Dieser Beitrag basiert auf der Präsentation unserer Autoren im Rahmen der Herbstakademie 2024 der DSRI. Für die original Aufzeichnung können Sie gerne hier klicken.

Der EU AI Act stellt umfassende Vorschriften für die Entwicklung und den Einsatz von Künstlicher Intelligenz (KI) in Europa auf. Die Verordnung basiert auf einem risikobasierten Ansatz, der KI-Systeme in verschiedene Risikokategorien einteilt: von minimalem bis hin zu hohem Risiko. Unternehmen, die KI-Lösungen entwickeln oder nutzen, müssen sicherstellen, dass ihre Systeme nicht gegen diese Verordnung verstoßen.

In diesem Blogbeitrag werden die rechtlichen Anforderungen der EU-Verordnung zur Künstlichen Intelligenz (EU AI Act) anhand des Beispiels des KI-Produkts „Vektrus“ beleuchtet. Dabei trennen wir die rechtlichen Prüfungen klar von der technischen Beschreibung und zeigen, wie das Fine-Tuning der KI die Zweckbestimmung prägt und dadurch rechtliche Risiken minimiert.

Vektrus: Ein Überblick über die SaaS-Lösung

„Vektrus“ ist eine KI-gestützte SaaS-Lösung, die Unternehmen dabei unterstützt, Social Media Strategien zu entwickeln und Inhalte zu generieren. Die KI wurde mithilfe von  gesammelte Daten und Best Practices aus dem Bereich Social Media Marketing  trainiert, dieser Prozess der Anpassung wird auch  „Fine-Tuning“ genannt. Zudem erfolgt eine individuelle Anreicherung der KI mit kundenspezifischen Informationen und Social Media Statistiken.

Das System basiert auf  dem Large Language Model (LLM) von OpenAI, ChatGPT, das unter anderem durch Social Media Daten und Unternehmens Know How optimiert wird. So kann die KI nicht nur allgemeine Inhalte generieren, sondern spezifische, auf die Marketingstrategie eines Unternehmens zugeschnittene Beiträge erstellen. Dieses Fine-Tuning ermöglicht es, die KI für den jeweiligen Anwendungsfall zu spezialisieren.

Die rechtliche Prüfung gemäß dem EU AI Act

Grundsätzlich fällt „Vektrus“ als ein in Deutschland in Verkehr gebrachtes  KI-System  i.S.d. Art. 3 Nr. 1 des EU AI Acts unter den Anwendungsbereich des EU AI Acts.  Fraglich ist jedoch, um welche Art von KI-System es sich bei „Vektrus“ handelt. Der erste Schritt in der rechtlichen Einordnung bestand daher darin, zu überprüfen, ob das System verbotene Funktionen gemäß Art. 5 des EU AI Acts aufweist. Verboten sind unter anderem KI-Systeme, die manipulative Techniken einsetzen, etwa zur gezielten Beeinflussung von Menschen, oder Systeme, die eine Echtzeit-Biometrieüberwachung ermöglichen. Da „Vektrus“ ausschließlich zur Generierung von Social Media Inhalten dient und keine derartigen Funktionen beinhaltet, fiel das System nicht in diese Kategorie.

Anschließend erfolgte eine Überprüfung der Risikoeinstufung. Der EU AI Act klassifiziert KI-Systeme je nach Anwendungsbereich und potenziellen Gefahren in Risikoklassen, wobei Hochrisiko-KI-Systeme strengeren Anforderungen unterliegen (vgl. Art. 6). Hochrisiko-KI wird in Bereichen wie Personalmanagement, kritischer Infrastruktur oder Strafverfolgung verwendet. Obwohl „Vektrus“ als Social Media KI-Produkt entwickelt wurde, konnte es durch eine Testfrage auch eine Stellenausschreibung generieren. Dies hätte das System potenziell als Hochrisiko-KI für Personalmanagement klassifizieren können. Die Frage war also, ob „Vektrus“ als Hochrisiko-KI eingestuft werden müsste.

Prüfung der Zweckbestimmung
Die Risikoeinstufung eines KI-Systems hängt von seiner Zweckbestimmung ab, die im EU AI Act in Artikel 3 Nr. 12 definiert ist. Diese Zweckbestimmung beschreibt die vom Anbieter vorgegebene Nutzung des Systems. Im Fall von „Vektrus“ war die Zweckbestimmung klar auf die Generierung von Social Media Inhalten begrenzt. Dies wurde durch das Fine-Tuning der KI erreicht, das die Funktionalität auf diesen spezifischen Anwendungsfall fokussiert. Der Testlauf mit der Stellenausschreibung war also ein Grenzfall, der jedoch nicht zur Einstufung als Hochrisiko-KI führte, da diese Anwendung nicht Teil der vom Anbieter festgelegten Zweckbestimmung war.

Fine-Tuning und die Rolle der Zweckbestimmung

Das Fine-Tuning spielt eine zentrale Rolle dabei, wie die Zweckbestimmung eines KI-Systems definiert und eingehalten wird. Bei „Vektrus“ ermöglicht das Fine-Tuning eine Spezialisierung der KI, sodass sie ausschließlich Social Media Inhalte erstellt und andere Aufgaben, wie etwa Stellenausschreibungen oder andere nicht relevante Anfragen, ablehnt. Diese Einschränkung ist entscheidend, um das System nicht in eine höhere Risikoklasse einzuordnen.

Um das Fine-Tuning verständlich zu machen, kann es mit einer „rosa Brille“ verglichen werden: Stellen Sie sich vor, Sie sehen die Welt durch eine klare Brille, die alle Farben zeigt. Das Basismodell der KI ist wie diese klare Brille – es kann auf viele verschiedene Anfragen reagieren und vielfältige Aufgaben erledigen. Beim Fine-Tuning hingegen setzen wir eine „rosa Brille“ auf, die nur bestimmte Aspekte der Welt durchlässt. In diesem Fall wird die KI so trainiert, dass sie nur Anfragen aus dem Bereich Social Media Marketing verarbeitet. Wenn eine Anfrage außerhalb dieses Bereichs kommt, etwa „Was ist die Hauptstadt von Frankreich?“, würde das Modell korrekt antworten, dass es dafür nicht zuständig ist, weil es auf Social Media spezialisiert ist.

Das Fine-Tuning sorgt also dafür, dass das System nur in dem Rahmen operiert, für den es entwickelt wurde, und verhindert, dass es in Risikobereiche vordringt, die es gemäß seiner Zweckbestimmung nicht betreffen.

Sie brauchen rechtliche Unterstützung? Kontaktieren Sie uns für eine kostenlose Erstberatung oder rufen Sie uns an.

Transparenzanforderungen gemäß Art. 50 des EU AI Acts

Ein weiterer wichtiger Aspekt des EU AI Acts sind die Transparenzanforderungen, die in Art. 50 geregelt sind. Diese Vorschrift verlangt, u.a. dass KI-Systeme, die Inhalte generieren, klar kennzeichnen, dass diese Inhalte maschinell erstellt wurden. „Vektrus“ fällt unter diese Vorschrift, da es synthetische Social Media Inhalte erzeugt.

Um dieser Anforderung gerecht zu werden, müssen alle von „Vektrus“ erstellten Beiträge als KI-generiert gekennzeichnet werden. Diese Kennzeichnung kann sowohl innerhalb des erzeugten Beitrag selbst als auch in der Nutzermaske des KI-systems in Form eines Hinweises erfolgen, sodass Nutzer erkennen können, dass der Inhalt von einer KI erstellt wurde. Dies dient der Transparenz und schützt Nutzer vor der Annahme, dass sie mit menschlich erstellten Inhalten interagieren.

Vermeidung der Einstufung als Hochrisiko-KI

Ein zentrales Ziel bei der Entwicklung von „Vektrus“ war es, die Einstufung als Hochrisiko-KI zu vermeiden. Hochrisiko-KI-Systeme unterliegen strengeren Anforderungen, darunter eine umfangreiche Konformitätsprüfung und zusätzliche Dokumentationspflichten. Um dies zu erreichen, wurde der Anwendungsbereich von „Vektrus“ durch die sich aus der Betriebsanleitung und dem Werbematerial ergebende Zweckbestimmung und das Fine-Tuning klar eingegrenzt. Die Entwickler stellten sicher, dass „Vektrus“ keine Funktionen enthält, die in die Hochrisikokategorie fallen könnten, wie etwa eine gezielte Anwendbarkeit im Bereich der Personalverwaltung (Art. 6, Anhang III).

Durch die klare Abgrenzung der Zweckbestimmung und die gezielte Einschränkung des Anwendungsbereichs konnte „Vektrus“ als niedriges Risiko eingestuft werden. Dies ermöglichte es dem Unternehmen, die Lösung auf den Markt zu bringen, ohne die strengen Compliance-Anforderungen für Hochrisiko-KI-Systeme erfüllen zu müssen.

Schlussfolgerung: Rechtskonforme Innovation durch klare Zweckbestimmung

Der Fall „Vektrus“ zeigt, dass es für Unternehmen möglich ist, innovative KI-Lösungen zu entwickeln und gleichzeitig den Anforderungen des EU AI Acts gerecht zu werden. Durch die frühzeitige rechtliche Prüfung und die klare und nachweisliche Festlegung der Zweckbestimmung konnte sichergestellt werden, dass „Vektrus“ nicht als Hochrisiko-KI eingestuft wurde. Dies wurde insbesondere durch das Fine-Tuning erreicht, das die Funktionalität der KI auf den spezifischen Anwendungsbereich beschränkte.

Für Unternehmen, die KI-Systeme entwickeln, ist es unerlässlich, frühzeitig eine klare Zweckbestimmung zu definieren und ihre Systeme entsprechend zu trainieren. Dies minimiert nicht nur das rechtliche Risiko, sondern ermöglicht es auch, die strengen Compliance-Vorgaben des EU AI Acts zu umgehen. Dabei ist eine enge Zusammenarbeit zwischen Entwicklern und rechtlichen Beratern entscheidend, um sicherzustellen, dass das System sowohl technisch effizient als auch rechtlich einwandfrei ist.

Kristian Borkert

Co-Autor

Kristian Borkert ist Gründer der JURIBO Anwaltskanzlei und hat sich insbesondere auf den Bereich IT, Wirtschaftsrecht und Datenschutz spezialisiert.

Anastasia Nomerowskaja

Co-Autor

Anastasia Nomerowskaja ist wissenschaftliche Mitarbeiterin und Social Media Managerin der JURIBO Anwaltskanzlei mit einem Bachelorabschluss in Deutschem und Europäischen Wirtschaftsrecht.