Risikobasierter Ansatz des EU AI Act
Der AI Act knüpft die rechtlichen Anforderungen an Zweck, Einsatzumfeld und Risikopotenzial eines KI-Systems. Bestimmte Praktiken, etwa einzelne Formen manipulativer Beeinflussung oder Social Scoring, sind untersagt. Für Hochrisiko-KI gelten besonders strenge Anforderungen. Dazu können Anwendungen in sensiblen Bereichen wie Personalauswahl, Kreditwürdigkeitsprüfung oder kritischer Infrastruktur gehören. Je nach Rolle sind dann unter anderem Risikomanagement, technische Dokumentation, Daten-Governance, menschliche Aufsicht, Protokollierung und laufende Überwachung erforderlich.
Andere Systeme unterliegen vor allem Transparenzpflichten. Nutzer sollen beispielsweise erkennen können, dass sie mit einem KI-System interagieren oder dass Inhalte künstlich erzeugt oder verändert wurden. Viele Anwendungen mit geringem Risiko bleiben demgegenüber weitgehend frei von produktspezifischen Pflichten des AI Act. Das bedeutet jedoch nicht, dass ihr Einsatz rechtlich folgenlos wäre: Datenschutz, Arbeitsrecht, Urheberrecht, Geheimnisschutz und allgemeine Haftungsregeln gelten unabhängig von der Risikokategorie fort.
Für Unternehmen ist deshalb nicht die abstrakte Bezeichnung des Tools entscheidend, sondern der konkrete Use Case. Dasselbe System kann im Entwurf eines Marketingtexts wenig kritisch sein, in einer Bewerberauswahl oder bei einer sicherheitsrelevanten Entscheidung dagegen deutlich strengere Anforderungen auslösen.