Klasse 1: Unzumutbares Risiko
Unzumutbar oder untragbar riskante KI-Apps verbietet die Verordnung. Darunter fallen Systeme, die implizit Grundrechte verletzen, etwa indem sie menschliche Schwächen zur Verhaltensmanipulation ausnutzen, Menschen nach biometrischen oder sozialen Merkmalen selektieren (Social Scoring), anlasslos überwachen oder verdächtigen. Dies erstreckt sich auch auf eigenmächtiges, wahlloses Auslesen und Sammeln von Gesichtern aus Online-Bildmaterial oder Überwachungskameras sowie auf die maschinelle Interpretation menschlicher Emotionen am Arbeitsplatz oder in Bildungseinrichtungen. Nur amtliche Strafverfolger genießen hier – streng reglementierte – Sonderbefugnisse.
Klasse 2: Hochrisikosysteme
Hochriskant sind KI-Systeme, deren Einsatz zwar nicht automatisch die Gesundheit, Sicherheit, Grundrechte, Umwelt, Demokratie oder den Rechtsstaat schädigt, die aber für vorsätzlichen oder fahrlässigen Missbrauch anfällig sind. Typischerweise dienen sie der Verwaltung kritischer Infrastruktur, materieller oder ideeller Ressourcen oder von Personal.
Mehr anzeigen
Solche Systeme unterliegen künftig strengen Auflagen. Beispiel Kreditvergabe: Laut KI-Gesetz dürfen Banken nicht allein die Maschine über die Bonität der Kundin oder des Kunden entscheiden lassen. Ein Mensch muss den maschinell errechneten Score prüfen und die Freigabe oder Ablehnung verantworten.
Hersteller solcher Hochrisikosysteme haben diese vor der Markteinführung gründlich zu testen, Importeure und nachgelagerte Händler müssen sich vergewissern, dass die Systeme dem Gesetz genügen, Anwender müssen den Einsatz überwachen. Letzte Entscheidungs- und Aufsichtsinstanz bleibt nach dem Gesetz der Mensch. Den Adressaten der Entscheidungen solcher Systeme verleiht die Verordnung Einspruchs-, Auskunfts- und Beschwerderechte. Zu den Hochrisikosystemen zählen insbesondere:
- KI-Systeme als Komponenten von Produkten, die der EU-Produktsicherheitsverordnung unterliegen
- KI-Systeme aus einer der folgenden acht Kategorien:
- Erkennung und Klassifikation anhand biometrischer Merkmale
- Betrieb kritischer Infrastruktur
- Allgemein- und Berufsbildung
- Arbeit, Personalverwaltung, Zugang zur Selbständigkeit
- Grundversorgung mit öffentlichen oder privaten Diensten
- Strafverfolgung
- Migration, Asyl, Grenzkontrolle
- Rechtsberatung
Klasse 3: Transparenzrisiko
Als moderat riskant, zumindest intransparent stuft der EU-Gesetzgeber eine KI ein, die zwar nicht mit Grundrechten kollidiert, die Nutzer aber über Art und Quellen des Angebots im Unklaren lässt. Das betrifft Chatbots, vor allem aber die sogenannte generative KI, das heißt Programme, die artifizielle Texte, Bilder oder Videos erzeugen (z.B. Deepfakes). Laut Gesetz müssen sich solche Apps als Maschinen zu erkennen geben, ihre Erzeugnisse als Artefakte kennzeichnen, Trainingsdaten und deren Quellen dokumentieren, die Urheberrechte der Quellen wahren und die Erzeugung illegaler Inhalte verhindern.
Klasse 4: Geringes Risiko
Keinerlei Einschränkungen gelten für einfache KI-Systeme wie Spamfilter oder Empfehlungsdienste.