Künstliche Intelligenz (KI) ist allgegenwärtig, nahezu jedes Unternehmen scheint KI einzusetzen oder sogar eigene KI-Systeme zu entwickeln. Doch nicht nur Unternehmen nutzen KI; auch Privatpersonen machen von Sprach-, Bild- und Videogenerierungsmodellen Gebrauch. KI-Systeme sind mittlerweile leicht zugänglich und ermöglichen die Erstellung täuschend echter, synthetische Inhalte. Infolgedessen wächst der Ruf nach mehr Transparenz: Es wird gefordert, Einblicke in die Funktionsweise von KI-Systemen zu gewähren und den Einsatz von KI klar zu kommunizieren, zu kennzeichnen und nachverfolgbar zu machen. Diesen Forderungen wurde teilweise durch die im August 2024 in Kraft getretenen KI-Verordnung (englisch = AI Act) begegnet, die erstmals einen rechtlichen Rahmen zur Regulierung von KI schafft.
Der vorliegende Beitrag gibt einen Überblick über die in der KI-Verordnung enthaltenen Transparenzpflichten. Diese sind größtenteils vage formuliert und lassen in Bezug auf ihre konkrete Auslegung und Umsetzung viel Interpretationsspielraum zu. Mehr Klarheit dürfte erst durch die von der Kommission zu erarbeitenden Leitlinien sowie die vom Büro für Künstliche Intelligenz zu erstellenden Praxisleitfäden geschaffen werden.
1. Bin ich von den Transparenzpflichten der KI-VO betroffen?
Bevor man sich den einzelnen Transparenzpflichten widmet, sollte man zunächst sicherstellen, dass man überhaupt in den Anwendungsbereich der KI-Verordnung fällt. (Ist dies nicht der Fall, entfällt logischerweise auch die Verpflichtung, Transparenzpflichten nach der KI-Verordnung zu erfüllen.) Setzt man tatsächlich KI im Sinne der KI-Verordnung ein? Welche Rolle nimmt man in Bezug auf das KI-System oder Modell ein? Hilfestellungen zur Beantwortung dieser Fragen finden Sie in unserem Beitrag „Anbieter oder Betreiber? Die Schlüsselrollen im AI-Act entschlüsselt“.
Der Umfang der Transparenzpflichten hängt zum einen von der Rolle ab – ist man „Anbieter“ oder „Betreiber“? Zum anderen ist entscheidend, in welche Kategorie der KI-Verordnung das KI-System fällt. Für die richtige Einstufung ihres KI-Systems gibt unser Artikel „Risikoklassifizierung nach der KI-Verordnung“ Auskunft.
Der „Anbieter“ wird in Art. 3 Nr. 3 KI-VO definiert. Als Anbieter gilt danach derjenige, der aktiv an der Entwicklung des KI-Systems/Modells beteiligt ist oder ein bereits bestehendes KI-System/Modell in ein eigenes Produkt integriert und dieses unter seinem eigenen Namen oder Marke vertreibt.
Als „Betreiber“ wird derjenige eingestuft, der ein KI-System in eigener Verantwortung im Rahmen seiner beruflichen Tätigkeit verwendet (vgl. Art. 3 Nr. 4 KI-VO). Private Nutzer von KI sind von den Pflichten in der KI-VO ausdrücklich nicht erfasst.
Die zentralen Transparenzpflichten richten sich an die „Anbieter“ von KI-Systemen/Modellen. Die „Betreiber“ treffen demgegenüber geringere Pflichten. Es bestehen Transparenzpflichten für Hochrisiko-KI-Systeme im Sinne des Art. 6 KI-VO, für bestimmte KI-Systeme nach Art. 50 KI-VO und für KI-Modelle mit allgemeinem Verwendungszweck, Art. 53 KI-VO.
2. Transparenzpflichten für Hochrisiko-KI-Systeme im Sinne des Art. 6 KI-VO
a) Für Anbieter:
Nach Art. 13 KI-VO trifft Anbieter die sehr vage formulierte Verpflichtung Hochrisiko-Systeme so zu konzipieren und zu entwickeln, dass ihr Betrieb hinreichend transparent ist, damit die Betreiber die Ausgaben des Systems angemessen interpretieren und verwenden können. Hierzu sollen Anbieter etwa Betriebsanleitungen, die die in Art. 13 Abs. 3 KI-VO aufgelisteten Informationen (u.a. Name des Anbieters, Merkmale, Fähigkeiten und Leistungsgrenzen des KI-Systems…) beinhalten müssen, bereitstellen. Außerdem sind Anbieter nach Art. 11 KI-VO dazu verpflichtet eine kontinuierlich aktualisierte technische Dokumentation des Hochrisiko-KI-Systems vorzuhalten, welche die in Anhang IV genannten allgemeinen und besonderen Anforderungen erfüllen muss (Allgemeine Beschreibung des KI-Systems, detaillierte Beschreibung der Bestandteile des KI-Systems und seines Entwicklungsprozesses (…)). Art. 12 KI-VO schreibt zudem vor, dass Anbieter sicherstellen müssen, dass die Technik des Hochrisiko-KI-Systems eine automatische Aufzeichnung von Ereignissen ermöglicht. Die so erstellten Aufzeichnungen müssen nach Art. 19 KI-VO aufbewahrt werden.
b) Für Betreiber:
Betreiber treffen in Bezug auf den Einsatz von Hochrisiko KI-Systemen unter bestimmten Voraussetzungen Informationspflichten. So müssen Betreiber von Hochrisiko-KI-Systemen, die natürliche Personen betreffende Entscheidungen treffen oder bei solchen Entscheidungen Unterstützung leisten, die betroffenen Personen über die Verwendung des Systems informieren (vgl. Art. 26 XI KI-VO). Betreiber, die Arbeitgeber sind, haben zudem die Verpflichtung, die Arbeitnehmervertreter und die betroffenen Arbeitnehmer vor der Inbetriebnahme oder Nutzung eines Hochrisiko-KI-Systems am Arbeitsplatz darüber zu informieren, dass sie dessen Einsatz unterliegen werden (Art. 26 Abs. 7 KI-VO).
Personen, die von einer Entscheidung betroffen sind, die mithilfe eines Hochrisiko-KI-Systems getroffen wurde, haben gegenüber dem Betreiber einen Anspruch auf Auskunft über die Rolle des KI-Systems im Entscheidungsprozess (Art. 86 Abs. 1 KI-VO).
3. Transparenzpflichten für „bestimmte“ KI-Systeme nach Art. 50 KI-VO
a) Für Anbieter:
Nach Art. 50 Abs. 1 KI-VO müssen Anbieter von KI-Systemen, die für die direkte Interaktion mit natürlichen Personen bestimmt sind (bspw. Chatbots oder auch Pflegeroboter), sicherstellen, dass die betreffenden Personen darüber informiert werden, dass sie mit einem KI-System interagieren, es sei denn, dies ist aus der Sicht einer angemessen, informierten, aufmerksamen und verständigen Person aufgrund der Umstände und des Kontexts der Nutzung offensichtlich.
Die Anbieter stellen sicher, dass KI‑Systeme, die für die direkte Interaktion mit natürlichen Personen bestimmt sind, so konzipiert und entwickelt werden, dass die betreffenden natürlichen Personen informiert werden, dass sie mit einem KI‑System interagieren, es sei denn, dies ist aus Sicht einer angemessen informierten, aufmerksamen und verständigen natürlichen Person aufgrund der Umstände und des Kontexts der Nutzung offensichtlich.
Da der Anbieter in der Regel nicht weiß, unter welchen Umständen und in welchem Kontext das KI-System eingesetzt wird, ist die Verpflichtung dahingehend zu verstehen, dass die Information technisch bereitgestellt und als Standardeinstellung in dem KI-System vorgesehen sein muss.
Nach Art. 50 Abs. 2 KI-VO sind die Anbieter von KI-Systemen, die synthetische Audio-, Bild-, Video oder Textinhalte erzeugen oder manipulieren, dazu verpflichtet, sicherzustellen, dass die Ausgaben des KI-Systems in einem maschinenlesbaren Format gekennzeichnet sind und als künstlich erzeugt oder manipuliert erkennbar sind. Die Kennzeichnungen sollen nicht nur der Information der Betrachter manipulierter oder generierter Inhalte dienen, sondern auch den Betreibern von KI-Systemen und anderen Beteiligten die Erfüllung ihrer jeweiligen Informationspflichten ermöglichen.
Anbieter von KI‑Systemen, einschließlich KI‑Systemen mit allgemeinem Verwendungszweck, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, stellen sicher, dass die Ausgaben des KI‑Systems in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind. Die Anbieter sorgen dafür, dass – soweit technisch möglich – ihre technischen Lösungen wirksam, interoperabel, belastbar und zuverlässig sind und berücksichtigen dabei die Besonderheiten und Beschränkungen der verschiedenen Arten von Inhalten, die Umsetzungskosten und den allgemein anerkannten Stand der Technik, wie er in den einschlägigen technischen Normen zum Ausdruck kommen kann.
So enthält etwa Art. 25 Abs. 1 k) Digital Service Act (DSA) für Anbieter sehr großer Online-Plattformen wie beispielsweise Booking, Amazon oder Instagram die Verpflichtung, generierte oder manipulierte Medieninhalte auffällig zu kennzeichnen, sofern eine Täuschung der Rezipienten über die Echtheit der genierten Inhalte oder Personen möglich ist. Zu der Frage, welche Anforderungen an die technische Umsetzung der Kennzeichnung zu stellen sind, finden sich in der KI-Verordnung keine klaren Antworten. In Art. 50 Abs. 2 S. 2 KI-VO heißt es hierzu lediglich, dass die technische Lösung „wirksam, interoperabel, belastbar und zuverlässig“ sein muss. In Erwägungsgrund 133 werden als mögliche Techniken Wasserzeichen, Metadatenidentifizierungen, kryptografische Methoden, Protokollierungsmethoden und Fingerabdrücke genannt.
b) Für Betreiber
Betreiber von KI-Systemen zur Emotionserkennung oder zur biometrischen Kategorisierung müssen die davon betroffenen Personen nach Art. 50 Abs. 3 KI-VO über den Betrieb des Systems informieren.
Betreiber von KI-Systemen, die Bild-, Ton-, Video- oder Textinhalte erzeugen oder manipulieren, sind verpflichtet, offenzulegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden, sofern diese Deepfakes und/oder Nachrichten von öffentlichem Interesse darstellen. Was unter einem „Deepfake“ zu verstehen ist, wird in Art. 3 Nr. 60 KI-VO definiert. Ein „Deepfake“ ist danach ein durch KI generierter oder manipulierter Inhalt, der den Anschein erweckt, echt und wahrheitsgemäß zu sein, in Wirklichkeit jedoch weder echt noch wahrheitsgemäß ist. Wann eine Nachricht eine Angelegenheit von öffentlichem Interesse betrifft, wird nicht näher definiert. Dies bleibt daher Auslegungssache und dürfte im räumlichen und zeitlichen Kontext der Veröffentlichung zu beurteilen sein. Die Umsetzung der Offenlegung, dass es sich um ein KI- generierten oder manipulierten Inhalt handelt, wird ebenfalls dem Betreiber überlassen. Es werden keine Vorgaben oder Anforderungen an die Kennzeichnung gestellt. Um das Risiko zu vermeiden, einen Deepfake oder eine Nachricht von öffentlichem Interesse nicht zu erkennen und folglich nicht zu kennzeichnen, könnte der Betreiber seiner Kennzeichnungspflicht nachkommen, indem er stets die vom Anbieter im Rahmen der Verpflichtung aus Art. 50 Abs. 2 bereitgestellte Kennzeichnung beibehält. Dies dürfte jedoch nicht in jedem Fall eine attraktive Lösung für den Betreiber darstellen.
4. Transparenzpflichten speziell für KI-Modelle mit allgemeinem Verwendungszweck (Art. 53 KI-VO)
Hier finden sich nur Transparenzpflichten für Anbieter. Nach Art. 53 Abs. 1 KI-VO sind Anbieter verpflichtet, eine fortlaufend aktualisierte Dokumentation sowie relevante Informationen über das KI-Modell bereitzustellen. Dies soll unter anderem sicherstellen, dass nachgelagerte Anbieter die Funktionsweise und Fähigkeiten des KI-Modells verstehen und ihre Pflichten im Rahmen der KI-Verordnung erfüllen können. Zudem trifft die Anbieter von KI-Modellen mit allgemeinem Verwendungszweck die Pflicht eine hinreichend detaillierte Zusammenfassung der für das Training des KI-Modells verwendeten Inhalte zu veröffentlichen (Art. 53 Abs. 1 d) KI-VO).
5. Fazit
Die im August 2024 in Kraft getretene KI Verordnung gilt hinsichtlich der in Art. 53 KI-VO für KI-Modelle mit allgemeinen Verwendungszweck geregelten Transparenzpflichten bereits ab dem 2. August 2025, die übrigen beschriebenen Transparenzpflichten gelten ab dem 2. August 2026. Angesichts des nicht unerheblichen Umfangs dieser Pflichten, insbesondere für Anbieter, ist es ratsam, frühzeitig mit der Implementierung entsprechender Maßnahmen zu beginnen.