How it works: Das CE-Zeichen für KI-Systeme
Mit dem AI Act möchte die Europäische Union Rechtssicherheit im Bereich der Künstlichen Intelligenz schaffen und einen einheitlichen Markt für die Entwicklung, den Vertrieb und Betrieb KI-gestützter Anwendungen garantieren. Hierbei greift der Gesetzgeber auf das bewährte Prinzip der Konformitätserklärung und ihrer Kenntlichmachung durch das CE-Zeichen zurück. Wie läuft das Verfahren ab?
„Das CE-Zeichen ist ein Hinweis darauf, dass ein Produkt vom Hersteller geprüft wurde und dass es alle EU-weiten Anforderungen an Sicherheit, Gesundheitsschutz und Umweltschutz erfüllt. Es ist Pflicht für alle weltweit hergestellten Produkte, die in der EU vermarktet werden.“ Soweit ein Teil der offiziellen CE-Definition. Auch KI-Systeme mit besonders hohem Risiko, sogenannte Hochrisiko-KI-Systeme, müssen daher Anforderungen an ihr Design, verwendete Daten und Verfahren sowie diverse Risiko- und Monitoring-Vorgaben erfüllen.
Doch wie genau funktionieren KI und CE?
Zu Beginn steht oft eine Herausforderung – ein Prozess, eine Aufgabe, eine Anforderung, die wir mit Hilfe von KI automatisieren möchten. Unsere Business-Analyse erarbeitet Anforderungen und Abhängigkeiten und schafft damit die Grundlage für alle weiteren Schritte. Durch den AI Act werden wir uns nun zu Beginn noch intensiver damit auseinandersetzen, welche Risiken mit unserem KI-System verbunden sind. Unterliegen wir einer Produktregulierung? Wird das Vorhaben im AI Act als Hochrisiko-KI-System geführt? Die Antworten auf diese Fragen entscheiden maßgeblich über das weitere Vorgehen.
Das Hochrisiko-KI-System
Liegt ein Hochrisiko-KI-System vor, so müssen die Anforderungen nach dem AI Act erfüllt sein. Daher brauchen wir interne Prozesse, die ein hohes Maß an Qualität garantieren und die Konformität mit den Anforderungen des AI Acts sicherstellen. Diese Vorgaben beinhalten Qualitätsanforderungen an die verwendeten Daten, den vorhergesehenen Zweck der Anwendung, Cyber-Sicherheit, den Betrieb und viele mehr. Insbesondere betreffen sie alle Lebensphasen der KI-Anwendung. Dies umfasst beispielsweise die Pflicht, gewisse Dokumente auch noch bis zu zehn Jahre nach der Außerbetriebsetzung vorhalten zu können.
Konformität und Compliance
Sind wir also bereit, das System in Betrieb zu nehmen, müssen nun vorbereitende Maßnahmen ergriffen werden. Je nachdem, welche Art von Hochrisiko-KI-System entwickelt wurde, muss die Konformität entweder durch eine Zertifizierungsstelle oder durch interne Prozesse durchgeführt werden. Nach erfolgreicher Evaluierung sind wir als Entwickler dazu verpflichtet, die Konformitätserklärung zu unterzeichnen. Diese beinhaltet neben Informationen über den Hersteller der KI unter anderem auch relevante und umgesetzte Standardisierungen. Mit der Konformitätserklärung wird die Compliance mit dem AI Act bestätigt, daher ist sie ebenfalls bis zu zehn Jahren nach Außerbetriebsetzung aufzubewahren.
Nachdem also die Konformitätserklärung unterzeichnet ist, wird das CE-Kennzeichen gut sichtbar am Produkt und dessen Verpackung beziehungsweise auf der Bedienungsanleitung angebracht. Diese Anforderung mag irritieren, sie stammt wie viele andere Vorgaben aus dem Produkthaftungsgesetz und wurde KI-Systemen "übergestülpt". Systemoberflächen, die ein sinnvolles Anbringen des CE-Zeichens nicht zulassen, sind daher ausgenommen, und das Anbringen des Kennzeichens im Benutzerhandbuch reicht oft aus.
Bevor wir das Hochrisiko-KI-System in den Verkehr bringen dürfen, gibt es für manche Systeme die Vorgabe, den Hersteller und die Anwendung in einer EU-Datenbank zu registrieren. Das ist aber ein Thema für sich.
CE bedeutet rechtssichere KI-Produkte
Die Anforderung der Konformitätserklärung ermöglicht es also Anwender:innen von KI-Systemen, rechtssicher KI-Produkte zu erwerben und in ihre Prozesse zu integrieren. Der Fokus kann künftig auf die eigentliche Arbeit gelegt werden, und der Einsatz von Künstlicher Intelligenz wird nicht zum Selbstzweck. Dennoch gibt es auch kritische Stimmen zum Verfahren, und der Aufwand für Hersteller von KI-Systemen steigt beachtlich. Unternehmen, die bisher selbstständig KI-Systeme für den Eigenbedarf entwickeln und einsetzen, nehmen durch den AI Act die Rolle des Herstellers und Anwenders zugleich ein – eine Herausforderung!
Quelle Titelbild: AdobeStock/Digital Vision Lab