht.

Die­ses „Ups­kil­ling“ ist die ein­zi­ge aus­drück­li­che Pflicht, die der AIA den Anbie­tern und Betrei­bern aller AIS auf­er­legt. Sol­che AIS kön­nen aber unter sek­to­ri­el­le Vor­ga­ben fal­len, und wenn sie an Kon­su­men­ten abge­ge­ben wer­den, kann das all­ge­mei­ne Pro­duk­te­si­cher­heits­recht gel­ten. Ob das schwei­ze­ri­sche PrHG auch für AIS gilt, die nicht in ein Pro­dukt wie bspw. einen Robo­ter ver­baut wur­de, ist nicht abschlie­ssend geklärt. Wei­te­re Pflich­ten erge­ben sich bei AIS in beson­de­ren Kon­stel­la­tio­nen aus den Trans­pa­renz­an­for­de­run­gen (→ 37).

GPAI

39. Was ist ein AI-Modell mit all­ge­mei­nem Ver­wen­dungs­zweck (GPAIM)?

GPAIM wer­den im eige­nen Kapi­tel V sepa­rat gere­gelt. Das ist der Gesetz­ge­bungs­hi­sto­rie zuzu­schrei­ben, bei der die Rege­lung von GPAI bis zuletzt strit­tig war (→ 3). Inner­halb der GPAI-Model­le wird eine beson­ders heik­le Kate­go­rie gere­gelt, die GPAI-Model­le „mit syste­mi­schen Risi­ken“ (→ 41).

GPAIM sind „KI-Model­le“ (kein defi­nier­ter Begriff), die all­ge­mein ver­wend­bar sind, ein „brei­tes Spek­trum unter­schied­li­cher Auf­ga­ben kom­pe­tent“ erfül­len und die in nach­ge­la­ger­te AIS inte­griert wer­den kön­nen (Art. 3 Nr. 63). Es geht dabei vor allem um Lar­ge Lan­guage Models (LLMs) wie bspw. ChatGPT oder Clau­de von Anthro­pic usw. Eine all­ge­mei­ne Ver­wend­bar­keit wird ver­mu­tet, wenn ein Modell min­de­stens eine Mil­li­ar­de Para­me­ter auf­weist und mit einer gro­ssen Daten­men­ge „unter umfas­sen­der Selbst­über­wa­chung trai­niert“ wur­de (ErwG 98 → 12). Kein GPAIM wäre dage­gen ein Modell, bspw. ein LLM, das für einen engen Anwen­dungs­be­reich trai­niert wurde.

Wesent­lich ist dabei, dass ein GPAIM kein AIS ist. Es wird erst durch Hin­zu­fü­gung wei­te­rer Kom­po­nen­ten zum AIS und ggf. zum HRAIS (ErwG 97: „soll­te klar bestimmt und vom Begriff der KI-Syste­me abge­grenzt wer­den“; „obwohl KI-Model­le wesent­li­che Kom­po­nen­ten von KI-Syste­men sind, stel­len sie für sich genom­men kei­ne KI-Syste­me dar“). Also: GPAI-Modell + wei­te­re Kom­po­nen­te = AIS. Es braucht wenig für den Schritt vom GPAI-Modell zum (HR)AIS: Es reicht eine Nut­zer­schnitt­stel­le (ErwG 63).

Mög­lich ist fer­ner auch, das ein GPAIM in ein ande­res Modell ver­baut und die­ses dadurch zum GPAIM wird (ErwG 100). LLMs kön­nen auch wei­ter trai­niert wer­den (z.B. durch Fine­tu­ning → 12). Wenn sich der Anwen­dungs­be­reich dadurch aus­rei­chend ver­engt, ist es denk­bar, dass das ent­spre­chen­de Modell kei­ne all­ge­mei­ne Ver­wend­bar­keit mehr hat.

Der Anbie­ter eines GPAIM – also die­je­ni­ge Stel­le, die das GPAIM ent­wickelt und in Ver­kehr bringt – wird also zum Anbie­ter des (HR)AIS, sobald er das GPAIM einem kon­kre­ten Ein­satz zuführt und das resul­tie­ren­de AIS auf dem Markt bereit­ge­stellt oder in Betrieb genom­men wird. Die­ser Logik fol­gend ver­langt Art. 53 u.a., dass der GPA­IM-Pro­vi­der dem nach­ge­la­ger­ten AIS-Pro­vi­der bestimm­te Infor­ma­tio­nen zur Ver­fü­gung stel­len muss (und zwar auch dann, wenn die­ses kein HRAIS ist).

Ein LLM (→ 12) von Ope­nAI wäre ein Bei­spiel eines GPAI-Modells. ChatGPT ver­fügt dage­gen über eine Nut­zer­schnitt­stel­le und dürf­te ent­spre­chend ein AIS sein (auch wenn das nicht unstrit­tig ist). Ver­wen­det ein Drit­ter ein Modell von Ope­nAI und baut damit sei­nen eige­nen Chat­bot, so ist die­ser Drit­te und nicht Ope­nAI der Anbie­ter des Chat­bots als AIS. Das gilt selbst­ver­ständ­lich auch dann, wenn der ent­spre­chen­de Drit­te den Chat­bot durch ein Fine­tu­ning wei­ter sei­nen eige­nen Bedürf­nis­sen anpasst.

Neben dem GPAIM defi­niert der AIA auch GPAIS (KI-Syste­me mit all­ge­mei­nem Ver­wen­dungs­zweck; Art. 3 Nr. 66). GPAIS sind ein Unter­fall von AIS und unter­ste­hen den ent­spre­chen­den Rege­lun­gen. Der AIA erwähnt GPAIS des­halb nur am Ran­de (in Art. 3 Nr. 68, Art. 25 Abs. 1 lit. c, Art. 50 Abs. 2 und Art. 75 Abs. 2, und in eini­gen Erwägungsgründen).

40. Wel­che Pflich­ten haben Anbie­ter von GPAIM?

Die Pflich­ten des GPA­IM-Anbie­ters (→ 20) wer­den wie erwähnt in einem eige­nen Kapi­tel gere­gelt. Die Anfor­de­run­gen an HRAIS-Anbie­ter – ins­be­son­de­re Art. 16 AIA und die dort ver­wie­se­nen Bestim­mun­gen – gel­ten für GPA­IM-Anbie­ter nicht. GPA­IM-Anbie­ter müs­sen aber:

  • eine tech­ni­sche Doku­men­ta­ti­on des GPAIM erstel­len, ein­schliess­lich des Trai­nings- und Test­ver­fah­rens und der Ergeb­nis­se der Bewer­tung. Die Min­dest­in­for­ma­tio­nen legt Anhang XI fest. Auf Anfra­ge ist sie dem AI Office und den zustän­di­gen natio­na­len Behör­den zur Ver­fü­gung zu stel­len (Art. 53 Abs. 1 lit. a). Davon gilt eine Aus­nah­me für FOSS (Art. 53 Abs. 2);

  • wei­te­re Infor­ma­tio­nen über das GPAIM doku­men­tie­ren (ins­be­son­de­re nach Anhang XII) und die­se den Anbie­tern nach­ge­la­ger­ter AIS zur Ver­fü­gung stel­len (Art. 53 Abs. 1 lit. b). Davon gilt eben­falls die Aus­nah­me für FOSS (Art. 53 Abs. 2);

  • über eine Stra­te­gie zur Ein­hal­tung des EU-Urhe­ber­rechts ver­fü­gen. Dazu gehört auch eine Anga­be dazu, wie im Fall der Text and data Mining-Aus­nah­me (→ 59) ein Nut­zungs­vor­be­halt i.S.v. Art. 4 Abs. 3 der Urhe­ber­rechts-Richt­li­nie (https://dtn.re/c6zFb9)) ein­ge­hal­ten wird (Art. 53 Abs. 1 lit. c. Dabei ist zu beach­ten, dass die­se Anfor­de­rung nach ErwG 106 wohl auch für ausser­eu­ro­päi­sche GPA­IM-Anbie­ter gilt, die ein GPAIM in der EU in Ver­kehr bringen;

  • eine Zusam­men­fas­sung der Trai­nings­da­ten ver­öf­fent­li­chen (dafür soll das AI Office eine Vor­la­ge aus­ar­bei­ten), unter Vor­be­halt von Geschäfts­ge­heim­nis­sen (ErwG 107).

Sie müs­sen fer­ner ggf. einen Bevoll­mäch­tig­ten bestel­len (Art. 54 AIA → 26). Wie anders­wo kann die Kom­mis­si­on die Anfor­de­run­gen wei­ter kon­kre­ti­sie­ren (→ 51).

41. Wie regelt der AIA GPAIM mit syste­mi­schen Risiken?

Syste­mi­sche Risi­ken sind Risi­ken, die sich auf­grund der „Reich­wei­te“ des GPAIM oder auf­grund mög­li­cher nega­ti­ver Fol­gen „für die öffent­li­che Gesund­heit, die Sicher­heit, die öffent­li­che Sicher­heit, die Grund­rech­te oder die Gesell­schaft ins­ge­samt“ erheb­li­che Aus­wir­kun­gen haben und sich über die gesam­te Wert­schöp­fungs­ket­te hin­weg ver­brei­ten kön­nen (Art. 3 Nr. 65).

Ob dies auf ein GPAIM zutrifft, ent­schei­det sich aller­dings nicht nach der Legal­de­fi­ni­ti­on, son­dern nach den Kri­te­ri­en von Art. 51 Abs. 1. Ein syste­mi­sches Risi­ko liegt danach in zwei Fäl­len vor:

  • Wenn das GPAIM über „Fähig­kei­ten mit hohem Wir­kungs­grad“ ver­fügt, was durch geeig­ne­ter Metho­den wie bspw. Bench­marks zu bewer­ten ist (Art. 51 Abs. 1 lit. a), aber jeden­falls dann vor­liegt, wenn das „die kumu­lier­te Men­ge der für sein Trai­ning ver­wen­de­ten Berech­nun­gen“ mehr als 1025 Gleit­kom­ma­ope­ra­tio­nen beträgt. Gleitkomma­opera­tionen wie­der­um wer­den in Art. 3 Nr. 67 als mathe­ma­ti­sche Grö­sse defi­niert. Die­ser Schwel­len­wert dürf­te in Zukunft ange­passt wer­den (ErwG 111).

  • wenn die EU-Kom­mis­si­on ent­schei­det, dass ein syste­mi­sches Risi­ko besteht, wobei Anhang XIII die ent­spre­chen­den Kri­te­ri­en lie­fert (lit. b und Art. 52 Abs. 4 – 5). Es geht um die Lei­stungs­fä­hig­keit des Modells, aus­ge­drückt u.a. durch die Anzahl Para­me­ter oder den Umfang der Trai­nings­da­ten, aber auch die Grö­sse des Markts des Modells.

Der Anbie­ter muss das GPAIM mit syste­mi­schen Risi­ken zunächst der Kom­mis­si­on mel­den (→ 51), so bald wie mög­lich, wenn das GPAIM die Schwel­le der syste­mi­schen Risi­ken erreicht hat, spä­te­stens aber nach zwei Wochen (Art. 52 Abs. 1). Er kann sodann nach­zu­wei­sen ver­su­chen, dass sein GPAIM aus­nahms­wei­se den­noch kei­ne syste­mi­schen Risi­ken mit sich bringt, wenn die initia­le Qua­li­fi­ka­ti­on auf dem mate­ri­el­len Kri­te­ri­um von Art. 51 Abs. 1 lit. a beruht. Er muss der Kom­mis­si­on dazu ent­spre­chen­de Argu­men­te vor­tra­gen. Über­zeugt er die Kom­mis­si­on nicht, wird das GPAIM auf der Liste der syste­mi­schen Risi­ken ein­ge­tra­gen (Art. 51 Abs. 3). – Hat die Kom­mis­si­on das GPAIM von Amts wegen als syste­misch ris­kant ein­ge­stuft, kann der Anbie­ter jeder­zeit Wie­der­erwä­gung ver­lan­gen (Art. 51 Abs. 5).

42. Wel­che Pflich­ten haben Anbie­ter von GPAIM mit syste­mi­schen Risiken?

Anbie­ter vom GPAIM mit syste­mi­schen Risi­ken haben zusätz­li­che Pflich­ten, d.h. zusätz­lich zu den Pflich­ten der Anbie­ter von weni­ger heik­lem GPAIM. Sie müs­sen (Art. 55):

  • das GPAIM stan­dar­di­siert bewerten;

  • syste­mi­sche Risi­ken auf Ebe­ne EU bewer­ten und reduzieren;

  • Infor­ma­tio­nen über schwer­wie­gen­de Vor­fäl­le und mög­li­che Abhil­fe­mass­nah­men doku­men­tie­ren und ggf. das AI Office und die zustän­di­gen natio­na­len Behör­den infor­mie­ren; und

  • aus­rei­chen­de Cyber­si­cher­heit gewährleisten.

AIS im Betrieb

43. Wie ist die Markt­über­wa­chung geregelt?

Die Markt­über­wa­chung ist ein zen­tra­les Ele­ment des AIA – sie soll sowohl die Com­pli­ance von AIS im Inter­es­se der betrof­fe­nen Per­so­nen als auch ein Level Play­ing Field sicherstellen.

Anbie­ter müs­sen des­halb ein System zur Markt­be­ob­ach­tung nach dem Inver­kehr­brin­gen von HRAIS ein­rich­ten und doku­men­tie­ren (Art. 71 Abs. 1). Dazu gehört die Erhe­bung, Doku­men­ta­ti­on und Aus­wer­tung von Daten über die Lei­stung der HRAIS (die u.U. über die Betrei­ber beschafft wer­den) wäh­rend des gesam­ten Life­cy­cle des HRAIS.

Die­ses System umfasst ins­be­son­de­re einen Plan für die Beob­ach­tung der HRAIS nach ihrem Inver­kehr­brin­gen. Die­ser Plan wie­der­um ist Teil der tech­ni­schen Doku­men­ta­ti­on nach Anhang 4 (→ 35 Nr. 6); die Kom­mis­si­on soll noch fest­le­gen, wie ein sol­cher Plan aus­se­hen soll (Art. 72 Abs. 3). Soweit ein HRAIS unter Anhang I Abschnitt A fällt (bspw. Medi­zin­pro­duk­te), kön­nen Anbie­ter die Anfor­de­run­gen des AIA auch in den schon vor­han­de­nen Syste­men und Plä­nen inte­grie­ren (Art. 72 Abs. 4).

Eben­falls zur Markt­über­wa­chung gehö­ren die Pflicht, bei Non-Com­pli­ance zu reagie­ren (→ 44), bestimm­te Vor­fäl­le zu mel­den (→ 45), und die ent­spre­chen­den Befug­nis­se der Behörden.

All­ge­mei­ner stel­len AIS grund­sätz­lich auch Pro­duk­te im Sin­ne der Mark­tü
ber­wa­chungs­ver­ord­nung
dar (Art. 74 Abs. 1; https://dtn.re/JgakBQ)). Die Markt­über­wa­chungs­be­hör­den (→ 55) kön­nen daher aktiv wer­den, wann immer ein AIS – es muss kein HRAIS sein – wahr­schein­lich die Gesund­heit oder Sicher­heit der Nut­zer gefähr­det anwend­ba­ren Har­mo­ni­sie­rungs­rechts­vor­schrif­ten nicht ent­spricht (Art. 16 Abs. 1 der Marktüberwachungsverordnung.

44. Was gilt, wenn ein HRAIS nicht (mehr) com­pli­ant ist?

Nicht erst bei schwer­wie­gen­den Vor­fäl­len muss reagiert wer­den (→ 45), son­dern selbst­ver­ständ­lich auch immer dann, wenn ein HRAIS den ent­spre­chen­den Anfor­de­run­gen nicht mehr ent­spricht. Dabei nimmt der AIA nicht nur den Anbie­ter in die Pflicht, son­dern auch wei­te­re Akteure.

Haben Anbie­ter Grund zur Annah­me, dass ein HRAIS nicht mehr dem AIA ent­spricht, zu irgend­ei­nem Zeit­punkt nach dem Inver­kehr­brin­gen bzw. der Inbe­trieb­nah­me, müs­sen sie den Man­gel sofort behe­ben oder das HRAIS ggf. vom Markt zurück­zu­neh­men, deak­ti­vie­ren oder zurück­ru­fen (Art. 20 Abs. 1). „Rück­nah­me“ meint dabei, die Bereit­stel­lung eines bereits in der Lie­fer­ket­te befind­li­chen HRAIS ver­hin­dert wird (Art. 3 Nr. 17), und „Rück­ruf“ heisst, dass HRAIS zurück­ge­ge­ben oder wenig­stens ausser Betrieb gesetzt oder abge­schal­tet wer­den (Art. 3 Nr. 16).

Anbie­ter müs­sen auch den nach­ge­la­ger­ten Markt ent­spre­chend infor­mie­ren, d.h. die Händ­ler, die Betrei­ber, den Bevoll­mäch­tig­ten und die Ein­füh­rer (Art. 20 Abs. 1). Sofern das HRAIS zudem ein Risi­ko nach Art. 79 Abs. 1 AIA birgt, gel­ten die ent­spre­chen­den Pflich­ten (→ 45).

Die nach­ge­la­ger­ten Akteu­re wer­den im Fall der Non-Com­pli­ance eben­falls ein­be­zo­gen. Ein­füh­rer dür­fen das HRAIS in die­sem Fall erst in Ver­kehr brin­gen, wenn die Kon­for­mi­tät wie­der­her­ge­stellt wur­de (Art. 23 Abs. 2), und das­sel­be gilt für Händ­ler mit Bezug auf die Bereit­stel­lung auf dem Markt (Art. 24 Abs. 23).

Auch Bevoll­mäch­ti­ge haben Auf­ga­ben: Wenn sie Grund zu der Annah­me haben, dass der Anbie­ter gegen den AIA ver­stösst, müs­sen sie ihr Man­dat been­den und die zustän­di­ge Markt­über­wa­chungs­be­hör­de und ggf. die noti­fi­zier­te Stel­le dar­über und über die Grün­de infor­mie­ren (Art. 22 Abs. 4).

45. Wie ist mit Inci­dents und mit beson­de­ren Risi­ken umzugehen?

Als Teil der Markt­über­wa­chung (→ 43) müs­sen bestimm­te Vor­fäl­le doku­men­tiert und gemel­det wer­den. Die­se Pflicht trifft die Anbie­ter von HRAIS, und wird durch „schwer­wiegende Vor­fäl­le“ aus­ge­löst. Das sind Fehl­funk­tio­nen, aber auch gene­rell Vor­fäl­le, die direkt oder indi­rekt zum Tod oder zu einer schwe­ren gesund­heit­li­chen Schä­di­gung füh­ren, zu einer „schwe­ren und unum­kehr­ba­ren“ Stö­rung der Ver­wal­tung oder des Betriebs kri­ti­scher Infra­struk­tu­ren, zu einer Ver­let­zung von Grund­rech­ten oder zu schwe­ren Sach- oder Umwelt­schä­den (Art. 3 Nr. 49).

Tritt ein sol­cher Vor­fall ein, muss der Anbie­ter den Vor­fall den zustän­di­gen Markt­über­wa­chungs­be­hör­den mel­den (→ 54), wobei Son­der­re­geln für gewis­se HRAIS gel­ten. Die Mel­dung muss sofort bei Fest­stel­lung durch den Anbie­ter erfol­gen, spä­te­stens aber 15 Tage nach Kennt­nis durch den Anbie­ter oder auch durch den Betrei­ber (Art. 73 Abs. 2).

Soweit ein Vor­fall brei­te Aus­wir­kun­gen hat („wide­spread inf­rin­ge­ment“) oder eine kri­ti­sche Infra­struk­tur betrifft, ver­kürzt sich die Mel­de­frist auf zwei Tage (Art. 73 Abs. 3 AIA), und im Fall des Todes auf zehn Tage (Abs. 4). Wie im Daten­schutz­recht oder bei Mel­dun­gen gegen­über der FINMA kann mit einer Erst­mel­dung und einer Fol­ge­mel­dung gear­bei­tet werden.

Nach der Mel­dung infor­mie­ren die Markt­über­wa­chungs­be­hör­den die zustän­di­gen natio­na­len Behör­den. Soll­te es erfor­der­lich sein, müs­sen sie zudem inner­halb von sie­ben Tagen anord­nen, dass das HRAIS zurück­ge­ru­fen bzw. vom Markt genom­men oder dass die Bereit­stel­lung auf dem Markt unter­sagt wird (Art. 73 Abs. 8 i.V.m. Art. 19 der Markt­über­wa­chungs­ver­ord­nung (https://dtn.re/ElQE2G).

Der Anbie­ter muss den Vor­fall fer­ner unter­su­chen und die Risi­ken ein­schät­zen und nach Mög­lich­keit miti­gie­ren (Art. 73 Abs. 6 AIA), in Zusam­men­ar­beit mit den zustän­di­gen Behörden.

Neben den Anbie­tern haben auch Betrei­ber Pflich­ten im Fall eines schwer­wie­gen­den Vor­falls. Sie müs­sen sol­che Vor­fäl­le dem Anbie­ter mit­tei­len (Art. 26 Abs. 5 und Art. 72). Bei beson­ders heik­len HRAIS oder beim Ein­satz in kri­ti­schen Infra­struk­tu­ren sind in der Pra­xis wohl ver­trag­li­che Rege­lun­gen die­ser Mel­de­pflicht zu erwar­ten, auch wenn sie sich bereits aus dem AIA ergibt.

Von den schwer­wie­gen­den Vor­fäl­len ist der Fall zu unter­schei­den, dass ein HRAIS zu beson­de­ren Risi­ken führt, d.h. aty­pisch hohen Risi­ken für die Gesund­heit oder Sicher­heit oder Grund­rech­te (Art. 79 Abs. 1). In die­sem Fall haben ver­schie­de­ne Rol­len ent­spre­chen­de Pflich­ten. Hat eine Markt­über­wa­chungs­be­hör­de Grund zur Annah­me, dass sol­che Risi­ken vor­lie­gen, prüft sie das betref­fen­de AIS und – soll­te sich die Annah­me bestä­ti­gen – infor­miert die zustän­di­gen natio­na­len Behör­den. Auch Betrei­ber haben bei einem sol­chen System beson­de­re Pflich­ten, falls es sich um ein HRAIS handelt.

46. Wel­che Rech­te haben Betrof­fe­ne und ande­re Stellen?

Alle Per­so­nen (natür­li­che und juri­sti­sche) haben das Recht, sich bei der zustän­di­gen Markt­über­wa­chungs­be­hör­de (→ 55) zu beschwe­ren, wenn sie Grund zur Annah­me haben, dass eine Bestim­mung des AIA ver­letzt wur­de (Art. 85 Abs. 1). Dazu muss eine Per­son nicht beson­ders betrof­fen sein – auch Kon­kur­ren­ten­be­schwer­den sind möglich.

Von einer erheb­li­chen Ent­schei­dung betrof­fe­ne Per­so­nen haben wei­ter das Recht, vom Betrei­ber eine Erläu­te­rung zur Rol­le des AIS bei der Ent­schei­dung und zu den Kern­ele­men­ten der Ent­schei­dung zu ver­lan­gen (→ 35 Nr. 13).

Betrof­fe­ne haben wei­ter das Recht, eine Beschwer­de ans AI Office zu rich­ten (Art. 89 Abs. 2). Das gilt auch für Anbie­ter, die ein GPAIM in ein eige­nes AIS ver­baut haben.

Dazu kom­men Rech­te nach ande­ren Rechts­grund­la­gen, ins­be­son­de­re auch nach dem anwend­ba­ren Daten­schutz­recht (→ 58) und ggf. nach ver­trag­li­chen Rege­lun­gen. Auch Scha­den­er­satz­an­sprü­che kom­men bei gege­be­nen Vor­aus­set­zun­gen in Frage.

Son­der­fra­gen

47. Wer­den KMU bei der Anwen­dung des AIA entlastet?

Für KMU wird die Umset­zung der Anfor­de­run­gen des AIA her­aus­for­dernd sein, zumin­dest soweit sie als Anbie­ter tätig sind. Wer ein GPAIM ein­kauft und als HRAIS in Ver­kehr bringt, wird dadurch zum Anbie­ter des HRAIS – es dürf­te also eine recht gro­sse Zahl von KMUs geben, die auf Basis eines LLMs einen bestimm­ten Use Case abdecken und für die­sen Anbie­ter sind.

Grund­sätz­lich gel­ten die Bestim­mun­gen des AIA tel quel auch für KMU. Der AIA ent­hält aber eini­ge Bestim­mun­gen, die KMU bzw. SME in der eng­li­schen Ver­si­on unter­stüt­zen sollen:

  • Art. 62 ver­pflich­tet die Mit­glied­staa­ten zu För­de­rungs­mass­nah­men, indem KMU prio­ri­tä­rer Zugang zu KI-Real­la­bo­ren gewäh­ren wer­den soll, Sen­si­bi­li­sie­rungs- und Schu­lungs­mass­nah­men für KMU durch­zu­füh­ren sind, Fra­gen zum AIA und zu KI-Real­la­bo­ren zur wer­den kön­nen und KMU bei der Ent­wick­lung von Nor­men (→ 15) ein­be­zo­gen wer­den sollen.

  • KMU sol­len beim Advi­so­ry Forum mit­wir­ken (Art. 67 Abs. 2).

  • Bei Ver­hal­tens­ko­di­zes sind die Inter­es­sen der KMU zu berück­sich­ti­gen (Art. 95 Abs. 4).

  • Bei den Bus­sen gilt ein etwas nied­ri­ge­rer Ansatz (Art. 99 Abs. 6).

Für Kleinst­un­ter­neh­men im Sin­ne der Kom­mis­si­ons­emp­feh­lung K(2003)1422 (https://dtn.re/U7vlKH)) sieht Art. 63 Abs. 1 zudem eine Erleich­te­rung beim QMS (→ 35 vor.

48. Was sind KI-Real­la­bo­re und Tests unter Realbedingungen?

Der AIA schreibt sich die Inno­va­ti­ons­för­de­rung in diver­sen Erwä­gungs­grün­den auf die Fah­nen, und sein gröss­ter Bei­trag zur Inno­va­ti­ons­för­de­rung besteht wohl dar­in, dass er kein Ver­bots­ge­setz ist (mit den weni­gen Aus­nah­men, Q0). Das Kapi­tel VI (Art. 57 ff.) ist sodann aus­drück­lich der Inno­va­ti­ons­för­de­rung gewidmet.

Dazu die­nen im Wesent­li­chen zwei Ele­men­te. Das erste Ele­ment sind die „KI-Real­la­bo­re“ (der ent­spre­chen­de eng­li­sche Begriff ist „AI regu­la­to­ry sandbox“):

  • Dabei han­delt es sich um eine Erleich­te­rung der Ent­wick­lung, des Trai­nings, des Testens und der Vali­die­rung von AIS vor dem Inver­kehr­brin­gen oder der Inbe­trieb­nah­me nach einem Plan, der zwi­schen den Anbie­tern und der zustän­di­gen Behör­de zu ver­ein­ba­ren ist (Art. 57 Abs. 5), und ggf. unter Bei­zug der Daten­schutz­be­hör­den (Abs. 10).

  • Art. 59 ent­hält sodann eine beschränk­te Rechts­grund­la­ge für die Bear­bei­tung von Per­so­nen­da­ten im Rah­men eines Real­la­bors: Per­so­nen­da­ten dür­fen für die Ent­wick­lung, das Trai­ning und für Tests im Real­la­bor ver­ar­bei­tet wer­den, aller­dings nur, wenn bestimm­te Bedin­gun­gen erfüllt sind und nur bei der Ent­wick­lung eines AIS zur Wah­rung bestimm­ter öffent­li­chen Inter­es­sen. Die­se Rechts­grund­la­ge tritt neben die ana­lo­ge Rechts­grund­la­ge für Test­zwecke nach Art. 10 (→ 36).

  • Anbie­ter kön­nen anschlie­ssend einen Nach­weis über die im Real­la­bor durch­ge­führ­ten Tätig­kei­ten und einen Abschluss­be­richt erhal­ten, was das Kon­for­mi­täts­be­wer­tungs­ver­fah­ren oder die Markt­über­wa­chung erleich­tern soll (Abs. 7). Die Ein­hal­tung des Plans bie­tet zudem einen Safe Har­bor gegen Bus­sen im Fall einer mit dem Plan zusam­men­hän­gen Ver­let­zung des AIA, ggf. aber auch ande­rer Vor­ga­ben ins­be­son­de­re auch des Daten­schutz­rechts (Abs. 12).

  • Jeder Mit­glied­staat muss bis am 2. August 2026 min­de­stens ein sol­ches Labor ein­rich­ten (Art. 57 Abs. 1). Die Kom­mis­si­on soll vor­her aber noch detail­lier­te­re Rege­lun­gen erlas­sen (Art. 58 AIA).

Das zwei­te Ele­ment sind Tests von Anhang III-HRAIS unter Real­be­din­gun­gen:

  • HRAIS nach Anhang III (d.h. die use case-bezo­ge­nen HRAIS; Q28) kön­nen unter bestimm­ten Vor­aus­set­zun­gen ausser­halb eines KI-Real­la­bors unter Real­be­din­gun­gen durch­ge­führt wer­den (Art. 60). Vor­aus­ge­setzt ist, dass der Test kon­trol­lier­bar ist, d.h. dass der Test wirk­sam über­wacht wird und Vor­her­sa­gen, Emp­feh­lun­gen oder Ent­schei­dun­gen des AIS rück­gän­gig gemacht oder ausser Acht gelas­sen wer­den kön­nen (Art. 60 Abs. 4 lit. j‑k). Schwer­wie­gen­de Vor­fäl­le sind nach Art. 73 zu mel­den, d.h. die ent­spre­chen­de Mel­de­pflicht (→ 45) wird auf den Zeit­punkt vor dem Inver­kehr­brin­gen bzw. der Inbe­trieb­nah­me vor­be­zo­gen (Art. 60 Abs. 7).

  • Tests müs­sen auf einem Plan beru­hen, der von der zustän­di­gen Markt­über­wa­chungs­be­hör­de zu geneh­mi­gen ist (Art. 60 Abs. 4 lit. a‑b).

  • Soweit der Plan die Teil­nah­me von Test­teil­neh­mern erfor­dert, müs­sen die­se in die Teil­nah­me grund­sätz­lich ein­wil­li­gen (Art. 61 Abs. 4 lit. j und Abs. 5).

Sank­tio­nen und Governance

49. Was gilt bei Ver­let­zun­gen des AIA?

Kapi­tel XII betrifft die Sank­tio­nen bei Ver­let­zun­gen des AIA. Der AIA selbst ent­hält – anders als die DSGVO – kei­ne eige­nen Buss­geld­tat­be­stän­de, son­dern ver­pflich­tet die Mit­glied­staa­ten in Art. 99 zur Ein­füh­rung Bestim­mun­gen über Bus­sen, aber auch ande­re Durch­set­zungs­mass­nah­men. Bus­sen kön­nen sich gegen alle Akteu­re rich­ten, also alle in der Wert­schöp­fung betei­lig­ten Stellen.

Die Bus­sen kön­nen je nach Art des Ver­sto­sses bis zu EUR 35 Mio. EUR bzw. 7% des Umsat­zes erreichen:

  • Bei einer Ver­let­zung der ver­bo­te­nen Prak­ti­ken (→ 27) gilt der obe­re Bus­sen­be­trag von bis zu EUR 35 Mio. oder bei 7% des welt­wei­ten Jah­res­um­sat­zes (Art. 99 Abs. 3). Wie bei der DSGVO dürf­te dafür der Kon­zern­um­satz mass­ge­bend sein.

  • Bei bestimm­ten ande­ren Ver­let­zun­gen liegt der obe­re Bus­sen­rah­men bei EUR 15 Mio. oder bei 3% des Jah­res­um­sat­zes (Art. 99 Abs. 4). Die­se Bus­sen kön­nen sich gegen Akteu­re, aber auch noti­fi­zier­te Stel­len rich­ten. Das betrifft Ver­let­zun­gen von Art. 16 (Anbie­ter), Art. 22 (Bevoll­mäch­tig­te), Art. 23 (Ein­füh­rer), Art. 24 (Händ­ler), Art. 26 (Betrei­ber) und Art. 31, 33 Abs. 1, 3 und 4 und Art. 34 (noti­fi­zier­te Stel­len) sowie Art. 50 (Trans­pa­renz; Anbie­ter und Betreiber).

  • Im Fall von fal­schen Ant­wor­ten an noti­fi­zier­te Stel­len oder die zustän­di­gen natio­na­len Behör­den liegt der Bus­sen­rah­men bei EUR 7.5 Mio. oder bei 1% des Jah­res­um­sat­zeses (Art. 99 Abs. 5).

Mass­ge­bend ist jeweils der höhe­re Betrag, ausser bei KMU (hier der nied­ri­ge­re; Art. 99 Abs. 6; → 47). Im kon­kre­ten Fall hat haben das Gericht oder die Ver­wal­tungs­be­hör­de (Art. 99 Abs. 9) bei der Bus­sen­be­mes­sung die Kri­te­ri­en von Art. 99 Abs. 7 zu berück­sich­ti­gen, u.a. die Schwe­re des Verschuldens.

Bei Anbie­tern von GPAIM ent­hält Art. 101 eine Son­der­re­ge­lung. Alle Ver­let­zun­gen des AIA kön­nen hier mit Bus­se geahn­det wer­den (Art. 101 Abs. 1 lit. a); den­noch nennt Art. 101 Abs. 1 eigens bestimm­te Ver­let­zun­gen. Der Bus­sen­rah­men liegt hier bei EUR 15 Mio. oder zu 3% des Jahresumsatzes.

Von Ver­let­zun­gen zu unter­schei­den ist natür­lich der Ein­tritt eines schwer­wie­gen­den Vor­falls (→ 45).

50. Wel­che Behör­den spie­len beim AIA eine Rolle?

Der AIA regelt die Rol­le meh­re­rer Behör­den vor­wie­gend im eige­nen Kapi­tel „Gover­nan­ce“ (Kapi­tel VII, Art. 64 ff.). Diver­se Behör­den und Ein­rich­tun­gen sind mit unter­schied­li­chen und teils über­schnei­den­den Auf­ga­ben betraut. Dabei gibt es sowohl eine hori­zon­ta­le Arbeits­tei­lung (inner­halb der EU) als auch eine ver­ti­ka­le (zwi­schen der EU und den Mitgliedstaaten).

Erste­re regelt Abschnitt 1 des Kapi­tels VII (Gover­nan­ce). Die Kom­mis­si­on nimmt bei den Gre­mi­en der EU die füh­ren­de Rol­le ein, und ihr obliegt grund­sätz­lich die Durch­set­zung des AIA. Sie hat weit­rei­chen­de Befug­nis­se, kann kon­kre­ti­sie­ren­de Bestim­mung erlas­sen und ist zustän­dig zur Ent­ge­gen­nah­me von Mit­tei­lun­gen der Akteu­re und ande­rer Behör­den (→ 51).

Das AI Office („Büro für Künst­li­che Intel­li­genz“) ist ein Teil der Kom­mis­si­on und zustän­dig für die Markt­auf­sicht von GPAIM und von AIS, die auf GPAIM des­sel­ben Pro­vi­ders basie­ren (Art. 88 und 75; Q52).

Das Euro­pean AI Board (EAIB) soll die Kom­mis­si­on (und die Mit­glieds­staa­ten) dabei bera­ten und unter­stüt­zen (→ 53).

Die natio­na­len Markt­über­wa­chungs­be­hör­den sind zustän­dig für die Über­wa­chung der Ein­hal­tung des AIA (→ 54).

Die noti­fi­zie­ren­den natio­na­len Behör­den sind zustän­dig für die Bewer­tung, Benen­nung, Noti­fi­zie­rung und Über­wa­chung von AI-Kon­for­mi­täts­be­wer­tungs­stel­len (Art. 28).

Kon­for­mi­täts­be­wer­tungs­stel­len sind wie­der­um Stel­len, die die Kon­for­mi­tät von AIS in Über­ein­stim­mung mit dem AIA prü­fen und bewer­ten (Art. 3 Ziff. 21 → 15).

Auf­grund der umfas­sen­den Koope­ra­ti­ons­pflich­ten der Akteu­re und den weit­rei­chen­den Infor­ma­ti­ons­be­schaf­fungs­mög­lich­kei­ten der Behör­den wer­den die Kom­mis­si­on, die Markt­über­wa­chungs­be­hör­den und die noti­fi­zier­ten Stel­len und alle ande­ren an der Anwen­dung des AIAI betei­lig­ten Stel­len einer Ver­trau­lich­keits­pflicht unter­wor­fen (Art. 78).

51. Wel­che Auf­ga­ben hat die EU-Kom­mis­si­on im Rah­men des AIA?

Die Haupt­rol­le auf Ebe­ne der EU lie­gen bei der Kom­mis­si­on und beim AI Office als Teil der Kom­mis­si­on (→ 52).

Die Kom­mis­si­on, die nach Art. 17 Abs. 1 des Ver­trags über die Euro­päi­sche Uni­on die Ein­hal­tung des EU-Rechts über­wacht, hat dabei eine zen­tra­le Rol­le. Ihre Befug­nis­se las­sen sich wie folgt ein­tei­len (nicht ganz voll­stän­dig – eini­ge wei­te­re, unter­ge­ord­ne­te Auf­ga­ben der Kom­mis­si­on wer­den nicht aufgeführt):

Kon­kre­ti­sie­ren­de Legi­fe­rie­rung: Art. 97 AIA über­trägt der Kom­mis­si­on auf Basis von Art. 290 des EU-Ver­trags (https://dtn.re/9MhpKX)) das Recht, ver­bind­li­che „dele­gier­te Rechts­ak­te“ zu erlas­sen. Der EU-Ver­trag unter­schei­det zwi­schen dele­gier­ten Rechts­ak­ten und Durch­füh­rungs­rechts­ak­ten. Dele­gier­te Rechts­ak­te sind Rechts­ak­te zur Ergän­zung oder Ände­rung des Basis-Rechts­akts (des AIA, die die Kom­mis­si­on dem Rat und dem Par­la­ment zur Zustim­mung oder Ableh­nung vor­legt. Durch­füh­rungs­rechts­ak­te sind blo­sse Umsetzungs­­bestimmungen wie tech­ni­sche Bestim­mun­gen, Aus­nah­men usw., die dem Par­la­ment und Rat nicht vor­ge­legt werden.

Die Befug­nis, dele­gier­te Rechts­ak­te zu erlas­sen, beruht auf Art. 97 AIA und soll es ermög­li­chen, die im Bereich der AI beson­ders rasche tech­ni­sche Ent­wick­lung abzu­bil­den. Das betrifft abschlie­ssend die fol­gen­den Punkte:

  • die Kri­te­ri­en, wann ein AIS zum HRAIS wird (→ 28), und ana­log auch des Anhangs III (Use Cases; Art. 7 Abs. 1 und 3);

  • den Anhang IV zum Min­dest­in­halt der tech­ni­schen Doku­men­ta­ti­on (Art. 11 Abs. 3);

  • die Anhän­ge VI und VII und von Art. 43 Abs. 1 und 2 über das Kon­for­mi­täts­be­wer­tungs­ver­fah­ren und von Anhang V zum Inhalt der EU-Konformitätserklärung;

  • die Kri­te­ri­en für die Ein­stu­fung eines GPAIM als syste­misch ris­kant nach Art. 51 Abs. 1 und 2 und Anhang XIII;

  • die Anhän­ge XI und XII zum Inhalt der tech­ni­schen Doku­men­ta­ti­on und der Trans­pa­renz­an­for­de­run­gen bei der Down­stream-Ver­wen­dung von GPAIM (Art. 53).

Dane­ben kann die Kom­mis­si­on in den fol­gen­den Berei­chen Durch­füh­rungs­rechts­ak­te erlas­sen. Sie hat sich dabei i.d.R. nach der Durch­füh­rungs­be­fug­nis-Ver­ord­nung (https://dtn.re/B9uV04)) zu rich­ten (Art. 98 Abs. 2:

  • Ein­grei­fen, wenn ein Mit­glied­staat die Anfor­de­run­gen für noti­fi­zier­te Stel­len nicht erfüllt (Art. 37 Abs. 4);

  • Geneh­mi­gung von Pra­xis­leit­fä­den im Zusam­men­hang mit GPAIM gemäss Art. 56, gene­rell und ins­be­son­de­re auch zur Kon­kre­ti­sie­rung der Trans­pa­renz­an­for­de­run­gen bei AI-gene­rier­ten oder mani­pu­lier­ten Inhal­ten (Art. 50 Abs. 7), der Pflich­ten der Anbie­ter von GPAIM nach Art. 53 und von syste­misch ris­kan­ten GPAIM nach Art. 55 (Art. 56 Abs. 6);

  • Erlass gemein­sa­mer Spe­zi­fi­ka­tio­nen, wenn ein­schlä­gi­ge Nor­men feh­len (Art. 41 AIA), und gemein­sa­mer Vor­schrif­ten im Bereich der GPAIM, wenn bis zum 2. August 2025 kein Ver­hal­tens­ko­dex vor­liegt (Art. 56 Abs. 9)

  • Kon­kre­ti­sie­ren­de Rege­lun­gen für KI-Real­la­bo­re (Art. 58 Abs. 1 und 2) und Tests von HRAIS unter Real­be­din­gun­gen (Art. 60);

  • Bestim­mun­gen zur Ein­rich­tung eines wis­sen­schaft­li­chen Gre­mi­ums unab­hän­gi­ger Sach­ver­stän­di­ger (Art. 68 Abs. 1 und 5 und Art. 69 Abs. 2);

  • Kon­kre­ti­sie­run­gen für den Markt­be­ob­ach­tungs­plan der Anbie­ter von HRAIS (Art. 72 Abs. 3);

  • Kon­kre­ti­sie­run­gen des Sank­ti­ons­ver­fah­rens (Art. 101 Abs. 6).

Die Kom­mis­si­on kann sodann durch den Erlass von Leit­li­ni­en und Nor­mung zur Ver­ein­heit­li­chung der Pra­xis bei­tra­gen:

  • Die Kom­mis­si­on soll die Fäden bei der Anwen­dung des AIA gene­rell in der Hand hal­ten. Sie erteilt bspw. Nor­mungs­auf­trä­ge gemäss Art. 10 der Nor­mungs­ver­ord­nung, (https://dtn.re/BRL10Q)), also Auf­trä­ge zur Aus­ar­bei­tung der­je­ni­ger Nor­men, deren Ein­hal­tung eine Kon­for­mi­täts­ver­mu­tung begrün­det (Art. 40 Abs. 1 und 2), und kann – wenn ein­schlä­gi­ge Nor­men feh­len – ent­spre­chen­de „gemein­sa­me Spe­zi­fi­ka­tio­nen“ erlas­sen (Art. 41 AIA.

  • Nach Art. 96 AIA kann sie fer­ner all­ge­mein Leit­li­ni­en für die prak­ti­sche Umset­zung des AIA erlas­sen. Art. 96 ent­hält zwar eine Liste zu kon­kre­ti­sie­ren­der Punk­te – beson­ders die Defi­ni­ti­on des AIS, die Anwen­dung der Art. 8 ff. mit den grund­le­gen­den Anfor­de­run­gen, die Ein­stu­fung als HRAIS (Art. 6 Abs. 5), die ver­bo­te­nen Prak­ti­ken und die Trans­pa­renz nach Art. 50 AIA – , aber sie ist nicht abschliessend.

  • Die Kom­mis­si­on geneh­migt fer­ner Pra­xis­leit­fä­den nach Art. 56 AIA, d.h. eine Kon­kre­ti­sie­rung der Pflich­ten der Anbie­ter von GPAIM.

  • Sie stellt auch Vor­la­gen und For­mu­la­re zur Ver­fü­gung, die in der Pra­xis von erheb­li­cher Bedeu­tung sein dürf­ten. Sie soll ein ver­ein­fach­tes For­mu­lar für die tech­ni­sche Doku­men­ta­ti­on bei HRAIS von KMU zur Ver­fü­gung stel­len (Art. 11; Anhang IV).

Die Kom­mis­si­on nimmt wei­ter Mel­dun­gen und Berich­te entgegen:

  • bio­me­tri­sche Echt­zeit-Fern­iden­ti­fi­zie­run­gen zu Straf­ver­fol­gungs­zwecken: Mit­tei­lung der Mit­glied­staa­ten über ent­spre­chen­de Rechts­grund­la­gen (Art. 5 Abs. 5) und Jah­res­be­rich­te der natio­na­len Markt­über­wa­chungs- und Daten­schutz­be­hör­den (Art. 5 Abs. 6);

  • Kon­for­mi­täts­be­wer­tung: Mit­tei­lung der noti­fi­zie­ren­den Behör­den über Kon­for­mi­täts­be­wer­tungs­stel­len (Art. 30 Abs. 2 f. und Art. 36 Abs. 1, 4 und 7); Mit­tei­lung der Markt­über­wa­chungs­be­hör­den über Aus­nah­me­be­wil­li­gun­gen für HRAIS nach Art. 46 Abs. 1 (Art. 46 Abs. 3; wobei die Kom­mis­si­on ein­schrei­ten kann);

  • GPAIM: Mel­dung der Anbie­ter von GPAIM mit syste­mi­schen Risi­ken (Art. 52 Abs. 1);

  • Mit­tei­lung der noti­fi­zie­ren­den Behör­den und Markt­über­wa­chungs­be­hör­den durch die Mit­glied­staa­ten (Art. 70 Abs. 2 und 6);

  • Mit­tei­lung der natio­na­len Behör­den über schwer­wie­gen­de Vor­fäl­le (Art. 73 Abs. 11) gemäss der Markt­über­wa­chungs­ver­ord­nung; (https://dtn.re/ubfeIK);

  • jähr­li­che Mit­tei­lung der Markt­über­wa­chungs­be­hör­den über die Infor­ma­tio­nen aus der Markt­über­wa­chung und über die Anwen­dung ver­bo­te­ner Prak­ti­ken (Art. 74 Abs. 2);

  • Mit­tei­lung der Mit­glied­staa­ten über die natio­na­le Behör­den oder öffent­li­chen Stel­len für die Auf­sicht über den Schutz der Grund­rech­te (Art. 77 Abs. 1 und 2);

  • Infor­ma­tio­nen der Mit­glied­staa­ten im Zusam­men­hang mit ris­kan­ten AIS i.S.v. Art. 79 Abs. 1(Art. 79 Abs. 3 ff.);

  • Infor­ma­tio­nen der Mit­glied­staa­ten im Zusam­men­hang mit ris­kan­ten AIS, die der Anbie­ter als nicht hoch­ris­kant ein­ge­stuft hat (Art. 80 Abs. 3), und mit kon­for­men HRAIS, die den­noch ein beson­de­res Risi­ko mit sich brin­gen (Art. 82 Abs. 1 und 3);

  • Mit­tei­lun­gen der Mit­glied­staa­ten über ihre Sank­ti­ons- und son­sti­gen Durch­set­zungs­be­stim­mun­gen und über ihre Bus­sen­pra­xis (Art. 99 Abs. 2 und 11); Mit­tei­lung des EDPS über sei­ne Bus­sen­pra­xis (Art. 100 Abs. 7).

Die Kom­mis­si­on hat wei­ter Ein­griffs- und Ent­schei­dungs­be­fug­nis­se:

  • Sank­tio­nie­rung von Anbie­tern von GPAIM (Art. 101 Abs. 1);

  • Ein­wän­de gegen Aus­nah­me­be­wil­li­gun­gen für HRAIS nach Art. 46 Abs. 1 (Art. 46 Abs. 4 und 5);

  • Ein­stu­fung eines GPAIM als syste­misch ris­kant (Art. 52 Abs. 2 – 5);

  • Bewer­tung der Ver­fah­ren, die Anbie­ter von GPAIM bzw. von syste­misch ris­kan­ten GPAIM anwen­den kön­nen, um den Nach­weis ihrer jewei­li­gen Pflich­ten nach Art. 53 bzw. 55 zu füh­ren (soweit kei­ne har­mo­ni­sier­te Nor­men bestehen; Art. 53 Abs. 4 und 55 Abs. 2);

  • Ein­grei­fen, wenn ein AIS mit beson­de­ren Risi­ken i.S.v. Art. 79 Abs. 1 nicht kon­form ist oder ein kon­for­mes HRAIS den­noch beson­ders ris­kant ist und die Kom­mis­si­on mit den Mass­nah­men der zustän­di­gen Markt­über­wa­chungs­be­hör­de nicht ein­ver­stan­den ist (Art. 81 und 82).

Schliess­lich infor­miert die Kom­mis­si­on durch Ver­öf­fent­li­chun­gen und Bekannt­ma­chun­gen:

  • Ver­zeich­nis der noti­fi­zie­ren­den Stel­len (Art. 35 Abs. 2);

  • Liste von syste­misch ris­kan­ten GPAIM (Art. 52 Abs. 6);

  • Liste der zen­tra­len Anlauf­stel­len der Mit­glied­staa­ten (Art. 70 Abs. 2);

  • Daten­bank der HRAIS nach Anhang III (Art. 71);

  • Bericht­erstat­tung an das Par­la­ment und den Rat (Art. 112).

Und zuletzt hat die Kom­mis­si­on Durch­set­zungs­be­fug­nis­se bei GPAIM:

  • GPAIM wer­den im Kapi­tel V beson­ders gere­gelt. Die Kom­mis­si­on ist beauf­tragt, die Vor­schrif­ten die­ses Kapi­tels durch­zu­set­zen; dies regelt der eige­ne Abschnitt 5 des Kapi­tels IX (Beob­ach­tung nach den Inver­kehr­brin­gen; Infor­ma­ti­ons­aus­tausch und Markt­über­wa­chung). Sie ist von den Markt­über­wa­chungs­be­hör­den ent­spre­chend auf dem Lau­fen­den zu hal­ten (Art. 73 Abs. 11, Art. 74 Abs. 2, Art. 77 Abs. 2, Art. 79 Abs. 3 ff., Art. 80 Abs. 3).

  • Die Kom­mis­si­on kann ein­grei­fen, wenn sie mit Mass­nah­men der Mit­glied­staa­ten, wenn AIS oder HRAIS mit beson­de­ren Risi­ken nicht ein­ver­stan­den ist (Art. 81 und Art. 82 Abs. 4 f.).

  • Sie ist fer­ner gene­rell zustän­dig, das Kapi­tel V durch­zu­set­zen (Art. 88 Abs. 1). Zu die­sem Zweck kann sie Infor­ma­tio­nen von den Anbie­tern von GPAIM anfor­dern (Art. 91 Abs. 1 und 3 und Art. 92 Abs. 3), Sach­ver­stän­di­ge für die Bewer­tung von GPAIM ein­set­zen (Art. 92 Abs. 2) und Anbie­ter von GPAIM auf­for­dern, ihre Pflich­ten ein­zu­hal­ten, Risi­ko­min­de­rungs­mass­nah­men zu tref­fen und ein GPAIM vom Markt zu neh­men (Art. 93 Abs. 1).

52. Wel­che Rol­le hat das AI Office?

Das AI Office (https://dtn.re/cvmxvL)) ein­ge­setzt, aller­dings mit leicht abwei­chen­der Bezeich­nung, näm­lich als „Euro­päi­sches Amt für künst­li­che Intel­li­genz„; bei­des ist das AI Office (das AI-Deng­lisch setzt sich durch). Es ist Teil der GD (Gene­ral­di­rek­ti­on Kom­mu­ni­ka­ti­ons­net­ze, Inhal­te und Tech­no­lo­gien in der Kom­mis­si­on. Es hat mehr als 140 Mit­ar­bei­ten­de und ist in fünf Abtei­lun­gen auf­ge­teilt, „Excel­lence in AI and Robo­tics Unit“, „Regu­la­ti­on and Com­pli­ance Unit“, „AI Safe­ty Unit“, „AI Inno­va­ti­on and Poli­cy Coor­di­na­ti­on Unit“ und „AI for Socie­tal Good Unit“.

Die Auf­ga­ben des Amts erge­ben sich aus Art. 3 Nr. 47, Art. 64, wei­te­ren Bestim­mun­gen des AIA und aus dem erwähn­ten Beschluss, der die­se und wei­te­re Auf­ga­ben und die Befug­nis­se des Amts auf­li­stet. Es geht vor allem um folgende:

  • koor­di­na­ti­ve Auf­ga­ben (bspw. die Zusam­men­ar­beit mit Stake­hol­dern, den wei­te­ren Abtei­lun­gen der Kom­mis­si­on, den wei­te­ren Gre­mi­en der EU und mit den Mit­glied­staa­ten und ihren Behörden);

  • Fach­bei­trä­ge (bspw. der Beob­ach­tung der wirt­schaft­li­chen und tech­ni­schen Ent­wick­lun­gen, der Aus­ar­bei­tung von Leit­fä­den und Muster­be­din­gun­gen [Art. 25, 27 Abs. 5, 50 Abs. 7, 53 Abs. 1 lit. d, 56 und 62 Abs. 2] und der Vor­be­rei­tung von Beschlüs­sen der Kom­mis­si­on (Art. 56);

  • die Markt­auf­sicht über GPAIM und über AIS, die ein Anbie­ter auf Basis eines eige­nen GPAIM baut (Art. 88 und Art. 75 und Art. 3 des genann­ten Kom­mis­si­ons­be­schlus­ses). Es über­prüft hier die Ein­hal­tung des AIA durch die ent­spre­chen­den Akteu­re und dient auch als Anlauf­stel­le für die Mel­dung schwer­wie­gen­der Vor­fäl­le (→ 45).

Dane­ben beauf­sich­tigt das Amt auch den AI Pact (https://dtn.re/WJfwxl).

53. Wel­che Rol­le hat das EAIB?

Das „Euro­päi­sche Gre­mi­um für Künst­li­che Intel­li­genz“ („KI-Gre­mi­um“; auch „EAIB„, für „Euro­pean AI Board“, https://dtn.re/QQhGJ7).

Es soll die Kom­mis­si­on und die Mit­glieds­staa­ten bera­ten und unter­stüt­zen, um die ein­heit­li­che und wirk­sa­me Anwen­dung des AIA zu erleich­tern (Art. 66 ent­hält einer Liste sei­ner Auf­ga­ben; wei­te­re Auf­ga­ben wer­den im AIA bestimmt). Dazu unter­stützt es das AI Office u.a. bei der Erstel­lung von Pra­xis­leit­fä­den. Bei der Anwen­dung der DSGVO ver­tre­ten der EDPB und die Kom­mis­si­on oft gegen­sätz­li­che Posi­tio­nen; ob dies auch beim AIA so sein wird, bleibt abzuwarten.

54. Wel­che wei­te­ren EU-Stel­len sieht der AIA vor?

Ein Bera­tungs­fo­rum unter­stützt das EAIB und die Kom­mis­si­on mit tech­ni­schem Fach­wis­sen. Das Bera­tungs­fo­rum setzt sich aus Ver­tre­tern der Indu­strie, Start-Ups, KMU, der Zivil­ge­sell­schaft und der Wis­sen­schaft sowie Euro­päi­scher Ein­rich­tun­gen (z.B. Euro­päi­sches Komi­tee für Nor­mung CEN oder der ENISA) zusam­men (Art. 67).

Dane­ben soll die Kom­mis­si­on ein wis­sen­schaft­li­ches Gre­mi­um unab­hän­gi­ger Sach­ver­stän­di­ger (wis­sen­schaft­li­ches Gre­mi­um; „Sci­en­ti­fic panel of inde­pen­dent experts“) bil­den. Es setzt sich aus unab­hän­gi­gen Sach­ver­stän­di­gen zusam­men und soll das AI Office bei sei­nen Markt­auf­sichts­tä­tig­kei­ten mit wis­sen­schaft­li­chem und tech­ni­schem Fach­wis­sen unter­stüt­zen (Art. 68).

55. Wel­che Rol­le haben die natio­na­len Marktüberwachungsbehörden?

Die Markt­über­wa­chungs­be­hör­den (Art. 3 Nr. 26 und 48) sind für die Markt­über­wa­chung bei HRAIS und GPAIM zustän­dig (Art. 74 ff.). Jeder Mit­glied­staat muss min­de­stens eine sol­che Behör­de bestel­len (Art. 70 Abs. 1). Bei regu­lier­ten Pro­duk­ten (Art. 6 Abs. 1) sind i.d.R. die dort zustän­di­gen Behör­den auch die Markt­über­wa­chungs­be­hör­de nach dem AIA (Art. 74 Abs. 3), im Finanz­be­reich die Finanz­markt­auf­sicht (Art. 74 Abs. 6), und für öffent­li­che Stel­len der EU ist es der EDPS (Art. 74 Abs. 9). Ein Son­der­fall sind AIS, die auf einem selbst­ent­wickel­ten GPAIM beru­hen (z.B. ChatGPT); hier liegt die Markt­über­wa­chung beim AI Office (→ 52).

Die Befug­nis­se und Auf­ga­ben rich­ten sich dabei ins­be­son­de­re nach der Markt­über­wa­chungs­ver­ord­nung (Art. 3 Nr. 26; Art. 14 ff. die­ser Ver­ord­nung; https://dtn.re/QCMYaE) und den Anfor­de­run­gen von Art. 70 Abs. 1. Bei­spiels­wei­se kön­nen sie

  • im Fall eines schwer­wie­gen­den Vor­falls bei einem HRAIS anord­nen, dass es zurück­ge­ru­fen oder vom Markt genom­men oder dass sei­ne Bereit­stel­lung auf dem Markt unter­bleibt (Art. 19 der Marktüberwachungsverordnung);

  • für ihre Tätig­keit jeder­zeit Infor­ma­tio­nen der Anbie­ter anfor­dern (Art. 74 Abs. 12 und 13 und 75 Abs. 3), die Koope­ra­ti­ons­pflich­ten haben, und sie können

  • u.U. kön­nen sie einen Test von HRAIS anord­nen (Art. 77 Abs. 3).

  • Soll­te ein AIS ein beson­de­res Risi­ko für die Gesund­heit und Sicher­heit von Per­so­nen, die Gesund­heit und Sicher­heit am Arbeits­platz, den Ver­brau­cher­schutz, die Umwelt, die öffent­li­che Sicher­heit und ande­re öffent­li­che Inter­es­sen dar­stel­len (Art. 79 Abs. 1 i.V.m. Art. 3 Nr. 19 der Markt­über­wa­chungs­ver­ord­nung), kann die zustän­di­ge Markt­über­wa­chungs­be­hör­de die Kon­for­mi­tät des betref­fen­den AIS prü­fen und ggf. Kor­rek­tur­mass­nah­men anord­nen und einen Rück­ruf anord­nen (Art. 79 Abs. 5).

  • Bei AIS, die der Anbie­ter als nicht hoch­ris­kant ein­ge­stuft hat, kann die Markt­über­wa­chungs­be­hör­de – wenn sie ande­rer Ansicht ist – anord­nen, dass die Kon­for­mi­tät her­ge­stellt wird (Art. 80 Abs. 1 und 2). Sie kann auch bei zwar kon­for­men, aber den­noch beson­ders ris­kan­ten HRAIS Abhil­fe­mass­nah­men anord­nen (Art. 82 Abs. 1). Mass­nah­men kann sie fer­ner bei for­ma­len Feh­lern ergrei­fen, bspw. wenn ein CE-Kenn­zei­chen fehlt (Art. 83).

Die Markt­über­wa­chungs­be­hör­den haben nach dem AIA fer­ner ins­be­son­de­re die fol­gen­den Aufgaben:

  • Infor­ma­ti­on der Kom­mis­si­on über bestimm­te Rechts­vor­schrif­ten im Zusam­men­hang mit der bio­me­tri­schen Echt­zeit-Fern­iden­ti­fi­zie­rung in zu Straf­ver­fol­gungs­zwecken (Art. 5 Abs. 4 und 6);

  • Ent­ge­gen­nah­me von Infor­ma­tio­nen und Mel­dun­gen, ins­be­son­de­re der folgenden:

  • der Anbie­ter und Betrei­ber von HRAIS über beson­de­re Risi­ken (Art. 79 Abs. 2 und Art. 26 Abs. 5); der Betrei­ber eines HRAIS über schwer­wie­gen­de Vor­fäl­le (Art. 26 Abs. 5);

  • Kopie des Bestel­lungs­auf­trags und sei­ner Been­di­gung von Ver­tre­tern ausser­eu­ro­päi­scher HRAIS-Anbie­ter (Art. 22 Abs. 3 und 4);

  • Infor­ma­ti­on über nicht-kon­for­me HRAIS von Ein­füh­rern (Art. 23 Abs. 2);

  • Grund­rech­te-Fol­gen­ab­schät­zun­gen (FRIA) der öffent­li­chen Stel­len (Art. 27 Abs. 3);

  • Infor­ma­tio­nen über Tests von HRAIS unter Real­be­din­gun­gen (Art. 60);

  • Mel­dun­gen über schwer­wie­gen­de Vor­fäl­le bei HRAIS (Art. 73 Abs. 1);

  • Infor­ma­ti­on wei­te­rer Stel­len:

  • natio­na­ler Behör­den und öffent­li­che Stel­len nach Art. 77, wenn ihr ein schwer­wie­gen­der Vor­fall bei einem HRAIS gemel­det wur­de (Art. 73 Abs. 7);

  • der Kom­mis­si­on bei Mass­nah­men im Fall schwer­wie­gen­der Vor­fäl­le (Art. 19 Abs. 1 der Marktüberwachungsverordnung);

  • jähr­li­che Bericht­erstat­tung z.Hd. der Kom­mis­si­on (Art. 74 Abs. 2);

  • aus­nahms­wei­se Zulas­sung eines HRAIS nach Art. 46;

  • Geneh­mi­gung und Über­prü­fung der Tests von HRAIS unter Real­be­din­gun­gen (Art. 60 Abs. 4 lit. b, Art. 76); ggf. auch Ein­schrei­ten, wenn es zu einem schwer­wie­gen­den Vor­fall kommt oder ein Test nicht den anwend­ba­ren Bedin­gun­gen ent­spre­chend ver­läuft (Art. 76 Abs. 3 und 5);

  • Ent­ge­gen­nah­me von Beschwer­den natür­li­cher oder juri­sti­scher Per­so­nen (Art. 85).

56. Wel­che Rol­le haben die Konformitätsbewertungsstellen?

Kon­for­mi­täts­be­wer­tungs­stel­len füh­ren die Kon­for­mi­täts­be­wer­tung durch (Art. 3 Nr. 21). Sie wer­den von den noti­fi­zie­ren­den Behör­den (Art. 28 Abs. 1, 29 Abs. 1 und 30 Abs. 1 → 57) ein­ge­setzt und müs­sen die Anfor­de­run­gen nach Art. 30 erfül­len. Ins­be­son­de­re müs­sen sie unab­hän­gig sein. Auch Kon­for­mi­täts­be­wer­tungs­stel­len in Dritt­staa­ten kön­nen nach dem AIA tätig wer­den, sofern mit der EU ein ent­spre­chen­des Abkom­men besteht (Art. 39). Eine Kon­for­mi­täts­stel­le heisst „noti­fi­zier­te Stel­le„, wenn sie nach den ein­schlä­gi­gen Bestim­mun­gen noti­fi­ziert wur­de (Art. 3 Nr. 22). Zum Kon­for­mi­täts­be­wer­tungs­ver­fah­ren → 15.

57. Wel­che Rol­le haben die noti­fi­zie­ren­den Behörden?

Jeder Mit­glied­staat muss eine noti­fi­zie­ren­de Behör­de bestel­len (Art. 28 Abs. 1 und 70 Abs. 1). Sie ist dafür zustän­dig, die Ver­fah­ren für die Bewer­tung, Benen­nung und Noti­fi­zie­rung von Kon­for­mi­täts­be­wer­tungs­stel­len ein­zu­rich­ten und durch­zu­füh­ren und die­se zu über­wa­chen (Art. 3 Nr. 19). „Noti­fi­zie­ren­den Behör­den“ hei­ssen sie, weil sie die Kom­mis­si­on (→ 51) und die übri­gen Mit­glied­staa­ten über ein von der Kom­mis­si­on ver­wal­te­ten Noti­fi­zie­rungs­in­stru­ment über jede Kon­for­mi­täts­be­wer­tungs­stel­le infor­mie­ren müs­sen; erst dadurch wer­den die Kon­for­mi­täts­be­wer­tungs­stel­len zu noti­fi­zier­ten Stel­len und kön­nen ihre Arbeit auf­neh­men (→ 56).

Ergän­zungs­fra­gen

58. Wel­che Rol­le spielt der Daten­schutz im AIA?

Der Daten­schutz hat eine erheb­li­che Bedeu­tung bei AIS, ins­be­son­de­re im Zusam­men­hang mit dem Trai­ning von GPAIM. Der AIA ver­weist des­halb des Öfte­ren auf die DSGVO, ins­be­son­de­re für dort legal­de­fi­nier­te Begrif­fe (Art. 3 Nr. 37, 50, 51 und 52) oder dekla­ra­to­risch auf Vor­ga­ben der DSGVO (bspw. in Art. 26 Abs. 9 für die Ver­wen­dung der Betriebs­an­lei­tung bei einer Daten­schutz-Fol­gen­ab­schät­zung oder in Art. 50 Abs. 3 für die Infor­ma­ti­on Betrof­fe­ner), stellt aber klar, dass die DSGVO bei der Bear­bei­tung von Per­so­nen­da­ten unein­ge­schränkt gilt (Art. 2 Abs. 7, 10 Abs. 5).

Art. 10 Abs. 5 ent­hält die ein­zi­ge beson­de­re Rechts­grund­la­ge im AIA. Zwi­schen der Daten­spar­sam­keit und der Rele­vanz der Trai­nings­da­ten besteht ein Ziel­kon­flikt. Der AIA löst ihn so, dass aus­nahms­wei­se sogar beson­ders schüt­zens­wer­te Per­so­nen­da­ten ver­ar­bei­tet wer­den dür­fen, wenn dies beim Trai­ning eines HRAIS unbe­dingt not­wen­dig ist, um Bias zu erken­nen und zu redu­zie­ren (genau­er: das Ver­bot von Art. 9 Abs. 1 DSGVO ist inso­weit auf­geboben; eine Rechts­grund­la­ge nach Art. 6 bleibt erfor­der­lich; EuGH, Rs. C‑667/21, https://dtn.re/ATzHFf). Ein­zu­hal­ten sind aber die beson­de­ren Bedin­gun­gen nach Art. 10 Abs. 5 lit. a‑f.

Wich­ti­ger als die­se Fra­ge ist die Dis­kus­si­on um den Anwen­dungs­be­reich des Daten­schutz­rechts auf ein Trai­ning von LLM und brei­ter, wann im Rah­men eines LLM Per­so­nen­da­ten ver­wen­det wer­den, wel­che Par­tei dabei wel­che Rol­le ein­nimmt und wie Betrof­fe­nen­rech­te sicher­ge­stellt wer­den kön­nen. Dazu fin­det der­zeit eine Dis­kus­si­on statt. Zu ver­wei­sen ist ins­be­son­de­re auf fol­gen­de Doku­men­te und Stel­lung­nah­men (chro­no­lo­gisch absteigend):

Die nament­lich vom HmbBfDI ver­tre­te­ne Hal­tung, ein LLM kön­ne kei­ne Per­so­nen­da­ten ent­hal­ten, weil es Input­da­ten nicht kopiert, son­dern Bezie­hun­gen zwi­schen Tokens als Vek­to­ren bzw. Ten­so­ren mathe­ma­tisch dar­stellt, greift dabei zu kurz, weil der Aggre­gats­zu­stand eines Per­so­nen­da­tums nicht rele­vant ist: Wer­den per­so­nen­be­zo­ge­ne Infor­ma­tio­nen nicht als sol­che, son­dern in Form mathe­ma­ti­scher Bezie­hun­gen in grund­sätz­lich wie­der­ga­be­fä­hi­ger Form gespei­chert, han­delt es sich dabei um eine Bear­bei­tung von Per­so­nen­da­ten (vgl. datenrecht.ch, https://dtn.re/BuTaCE). Die Fra­ge, wie bspw. Betrof­fe­nen­rech­te bei LLMs umge­setzt wer­den kön­nen, ist daher nicht gegenstandslos.

Daten­schutz­be­hör­den haben sich auch ausser­halb der Fra­ge des Per­so­nen­be­zugs von Embed­dings (→ 12) zum Ver­hält­nis zwi­schen Daten­schutz und künst­li­cher Intel­li­genz geäu­ssert, bspw.:

  • EDSA, State­ment 3/2024 on data pro­tec­tion aut­ho­ri­ties’ role in the Arti­fi­ci­al Intel­li­gence Act frame­work, 16. Juli 2024 (https://dtn.re/vGUUWh)

  • DSK, Ori­en­tie­rungs­hil­fe Künst­li­che Intel­li­genz und Daten­schutz, 6. Mai 2024 (https://dtn.re/S63kDn)

  • BayL­DA, im 29. Tätig­keits­be­richt 2019 (https://dtn.re/rg7FEr)

  • ICO, ver­schie­de­ne Infor­ma­tio­nen zu AI-The­men (https://dtn.re/g91v0E)

  • Öster­reich: FAQ zum The­ma KI und Daten­schutz der öster­rei­chi­schen DSB, 2. Juli 2024 (https://dtn.re/Sz4sDS)

  • Frank­reich: CNIL, Self-assess­ment gui­de for arti­fi­ci­al intel­li­gence (AI) systems (https://dtn.re/44hM5n)

  • Ita­li­en: Garan­te, Hin­wei­se zum Schutz von Per­so­nen­da­ten vor Scra­ping, 20. März 2024 (https://dtn.re/TuzT85)

  • Schweiz: Sie­he → 63

Meh­re­re euro­päi­sche Daten­schutz­auf­sichts­be­hör­den („SAs“) hat­ten fer­ner Unter­su­chun­gen gegen Ope­nAI im Zusam­men­hang mit ChatGPT ein­ge­lei­tet. Der EDSA hat im April 2023 eine ent­spre­chen­de Taskforce ein­ge­rich­tet, deren Arbeit noch läuft; am 23. Mai 2024 wur­de ein knap­per Zwi­schen­be­richt ver­öf­fent­licht (https://dtn.re/HyvPHo).

59. Wie geht der AI Act mit Urhe­ber­rech­ten um?

Im Bereich des Urhe­ber­rechts erkennt der AIA das Pro­blem des Trai­nings mit geschütz­ten Wer­ken. Er äussert sich zu die­ser Pro­ble­ma­tik nicht inhalt­lich, ver­langt aber von den Anbie­tern von GPAIM u.a., über eine Stra­te­gie zur Ein­hal­tung des EU-Urhe­ber­rechts zu ver­fü­gen und eine Zusam­men­fas­sung der Trai­nings­da­ten zu ver­öf­fent­li­chen (→ 39).

Anson­sten bleibt die Zuwei­sung von Aus­schliess­lich­keits­rech­ten und die Bestim­mung ihres Umfangs und ent­spre­chen­den Schran­ken aber den ein­schlä­gi­gen Bestim­mun­gen über­las­sen. In die­sem Zusam­men­hang wird vor allem dis­ku­tiert, unter wel­chen Vor­aus­set­zun­gen die Ver­wen­dung urhe­ber­recht­lich geschütz­ter Wer­ke für das Trai­ning eines LLM rechts­ver­let­zend ist – eine ver­ständ­li­che Dis­kus­si­on, nach­dem LLMs ins­be­son­de­re auch mit den Krea­ti­ven kon­kur­rie­ren, mit deren Wer­ken sie trai­niert wurden.

Dabei gilt der Ter­ri­to­ri­a­li­täts­grund­satz: Ob eine Hand­lung urhe­ber­rechts­ver­let­zend ist, bestimmt das Recht des Staa­tes, in dem sie zu ver­or­ten ist (für das schwei­ze­ri­sche Kol­li­si­ons­recht: Art. 110 IRPG). In der EU sind das die Urhe­ber­rech­te der ein­zel­nen Mit­glied­staa­ten. Sie­he aber → 40 zur Fra­ge, ob die Anfor­de­rung an GPA­IM-Anbie­ter ausser­halb der EU die Vor­ga­ben des AIA zur Urhe­ber­rechts­stra­te­gie ein­zu­hal­ten haben.

In der Schweiz fin­den sich die ein­schlä­gi­gen Rege­lun­gen im URG. Offen ist ins­be­son­de­re die Reich­wei­te der Schran­ken­be­stim­mun­gen, wobei zu unter­schei­den ist zwi­schen einer Beschaf­fung urhe­ber­recht­lich geschütz­ten Mate­ri­als und sei­ner Ver­wen­dung für ein Training:

Die Beschaf­fung und eine damit in aller Regel ein­her­ge­hen­de Ver­viel­fäl­ti­gung von Mate­ri­al ist im Gegen­satz zum Werk­ge­nuss wie bspw. dem Durch­su­chen von Text oder dem Labe­l­ing für ein Super­vi­sed Lear­ning (→ 10) urhe­ber­recht­lich rele­vant (solan­ge man den Ver­viel­fäl­ti­gungs­be­griff nicht auf Hand­lun­gen beschrän­ken will, die eine Wahrnehmbar­machung des Werks bezwecken). Fehlt eine Lizenz – die aus­drück­lich oder still­schwei­gend ein­ge­räumt wer­den kann –, stellt sich daher die Fra­ge, ob die Schran­ke des Eigen­ge­brauchs nach Art. 19 Abs. 1 URG greift. Hier besteht der­zeit Rechts­un­si­cher­heit:

  • Es wird u.a. dis­ku­tiert, ob ein Trai­ning unter die Ver­viel­fäl­ti­gung und Bereit­stel­lung für die „inter­ne Infor­ma­ti­on oder Doku­men­ta­ti­on“ fal­len kann (Art. 19 Abs. 1 lit. c URG). Da eine sol­che Ver­viel­fäl­ti­gung im Wesent­li­chen nur für nicht-kom­mer­zi­el­le Zwecke frei­ge­stellt ist und das Trai­ning eines LLMs daher in der Regel nicht erfas­sen dürf­te und da die Vervielfälti­gung im Han­del erhält­li­cher Werk­ex­em­pla­re nicht abdeckt ist (Art. 19 Abs. 3 lit. a URG), wird die­se Schran­ke häu­fig nicht greifen.

  • Eben­falls dis­ku­tiert wird sog. „Text-and-Data-Mining“ (TDM), das eine Ver­viel­fäl­ti­gung zu wis­sen­schaft­li­chen Zwecke frei­stellt, wenn sie tech­nisch bedingt ist, bspw. durch die seman­ti­sche Ana­ly­se des Aus­gangs­ma­te­ri­als (Art. 24d URG). Der Wis­sen­schafts­be­griff ist zwar breit, doch ver­langt auch die ange­wand­te For­schung pri­va­ter Unter­neh­men einen ernst­haf­ten Erkennt­nis­zweck. Ob der Umstand, dass ein trai­nier­tes LLM für unter­schied­li­che Zwecke ver­wend­bar ist, genügt, dem Trai­ning den erfor­der­li­chen Erkennt­nis­zweck zuzu­spre­chen, ist unge­wiss; jeden­falls reicht es nicht, dass ein trai­nier­tes LLM ggf. zu For­schungs­zwecken ver­wen­det wer­den kann, der For­schungs­zweck müss­te das Trai­ning erfassen.

Ausser­dem muss die Beschaf­fung der ver­wen­de­ten Wer­ke recht­mä­ssig sein (Art. 24d URG), was u.a. bei öffent­lich ver­füg­ba­ren Wer­ken nicht pau­schal bejaht (oder ver­neint wer­den kann).

  • Eine nur flüch­ti­ge Ver­viel­fäl­ti­gung wäre zwar frei­ge­stellt, solan­ge sie nur flüch­tig oder beglei­tend ist, einen inte­gra­len und wesent­li­chen Teil eines tech­ni­schen Ver­fah­rens dar­stellt, aus­schliess­lich der Über­tra­gung in einem Netz zwi­schen Drit­ten durch einen Ver­mitt­ler oder einer recht­mä­ssi­gen Nut­zung dient und kei­ne eigen­stän­di­ge wirt­schaft­li­che Bedeu­tung hat (Art. 24a URG). Die­se Vor­aus­set­zun­gen – sie gel­ten kumu­la­tiv – dürf­ten auf die Zusam­men­stel­lung eines Trainings‑, Tests- und/oder Vali­die­rungs­da­ten­sat­zes kaum zutref­fen (und wohl auch kaum auf den Trai­nings­vor­gang selbst, der eine erheb­li­che wirt­schaft­li­che Bedeu­tung hat). Auch Art. 24a URG ist daher kaum eine Grund­la­ge für den gesam­ten Trai­nings­vor­gang mit urhe­ber­recht­lich geschütz­tem Material.

Der Out­put sei­ner­seits ist urhe­ber­recht­lich kaum geschützt, weil eine gei­sti­ge, d.h. mensch­li­che Schöp­fung fehlt (Art. 2 Abs. 1 URG); dies jeden­falls, soweit der Out­put nicht nach­weis­lich von einer natür­li­chen Per­son vor­ge­ge­ben wur­de. Eine AI kann aus dem glei­chen Grund kein Erfin­der im patent­recht­li­chen Sin­ne sein – auch hier setzt der Schutz vor­aus, dass der Erfin­der ein Mensch ist.

60. Was gilt beim Ein­satz von AI am Arbeitsplatz?

Der AIA ent­hält eini­ge weni­ge Bestim­mun­gen eigens im Zusam­men­hang mit dem Ein­satz von AIS im Arbeitskontext:

  • Der Ein­satz eines AIS ist nach Art. 5 in weni­gen Fäl­len ver­bo­ten (→ 27). Das kann im Arbeits­be­reich der Fall sein, bspw. bei Emo­ti­ons­er­ken­nung am Arbeits­platz, wenn die Schutz­be­dürf­tig­keit von Mit­ar­bei­ten­den aus­ge­nutzt wer­den soll oder wenn ein Social Scoring erfol­gen würde;

  • Der Begriff des HRAIS umfasst arbeits­platz­be­zo­ge­ne Use Cases (→ 28), bspw. wenn AIS zur Steue­rung des Zugangs zur beruf­li­chen Aus- und Wei­ter­bil­dung ver­wen­det wird, bei der Ein­stel­lung oder Aus­wahl von Stel­len­be­wer­bun­gen zum Ein­satz kommt oder bei Ent­schei­dun­gen über Arbeits­be­din­gun­gen, Beför­de­run­gen oder Kün­di­gun­gen ver­wen­det wird.

  • Vor der Inbe­trieb­nah­me oder Ver­wen­dung eines HRAIS am Arbeits­platz muss der Betrei­ber die Mit­ar­bei­ter­ver­tre­ter und die betrof­fe­nen Arbeit­neh­men­den infor­mie­ren, dass sie „der Ver­wen­dung des Hoch­ri­si­ko-KI-Systems unter­lie­gen“ wer­den (Art. 26 Abs. 7 AIA).

  • Zu infor­mie­ren ist auch dann, wenn ein HRAIS ver­wen­det wird – auch, aber nicht nur im Arbeits­kon­text –, um Ent­schei­dun­gen zu tref­fen oder dabei zu unter­stüt­zen (Art. 26 Abs. 11 AIA).

Anson­sten bleibt der Schutz der Arbeit­neh­men­den und Bewer­ben­den aber den son­sti­gen Vor­schrif­ten des anwend­ba­ren Rechts über­las­sen, ins­be­son­de­re des Daten­schutz­rechts und des öffent­li­chen Arbeits­rechts, das Mit­wir­kungs­rech­te vor­se­hen kann.

In der EU sind aller­dings Gesetz­ge­bungs­pro­jek­te im Gang, die den Schutz der Arbeit­neh­men­den ver­bes­sern sol­len. Die im Ent­wurf vor­lie­gen­de Platt­form­richt­li­nie der EU (https://dtn.re/G3ytlM), die Zustim­mung des Rats steht noch aus.

61. Wel­che inter­na­tio­na­len Stan­dards betref­fen AI?

Meh­re­re Stan­dards und Nor­mungs­in­itia­ti­ven befas­sen sich mit AI. Die Inter­na­tio­nal Orga­nizati­on for Stan­dar­dizati­on (ISO) und die Inter­na­tio­nal Elec­tro­tech­ni­cal Com­mis­si­on (IEC) haben gemein­sam Stan­dards entwickelt:

  • ISO/IEC 42001:2023 (https://dtn.re/L8KOIs): Anfor­de­run­gen an AI-Managementsysteme

  • ISO/IEC TR 24028:2020 (https://dtn.re/YYy0Ha): Ver­trau­ens­wür­dig­keit von AI-Syste­men, Kri­te­ri­en für Trans­pa­renz, Kon­trol­le und Erklärbarkeit

  • ISO/IEC 5259 – 1: Basis der ISO 5259-Rei­he betr. Daten­qua­li­tät für Ana­ly­sen und ML (https://dtn.re/TggI5G)

  • ISO/IEC TR 5469:2024: Ein­satz von AI in sicher­heits­re­le­van­ten Funk­tio­nen (https://dtn.re/vbc8IL)

In Euro­pa betei­li­gen sich das CEN (Euro­päi­sches Komi­tee für Nor­mung) und das CENELEC (Euro­päi­sches Komi­tee für elek­tro­tech­ni­sche Nor­mung) an der Ent­wick­lung von AI-Stan­dards über das gemein­sa­me Komi­tee CEN-CENELEC JTC 21 „Arti­fi­ci­al Intel­li­gence“. Es hat meh­re­re Stan­dards ver­öf­fent­licht, und wei­te­re befin­den sich in Aus­ar­bei­tung (https://dtn.re/Gx0XMT). Ver­öf­fent­licht wur­den bspw.:

  • CEN/CLC ISO/IEC/TR 24027:2023: Bias

  • CEN/CLC ISO/IEC/TR 24029 – 1:2023: Beur­tei­lung der Robust­heit neu­ro­na­ler Netzwerke

Das ame­ri­ka­ni­sche Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy (NIST) hat sodann ein AI-Risi­ko­ma­nage­ment-Frame­work ent­wickelt, das AI RMF 1.0, ver­öf­fent­licht im Janu­ar 2023, das anschlie­ssend durch „Pro­files“ ergänzt wur­de, Imple­men­tie­run­gen für bestimm­te Umstän­de, Anwen­dun­gen oder Tech­no­lo­gien. Ein Bei­spiel ist NIST AI 600 – 1 „Arti­fi­ci­al Intel­li­gence Risk Manage­ment Frame­work: Gene­ra­ti­ve Arti­fi­ci­al Intel­li­gence Pro­fi­le“ (https://dtn.re/z3H7BJ).

62. Was ist die AI-Kon­ven­ti­on des Europarats?

Der Euro­pa­rat (nicht der Rat der Euro­päi­schen Uni­on) hat am 17. Mai 2024 die AI-Kon­ven­ti­on des Euro­pa­rats (Euro­pe Frame­work Con­ven­ti­on on Arti­fi­ci­al Intel­li­gence and Human Rights, Demo­cra­cy and the Rule of Law, AI Con­ven­ti­on) ver­ab­schie­det. Der Text der AI Con­ven­ti­on ist zusam­men mit dem Expl­ana­to­ry Report auf datenrecht.ch ver­füg­bar (https://dtn.re/8zndsz), auf Englisch.

Die Kon­ven­ti­on ist eine von den rati­fi­zie­ren­den Staa­ten – zu der die Schweiz sicher gehö­ren wird – umzu­set­zen­de Rah­men­ver­ein­ba­rung, die Stan­dards in Bezug auf Men­schen­rech­te, Demo­kra­tie und Rechts­staat­lich­keit beim Ein­satz von AI-Syste­men sicher­stel­len soll.

Mit­glie­der und Nicht­mit­glie­der des Euro­pa­ra­tes wer­den nun auf­ge­for­dert, das Rah­men­über­ein­kom­men zu unter­zeich­nen und zu rati­fi­zie­ren. Soll­te die Schweiz die Kon­ven­ti­on rati­fi­zie­ren, muss sie sie ins schwei­ze­ri­sche Recht über­füh­ren (→ 63).

Die Vor­ga­ben der AI Con­ven­ti­on sind sehr vage. Dazu kommt, dass sie die Mit­glied­staa­ten nur bei der Legi­fe­rie­rung im öffent­li­chen Sek­tor bin­det. Im Pri­vat­be­reich sol­len die Mit­glied­staa­ten ledig­lich in einer Wei­se, die „mit Ziel und Zweck“ der AI Con­ven­ti­on „ver­ein­bar ist“ (Art. 3 Abs. 1 der AI Convention).

63. Wie regu­liert die Schweiz den Ein­satz künst­li­cher Intelligenz?

In der Schweiz exi­stiert bis­her kei­ne über­grei­fen­de Regu­lie­rung des Ein­sat­zes künst­li­cher Intel­li­genz. Der Bun­des­rat hat das UVEK Ende 2023 beauf­tragt, im Rah­men der Inter­de­par­te­men­ta­len Koor­di­na­ti­ons­grup­pe EU-Digi­tal­po­li­tik bis Ende 2024 mög­li­che Ansät­ze für eine Regu­lie­rung aus­zu­lo­ten (sie­he die Medi­en­mit­tei­lung, https://dtn.re/uV1Eau). Das UVEK bzw. in des­sen Auf­trag das BAKOM soll dabei vom gel­ten­den Recht aus­ge­hen und Regu­lie­rungs­an­sät­ze fin­den, die sowohl mit dem AIA als auch der AI Con­ven­ti­on (→ 62) kom­pa­ti­bel sind.

Bis Ende 2024 sol­len die Aus­le­ge­ord­nung des BAKOM ein­schliess­lich der dafür ange­fer­tig­ten Grund­la­gen­stu­di­en bspw. zu Rege­lungs­lücken des gel­ten­den Rechts sowie der Rich­tungs­ent­scheid des Bun­des­rats vorliegen.

Wel­che Ansät­ze das UVEK vor­schlägt und wel­che sich letzt­lich durch­set­zen, ist der­zeit aller­dings offen. Eine Voll­über­nah­me des AIA dürf­te poli­tisch wenig Chan­cen haben, solan­ge die EU dies nicht als Bedin­gung für die Teil­nah­me am Bin­nen­markt stellt, und die AI Con­ven­ti­on ist so vage, dass ihr Inhalt eine Regu­lie­rung kaum vor­zeich­net, beson­ders nicht im pri­va­ten Bereich (→ 62). Die Wirt­schaft (aber auch die Aca­de­mia) pocht auf schlan­ke Rege­lun­gen, wäh­rend zivil­ge­sell­schaft­li­che Orga­ni­sa­tio­nen stren­ge­re Bestim­mun­gen ins­be­son­de­re zum Schutz vor Dis­kri­mi­nie­rung for­dern (z.B. Algo­rithm Watch). Am nahe­lie­gend­sten erscheint der­zeit ein Man­tel­erlass, der die ein­schlä­gi­gen Rechts­grund­la­gen punk­tu­ell anpasst.

Zudem sind diver­se poli­ti­sche Vor­stö­sse hän­gig, bspw. die fol­gen­den (auf Bundesebene):

  • 24.3796, Moti­on Glätt­li, 14. Juni 2024, Trans­pa­ren­te risi­ko­ba­sier­te Fol­ge­ab­schät­zun­gen bei Ein­satz von KI und Algo­rith­men durch den Bund (https://dtn.re/vWwoDP)

  • 24.3795, Moti­on Glätt­li, 14. Juni 2024, Schutz vor Dis­kri­mi­nie­rung beim Ein­satz von KI und Algo­rith­men (https://dtn.re/B46Qtc)

  • 24.3611, Inter­pel­la­ti­on Cot­tier, 13. Juni 2024, Künst­li­che Intel­li­genz. Koor­di­na­ti­on in der Ver­wal­tung und Absich­ten bezüg­lich des neu­en Rah­men­über­ein­kom­mens des Euro­pa­rats (https://dtn.re/hdDPxQ)

  • 24.3616, Inter­pel­la­ti­on Gös­si, 13. Juni 2024, Medi­en und künst­li­che Intel­li­genz (https://dtn.re/JaEh4n)

  • 24.3415, Inter­pel­la­ti­on Tschopp, 17. April 2024, Platt­for­men und KI: Rech­te der Nut­ze­rin­nen und Nut­zer (https://dtn.re/HBZFOE)

  • 24.3363, Moti­on Chap­puis, 15. März 2024, Für eine sou­ve­rä­ne digi­ta­le Infra­struk­tur in der Schweiz im Zeit­al­ter der künst­li­chen Intel­li­genz (https://dtn.re/s4SsC9)

  • 24.3346, Inter­pel­la­ti­on Docourt, 15. März 2024, EU-Richt­li­nie über Platt­form­ar­beit. Will sich die Schweiz dar­an ori­en­tie­ren? (https://dtn.re/UNvBOq)

  • 24.3235, Inter­pel­la­ti­on Mar­ti, 14. März 2024, Künst­li­che Intel­li­genz und die Aus­wir­kun­gen auf das Urhe­ber­recht (https://dtn.re/jpX0Cg)

  • 24.3209, Moti­on Juil­lard, 14. März 2024, Für eine sou­ve­rä­ne digi­ta­le Infra­struk­tur in der Schweiz im Zeit­al­ter der künst­li­chen Intel­li­genz (KI) (https://dtn.re/NsqdKN)

  • 23.4517, Inter­pel­la­ti­on Gug­ger, 22. Dezem­ber 2023, Künst­li­che Intel­li­genz und Mit­wir­kung. Gibt es Lücken im Gesetz? (https://dtn.re/hl1Q54)

  • 23.4492, Moti­on Gysi, 22. Dezem­ber 2023, Künst­li­che Intel­li­genz am Arbeits­platz. Mit­wir­kungs­rech­te der Arbeit­neh­men­den stär­ken (https://dtn.re/PH8ab1)

  • 23.4051, Inter­pel­la­ti­on Schlat­ter, 29. Sep­tem­ber 2023, Künst­li­che Intel­li­genz und Robo­tik. Ethik gehört in die Aus­bil­dung! (https://dtn.re/PMNgtC)

  • 23.393, Inter­pel­la­ti­on Cot­tier, 16. Juni 2023, Künst­li­che Intel­li­genz. Wel­che Rah­men­be­din­gun­gen müs­sen geschaf­fen wer­den, um das Beste dar­aus zu machen und Fehl­ent­wick­lun­gen zu ver­mei­den? (https://dtn.re/FXxB9v)

  • 23.3812, Inter­pel­la­ti­on Wid­mer, 15. Juni 2023, Künst­li­che Intel­li­genz. Gefah­ren und Poten­zia­le für die Demo­kra­tie (https://dtn.re/ZkaTUc)

  • 23.4133, Inter­pel­la­ti­on Mar­ti, 28. Sep­tem­ber 2023, Algo­rith­mi­sche Dis­kri­mi­nie­rung. Ist der gesetz­li­che Dis­kri­mi­nie­rungs­schutz aus­rei­chend? (https://dtn.re/xr97Zq)

  • 23.3849, Moti­on Ben­da­han, 15. Juni 2023, Ein Kom­pe­tenz­zen­trum oder Kom­pe­tenz­netz­werk für künst­li­che Intel­li­genz in der Schweiz schaf­fen (https://dtn.re/sqLWYa)

  • 23.3654, Inter­pel­la­ti­on Rini­ker, 13. Juni 2023, Rol­le der Schweiz in der inter­na­tio­na­len Zusam­men­ar­beit auf dem Gebiet der künst­li­chen Intel­li­genz (https://dtn.re/sUoUb3)

  • 23.3806, Moti­on Mar­ti, 15. Juni 2023, Dekla­ra­ti­ons­pflicht bei Anwen­dun­gen der künst­li­chen Intel­li­genz und auto­ma­ti­sier­ten Ent­schei­dungs­sy­ste­men (https://dtn.re/D3FmNo)

  • 23.3563, Moti­on Maha­im, 4. Mai 2023, Deepf­akes regu­lie­ren (https://dtn.re/kwNWvh)

  • 23.3516, Inter­pel­la­ti­on Fel­ler, 2. Mai 2023, Grund­sätz­li­ches oder vor­läu­fi­ges Ver­bot von bestimm­ten Platt­for­men der künst­li­chen Intel­li­genz (https://dtn.re/Ig8JPJ)

  • 23.3201, Postu­lat Dobler, 16. März 2023, Rechts­la­ge der künst­li­chen Intel­li­genz. Unsi­cher­hei­ten klä­ren, Inno­va­ti­on för­dern! (https://dtn.re/e7sGlM)

  • 23.3147, Inter­pel­la­ti­on Ben­da­han, 14. März 2023, Regu­lie­rung der künst­li­chen Intel­li­genz in der Schweiz (https://dtn.re/xMVLIE)

  • 21.4406, Postu­lat Mar­ti, 9. Dezem­ber 2021, Bericht zur Regu­lie­rung von auto­ma­ti­sier­ten Ent­schei­dungs­sy­ste­men (https://dtn.re/PQbXqs)

  • 21.3206, Inter­pel­la­ti­on Poin­tet, 17. März 2021, Wel­che Pro­zes­se des Staa­tes stüt­zen sich auf künst­li­che Intel­li­genz? (https://dtn.re/WUw9Hr)

  • 21.3012, Postu­lat Sicher­heits­po­li­ti­sche Kom­mis­si­on, 15. Janu­ar 2021, Kla­re Regeln für auto­no­me Waf­fen und künst­li­che Intel­li­genz (https://dtn.re/duRhvk)

  • 19.3919, Inter­pel­la­ti­on Rik­lin, 21. Juni 2019, Künst­li­che Intel­li­genz und digi­ta­le Trans­for­ma­ti­on. Wir brau­chen eine holi­sti­sche Stra­te­gie (https://dtn.re/5x93tL)

Selbst­ver­ständ­lich gel­ten die sonst anwend­ba­ren Bestim­mun­gen auch beim Ein­satz von KI. Das betrifft bspw.

  • das Daten­schutz­recht (wenn beim Trai­ning oder beim Ein­satz Per­so­nen­da­ten bear­bei­tet werden),

  • das Geheim­nis­schutz­recht (wenn gehei­me Infor­ma­tio­nen für ein Trai­ning oder als Input ver­wen­det werden),

  • das Arbeits­ver­trags­recht (wenn Per­so­nen­da­ten von Bewer­ben­den und Mit­ar­bei­ten­den bear­bei­tet wer­den und wenn eine KI die Für­sor­ge­pflicht des Arbeit­ge­bers tangiert),

  • das öffent­li­che Arbeits­recht (z.B. wenn Mit­wir­kungs­pflich­ten grei­fen oder eine Ver­hal­tens­über­wa­chung zur Dis­kus­si­on steht),

  • das Per­sön­lich­keits­recht (z.B. wenn Gesprä­che oder Team­scalls auf­ge­zeich­net werden),

  • das Lau­ter­keits­recht (wenn AI-gene­rier­te Inhal­te irre­füh­rend sein können),

  • das Urhe­ber­recht (z.B. wenn eine AI mit Wer­ken trai­niert oder Wer­ke als Input ver­wen­det wer­den, und wenn der Schutz von Out­put zur Dis­kus­si­on steht),

  • das Straf­recht (bei Auf­nah­men nicht-öffent­li­cher Gesprä­che oder gene­rell beim Ein­satz von AI bei straf­ba­rem Verhalten),

  • das Pro­dukt­haf­tungs- und das son­sti­ge Haft­pflicht­recht,
  • wei­te­re Rechtsgebiete.

Auch sek­to­ri­el­le Rege­lun­gen kön­nen betrof­fen sein. Weni­ge Auf­sichts­be­hör­den haben bereits Erwar­tun­gen for­mu­liert, so ins­be­son­de­re die FINMA (https://dtn.re/bOT1Ez).

Pri­va­te Akteu­re haben sich in der Zwi­schen­zeit eben­falls Regeln gege­ben. Das betrifft vor allem beson­ders expo­nier­te Akteu­re wie

  • Medi­en (die Publi­zi­sti­schen Leit­li­ni­en der SRG (https://dtn.re/f1UTYZ),

  • poli­ti­sche Par­tei­en (bspw. mit dem KI-Kodex der Grü­nen, der GLP, der SP, der Mit­te und der EVP, https://dtn.re/1te4U8) oder

  • die For­schung und Aus­bil­dung (bspw. mit den Emp­feh­lun­gen zum Umgang mit gene­ra­ti­ver Künst­li­cher Intel­li­genz an der UZH, https://dtn.re/aBstLV).

Auch zahl­rei­che pri­va­te Unter­neh­men haben teils öffent­li­che, teils nicht öffent­li­che Richt­li­ni­en, Kodi­zes und Anwei­sun­gen erlas­sen oder sind dabei, es zu tun.

Anhang: Begrif­fe

In Art. 3 AIA defi­nier­te Begriffe
Eng­lisch Deutsch
1 AI system KI-System
2 Risk Risi­ko
3 Pro­vi­der Anbie­ter
4 Deployer Betrei­ber
5 Aut­ho­ri­sed representative Bevoll­mäch­tig­ter
6 Importer Ein­füh­rer
7 Dis­tri­bu­tor Händ­ler
8 Ope­ra­tor Akteur
9 Pla­cing on the market Inver­kehr­brin­gen
10 Making available on the market Bereit­stel­lung auf dem Markt
11 Put­ting into service Inbe­trieb­nah­me
12 Inten­ded purpose Zweck­be­stim­mung
13 Rea­son­ab­ly fore­seeable misuse Ver­nünf­ti­ger­wei­se vor­her­seh­ba­re Fehlanwendung
14 Safe­ty component Sicher­heits­bau­teil
15 Ins­truc­tions for use Betriebs­an­lei­tun­gen
16 Recall of an AI system Rück­ruf eines KI-Systems
17 With­dra­wal of an AI system Rück­nah­me eines KI-Systems
18 Per­for­mance of an AI system Lei­stung eines KI-Systems
19 Noti­fy­ing authority Noti­fi­zie­ren­de Behörde
20 Con­for­mi­ty assessment Kon­for­mi­täts­be­wer­tung
21 Con­for­mi­ty assess­ment body Kon­for­mi­täts­be­wer­tungs­stel­le
22 Noti­fi­ed body Noti­fi­zier­te Stelle
23 Sub­stan­ti­al modification Wesent­li­che Veränderung
24 CE mar­king CE-Kenn­zeich­nung
25 Post-mar­ket moni­to­ring system System zur Beob­ach­tung nach dem Inverkehrbringen
26 Mar­ket sur­veil­lan­ce authority Markt­über­wa­chungs­be­hör­de
27 Har­mo­ni­s­ed standard Har­mo­ni­sier­te Norm
28 Com­mon specification Gemein­sa­me Spezifikation
29 Trai­ning data Trai­nings­da­ten
30 Vali­da­ti­on data Vali­die­rungs­da­ten
31 Vali­da­ti­on data set Vali­die­rungs­da­ten­satz
32 Test­ing data Test­da­ten
33 Input data Ein­ga­be­da­ten
34 Bio­me­tric data Bio­me­tri­sche Daten
35 Bio­me­tric identification Bio­me­tri­sche Identifizierung
36 Bio­me­tric verification Bio­me­tri­sche Verifizierung
37 Spe­cial cate­go­ries of per­so­nal data Beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten
38 Sen­si­ti­ve ope­ra­tio­nal data Sen­si­ble ope­ra­ti­ve Daten
39 Emo­ti­on reco­gni­ti­on system Emo­ti­ons­er­ken­nungs­sy­stem
40 Bio­me­tric cate­go­ri­sa­ti­on system System zur bio­me­tri­schen Kategorisierung
41 Remo­te bio­me­tric iden­ti­fi­ca­ti­on system Bio­me­tri­sches Fernidentifizierungssystem
42 Real-time remo­te bio­me­tric iden­ti­fi­ca­ti­on system Bio­me­tri­sches Echtzeit-Fernidentifizierungssystem
43 Post-remo­te bio­me­tric iden­ti­fi­ca­ti­on system System zur nach­träg­li­chen bio­me­tri­schen Fernidentifizierung
44 Publicly acce­s­si­ble space Öffent­lich zugäng­li­cher Raum
45 Law enforce­ment authority Straf­ver­fol­gungs­be­hör­de
46 Law enforce­ment Straf­ver­fol­gung
47 AI Office Büro für Künst­li­che Intelligenz
48 Natio­nal com­pe­tent authority Zustän­di­ge natio­na­le Behörde
49 Serious inci­dent Schwer­wie­gen­der Vorfall
50 Per­so­nal data Per­so­nen­be­zo­ge­ne Daten
51 Non-per­so­nal data Nicht per­so­nen­be­zo­ge­ne Daten
52 Pro­fil­ing Pro­fil­ing
53 Real-world test­ing plan Plan für einen Test unter Realbedingungen
54 Sand­box plan Plan für das Reallabor
55 AI regu­la­to­ry sandbox KI-Real­la­bor
56 AI liter­a­cy KI-Kom­pe­tenz
57 Test­ing in real-world conditions Test unter Realbedingungen
58 Sub­ject Test­teil­neh­mer
59 Infor­med consent Infor­mier­te Einwilligung
60 Deep fake Deepf­ake
61 Wide­spread infringement Weit­ver­brei­te­ter Verstoss
62 Cri­ti­cal infrastructure Kri­ti­sche Infrastrukturen
63 Gene­ral-pur­po­se AI model KI-Modell mit all­ge­mei­nem Verwendungszweck
64 High-impact capa­bi­li­ties Fähig­kei­ten mit hoher Wirkkraft
65 Syste­mic risk Syste­mi­sches Risiko
66 Gene­ral-pur­po­se AI system KI-System mit all­ge­mei­nem Verwendungszweck
67 Floa­ting-point operation Gleit­kom­ma­ope­ra­ti­on
68 Down­stream provider Nach­ge­la­ger­ter Anbieter