Wer den Anschluss nicht verlieren will, setzt auf KI – keine Frage. Doch mit dem Einsatz von KI kommen teils erhebliche Aufgaben auf Unternehmen zu. Ein bisher weitläufig unterschätzter Bereich ist die Thematik der „Transparenz“, die im AI Act (der KI-Verordnung) eine hervorgehobene Stellung hat.
Im Folgenden geht es um die wesentlichen Aspekte der Transparenzpflichten beim Einsatz von KI, wie sie im AI Act verankert sind; am Ende steht eine hilfreiche Checkliste für die praktische Umsetzung von Transparenz im Unternehmen.
Transparenz im AI Act
Was bedeutet Transparenz im AI Act?
Der AI Act versteht Transparenz als ein zentrales Prinzip, um Vertrauen in KI-Systeme zu schaffen und deren Nutzung sicher und ethisch zu gestalten. Transparenz wird definiert als die Fähigkeit, die Funktionsweise eines KI-Systems und die Entscheidungsprozesse, die zu bestimmten Ergebnissen führen, nachzuvollziehen und zu erklären (Erwägungsgrund 27 AI Act). Dies umfasst sowohl technische Aspekte, wie die Struktur von Algorithmen, als auch kommunikative Aspekte, wie die Offenlegung von KI-Nutzung gegenüber Betroffenen.
Pflichten im Zusammenhang mit Transparenz
Die Transparenzpflichten des AI Act sind je nach Art des KI-Systems unterschiedlich ausgestaltet. Für alle Systeme gilt, dass sie so entwickelt und betrieben werden müssen, dass sie für die Nutzer und betroffene Personen nachvollziehbar sind. Hochrisiko-KI-Systeme unterliegen besonders strengen Anforderungen, darunter:
- Technische Dokumentation und Nachvollziehbarkeit: Anbieter müssen eine detaillierte Dokumentation bereitstellen, die die Architektur, Datensätze, Algorithmen und Entscheidungsprozesse erklärt (Art. 11, Art. 23 AI Act).
- Informationspflichten gegenüber Nutzern: Nutzer müssen in die Lage versetzt werden, die Ergebnisse eines KI-Systems zu interpretieren und diese sicher zu verwenden (Art. 13 AI Act).
- Kennzeichnungspflichten: Systeme wie Deepfakes müssen ausdrücklich als KI-generiert gekennzeichnet werden (Art. 50 Abs. 4 AI Act).
- Recht auf Erläuterung: Betroffene Personen haben ein Recht darauf, nachvollziehbare Informationen über die Logik und Funktionsweise eines KI-Systems zu erhalten (Art. 86 AI Act).
Orientierung der Pflichten
Die Anforderungen orientieren sich an bestehenden Datenschutzregelungen wie der DSGVO und erweitern diese um spezifische Vorgaben für KI. Dabei spielt die Risikoklassifizierung eine Schlüsselrolle. Hochrisiko-Systeme unterliegen strikteren Auflagen als solche mit allgemeinem Verwendungszweck.
Klassische Anwendungsbereiche
Die Herausforderung der Blackbox
Eine zentrale Schwierigkeit besteht darin, dass viele KI-Systeme, insbesondere neuronale Netzwerke, als sogenannte „Blackboxes“ gelten. Ihre internen Prozesse sind für Außenstehende schwer verständlich. Dies betrifft nicht nur Anbieter, sondern auch Regulierungsbehörden und Endnutzer. Eine mögliche Lösung ist der Einsatz erklärbarer KI (Explainable AI, XAI), die technische Methoden bereitstellt, um Entscheidungen nachträglich zu interpretieren.
Deepfakes und synthetische Inhalte
Die Verpflichtung zur Kennzeichnung von Deepfakes ist besonders hervorzuheben. Angesichts der realistischen Darstellungen und des Missbrauchspotenzials zielt der AI Act darauf ab, die Integrität des öffentlichen Diskurses zu schützen. Dabei sind nicht nur die Anbieter, sondern auch die Betreiber von KI-Systemen gefordert, klare und gut sichtbare Hinweise auf die Künstlichkeit der Inhalte zu geben.
Datenschutz und Verbraucherrechte
Die Überschneidungen mit der DSGVO verdeutlichen, wie wichtig ein kohärentes Verständnis von Transparenz ist. Nutzer haben Anspruch auf klare Informationen über die Daten, die zur Modellbildung genutzt werden, sowie über die möglichen Auswirkungen der automatisierten Entscheidungen. Gleichzeitig müssen Unternehmen sorgfältig abwägen, inwieweit detaillierte Offenlegungen durch unverhältnismäßigen Aufwand eingeschränkt werden können.
Praktische Umsetzung: Eine Checkliste für KI-Compliance zur Transparenz
Zum Abschluss eine Checkliste, die die zentralen Anforderungen und Empfehlungen zusammenfasst:
- Risikobewertung: Identifizieren Sie, ob das eingesetzte KI-System als Hochrisiko-KI gilt.
- Technische Dokumentation: Stellen Sie sicher, dass alle relevanten technischen Details dokumentiert und nachvollziehbar sind.
- Kennzeichnungspflichten: Überprüfen Sie, ob KI-generierte Inhalte als solche gekennzeichnet werden müssen.
- Informationspflichten: Entwickeln Sie Nutzerhandbücher und Schulungen, die es Anwendern ermöglichen, die KI-Ergebnisse zu verstehen und sicher zu nutzen.
- Recht auf Erläuterung: Implementieren Sie Prozesse, um auf Anfragen von Betroffenen zu den Entscheidungsprozessen der KI reagieren zu können.
- Datenschutz und Datenquellen: Überprüfen Sie die Datenverarbeitung im Hinblick auf die DSGVO und sorgen Sie für transparente Hinweise auf die Datenquellen.
- Explainable AI: Erwägen Sie den Einsatz von Methoden der erklärbaren KI, um die Blackbox-Problematik zu adressieren.
- Schulung und Aufklärung: Schaffen Sie unternehmensweit Bewusstsein für die Transparenzanforderungen und deren Bedeutung für ethisches Handeln.
- Jugendstrafrecht und die Problematik „schädlicher Neigungen“ - 24. Januar 2025
- Die globalen Risiken 2025 im Bericht des Weltwirtschaftsforums - 23. Januar 2025
- D&O-Versicherung und das automatische Vertragsende bei Insolvenz - 23. Januar 2025