Dieser Beitrag basiert auf der Präsentation unserer Autoren im Rahmen der Herbstakademie 2024 der DSRI. Für die original Aufzeichnung können Sie gerne hier klicken.
Der EU AI Act stellt umfassende Vorschriften für die Entwicklung und den Einsatz von Künstlicher Intelligenz (KI) in Europa auf. Die Verordnung basiert auf einem risikobasierten Ansatz, der KI-Systeme in verschiedene Risikokategorien einteilt: von minimalem bis hin zu hohem Risiko. Unternehmen, die KI-Lösungen entwickeln oder nutzen, müssen sicherstellen, dass ihre Systeme nicht gegen diese Verordnung verstoßen.
In diesem Blogbeitrag werden die rechtlichen Anforderungen der EU-Verordnung zur Künstlichen Intelligenz (EU AI Act) anhand des Beispiels des KI-Produkts „Vektrus“ beleuchtet. Dabei trennen wir die rechtlichen Prüfungen klar von der technischen Beschreibung und zeigen, wie das Fine-Tuning der KI die Zweckbestimmung prägt und dadurch rechtliche Risiken minimiert.
Vektrus: Ein Überblick über die SaaS-Lösung
„Vektrus“ ist eine KI-gestützte SaaS-Lösung, die Unternehmen dabei unterstützt, Social Media Strategien zu entwickeln und Inhalte zu generieren. Die KI wurde mithilfe von gesammelte Daten und Best Practices aus dem Bereich Social Media Marketing trainiert, dieser Prozess der Anpassung wird auch „Fine-Tuning“ genannt. Zudem erfolgt eine individuelle Anreicherung der KI mit kundenspezifischen Informationen und Social Media Statistiken.
Das System basiert auf dem Large Language Model (LLM) von OpenAI, ChatGPT, das unter anderem durch Social Media Daten und Unternehmens Know How optimiert wird. So kann die KI nicht nur allgemeine Inhalte generieren, sondern spezifische, auf die Marketingstrategie eines Unternehmens zugeschnittene Beiträge erstellen. Dieses Fine-Tuning ermöglicht es, die KI für den jeweiligen Anwendungsfall zu spezialisieren.
Die rechtliche Prüfung gemäß dem EU AI Act
Grundsätzlich fällt „Vektrus“ als ein in Deutschland in Verkehr gebrachtes KI-System i.S.d. Art. 3 Nr. 1 des EU AI Acts unter den Anwendungsbereich des EU AI Acts. Fraglich ist jedoch, um welche Art von KI-System es sich bei „Vektrus“ handelt. Der erste Schritt in der rechtlichen Einordnung bestand daher darin, zu überprüfen, ob das System verbotene Funktionen gemäß Art. 5 des EU AI Acts aufweist. Verboten sind unter anderem KI-Systeme, die manipulative Techniken einsetzen, etwa zur gezielten Beeinflussung von Menschen, oder Systeme, die eine Echtzeit-Biometrieüberwachung ermöglichen. Da „Vektrus“ ausschließlich zur Generierung von Social Media Inhalten dient und keine derartigen Funktionen beinhaltet, fiel das System nicht in diese Kategorie.
Anschließend erfolgte eine Überprüfung der Risikoeinstufung. Der EU AI Act klassifiziert KI-Systeme je nach Anwendungsbereich und potenziellen Gefahren in Risikoklassen, wobei Hochrisiko-KI-Systeme strengeren Anforderungen unterliegen (vgl. Art. 6). Hochrisiko-KI wird in Bereichen wie Personalmanagement, kritischer Infrastruktur oder Strafverfolgung verwendet. Obwohl „Vektrus“ als Social Media KI-Produkt entwickelt wurde, konnte es durch eine Testfrage auch eine Stellenausschreibung generieren. Dies hätte das System potenziell als Hochrisiko-KI für Personalmanagement klassifizieren können. Die Frage war also, ob „Vektrus“ als Hochrisiko-KI eingestuft werden müsste.
Prüfung der Zweckbestimmung
Die Risikoeinstufung eines KI-Systems hängt von seiner Zweckbestimmung ab, die im EU AI Act in Artikel 3 Nr. 12 definiert ist. Diese Zweckbestimmung beschreibt die vom Anbieter vorgegebene Nutzung des Systems. Im Fall von „Vektrus“ war die Zweckbestimmung klar auf die Generierung von Social Media Inhalten begrenzt. Dies wurde durch das Fine-Tuning der KI erreicht, das die Funktionalität auf diesen spezifischen Anwendungsfall fokussiert. Der Testlauf mit der Stellenausschreibung war also ein Grenzfall, der jedoch nicht zur Einstufung als Hochrisiko-KI führte, da diese Anwendung nicht Teil der vom Anbieter festgelegten Zweckbestimmung war.
Fine-Tuning und die Rolle der Zweckbestimmung
Das Fine-Tuning spielt eine zentrale Rolle dabei, wie die Zweckbestimmung eines KI-Systems definiert und eingehalten wird. Bei „Vektrus“ ermöglicht das Fine-Tuning eine Spezialisierung der KI, sodass sie ausschließlich Social Media Inhalte erstellt und andere Aufgaben, wie etwa Stellenausschreibungen oder andere nicht relevante Anfragen, ablehnt. Diese Einschränkung ist entscheidend, um das System nicht in eine höhere Risikoklasse einzuordnen.
Um das Fine-Tuning verständlich zu machen, kann es mit einer „rosa Brille“ verglichen werden: Stellen Sie sich vor, Sie sehen die Welt durch eine klare Brille, die alle Farben zeigt. Das Basismodell der KI ist wie diese klare Brille – es kann auf viele verschiedene Anfragen reagieren und vielfältige Aufgaben erledigen. Beim Fine-Tuning hingegen setzen wir eine „rosa Brille“ auf, die nur bestimmte Aspekte der Welt durchlässt. In diesem Fall wird die KI so trainiert, dass sie nur Anfragen aus dem Bereich Social Media Marketing verarbeitet. Wenn eine Anfrage außerhalb dieses Bereichs kommt, etwa „Was ist die Hauptstadt von Frankreich?“, würde das Modell korrekt antworten, dass es dafür nicht zuständig ist, weil es auf Social Media spezialisiert ist.
Das Fine-Tuning sorgt also dafür, dass das System nur in dem Rahmen operiert, für den es entwickelt wurde, und verhindert, dass es in Risikobereiche vordringt, die es gemäß seiner Zweckbestimmung nicht betreffen.
Sie brauchen rechtliche Unterstützung? Kontaktieren Sie uns für eine kostenlose Erstberatung oder rufen Sie uns an.
Sie brauchen rechtliche Unterstützung? Kontaktieren Sie uns für eine kostenlose Erstberatung oder rufen Sie uns an.
Anastasia Nomerowskaja
Co-Autor
Anastasia Nomerowskaja ist wissenschaftliche Mitarbeiterin und Social Media Managerin der JURIBO Anwaltskanzlei mit einem Bachelorabschluss in Deutschem und Europäischen Wirtschaftsrecht.
Kristian Borkert
Co-Autor
Kristian Borkert ist Gründer der JURIBO Anwaltskanzlei und hat sich insbesondere auf den Bereich IT, Wirtschaftsrecht und Datenschutz spezialisiert.
