Die KI-Servicestelle bei der RTR, gilt als Ansprechpartner und Informationshub und steht dem österreichischen KI-Ökosystem bei der Vorbereitung auf den europäischen AI Act zur Verfügung. Folgende Aufgaben sind dabei im Mittelpunkt:
Wir empfehlen Ihnen, das Informationsangebot der KI-Servicestelle bei der RTR in Anspruch zu nehmen.
Künstliche Intelligenz entwickelt sich rasch weiter und betrifft auch sensible Bereiche wie Gesundheit, Sicherheit und Grundrechte. Mit dem AI Act („Gesetz über Künstliche Intelligenz“) führt die EU umfassende gesetzliche Regelungen ein, um die Risiken in diesen Bereichen zu minimieren. Darüber hinaus soll der AI Act die Rechtsstaatlichkeit, die Demokratie und die Umwelt schützen.
Weiteres Ziel des AI Act ist es, einheitliche Regelungen für Betroffene in der gesamten EU zu schaffen. Dabei sollen auch Rechtsunsicherheiten aus dem Weg geräumt werden, um Unternehmen zu motivieren, sich durch künstliche Intelligenz an Fortschritt und Innovation zu beteiligen.
Der AI Act wurde als Verordnung erlassen und ist damit direkt in den Mitliedstaaten anwendbar und reguliert sowohl den privaten als auch den öffentlichen Sektor. Betroffen sind Unternehmen in und außerhalb der EU, wenn sie KI-Systeme oder KI-Modelle in der Union in Verkehr bringen oder Menschen in der EU davon betroffen sind. Das reicht von reinen Anbietern von Tools, die auf künstliche Intelligenz zurückgreifen, bis zu Entwicklern von KI-Systemen mit hohem Risiko.
Mehr zu den Akteuren im AI Act
Nach seiner Annahme durch das Europäische Parlament und den Rat wird der AI Act am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt in Kraft treten. Es wird dann 24 Monate nach dem Inkrafttreten in vollem Umfang anwendbar sein, wobei das folgende abgestufte Verfahren gilt:
Mehr zum zeitlichen Rahmen des AI Act
Mehr zu den Risikostufen von KI-Systemen
Die Einstufung hängt vom Verwendungszweck und den Anwendungsmodalitäten des KI-Systems ab. Im AI Act werden die verbotenen Praktiken und Anwendungsfälle von Hochrisiko-KI-Systeme (Anhang I und III) abschießend angeführt. Die EU-Kommission ist dazu ermächtigt, die Liste der Hochrisiko-KI-Systeme zu erweitern. Sie trägt dabei den Markt- und technologische Entwicklungen Rechnung und achtet auf Kohärenz. Immer als hochriskant gelten KI-Systeme, welche Profiling durchführen, das heißt das Erstellen von Persönlichkeitsprofilen natürlicher Personen.
Die Person, Behörde, Einrichtung oder sonstige Stelle, die ein Hochrisiko-KI-System entwickelt oder entwickeln lässt und diese auch unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt, treffen die umfangreichsten Verpflichtungen. Sie haben sicherzustellen, dass die an Hochrisiko-KI-Systeme gestellten Anforderungen erfüllt sind. Zu den Verpflichtungen zählen unter anderem:
Mehr über die Anbieterverpflichtungen
Jeder Mitgliedstaat errichtet oder benennt mindestens eine notifizierende Behörde und mindestens eine Marktüberwachungsbehörde für die Zwecke dieser Verordnung als zuständige nationale Behörden. Diese nationalen zuständigen Behörden üben ihre Befugnisse unabhängig, unparteiisch und unvoreingenommen aus.
Darüber hinaus wurde durch die Kommission ein neues Europäisches AI Office innerhalb der Kommission eingerichtet, das General Purpose AI-Modelle überwachen soll.
Ferner wird es auch ein AI Board, ein Scientific Panel und ein Advisory Forum geben, denen beratende und unterstützende Funktion zukommen soll.
Mehr zu den Behörden und Einrichtungen auf EU-Ebene
Für den Fall, dass KI-Systeme in Verkehr gebracht oder in Betrieb genommen werden, die den Anforderungen der Verordnung nicht genügen, müssen die Mitgliedstaaten wirksame, verhältnismäßige und abschreckende Sanktionen, einschließlich Geldbußen, festlegen und diese der Kommission mitteilen.
Dafür werden in der Verordnung bestimmte Schwellenwerte festgelegt:
Zur Harmonisierung der nationalen Vorschriften und Verfahren bei der Festsetzung von Geldbußen wird die Kommission anhand von Empfehlungen des Ausschusses Leitlinien ausarbeiten.
Da die Organe, Einrichtungen und sonstigen Stellen der EU mit gutem Beispiel vorangehen sollten, werden auch sie den Vorschriften und möglichen Sanktionen unterworfen. Der bzw. die Europäische Datenschutzbeauftragte wird befugt sein, Geldbußen gegen sie zu verhängen.
Der AI Act sieht das Recht von natürlichen und juristischen Personen vor, bei einer nationalen Behörde Beschwerde einzulegen. Auf dieser Grundlage können nationale Behörden eine Marktüberwachung nach den Verfahren der Marktüberwachungsverordnungen einleiten.
Darüber hinaus soll die vorgeschlagene KI-Haftungsrichtlinie den Personen, die Entschädigungen für durch Hochrisiko-KI-Systeme verursachte Schäden beantragen wollen, wirksame Mittel an die Hand geben, um möglicherweise haftende Personen zu ermitteln und einschlägige Beweise für eine Schadensersatzklage zu sichern. Dazu sieht die vorgeschlagene Richtlinie die Offenlegung von Nachweisen über bestimmte Hochrisiko-KI-Systeme vor, bei denen der Verdacht besteht, dass sie Schäden verursacht haben.
Überdies wird die derzeit in Überarbeitung befindliche Produkthaftungsrichtlinie dafür sorgen, dass Personen, die in der Union durch ein fehlerhaftes Produkt getötet oder verletzt werden oder Sachschäden erleiden, eine Entschädigung erhalten. Es wird klargestellt, dass KI-Systeme und Produkte, die ihrerseits KI-Systeme enthalten, ebenfalls unter die bestehenden Vorschriften fallen.
Der AI Act verpflichtet nicht dazu, einen KI-Beauftragten zu bestellen oder eine KI-Rechtsvertretung zu beauftragen. Er verpflichtet aber unabhängig von der Risikostufe Anbieter und Betreiber von KI-Systemen dazu, Maßnahmen zu ergreifen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst werden, ausreichende Kompetenzen darin haben.
Für die rechtliche Behandlung von Künstlicher Intelligenz ist die gesetzliche Definition des AI Act von Relevanz. Sie stellt das Einfallstor zum Anwendungsbereich der Verordnung dar. Diese Definition lautet gemäß Art. 3 Ziffer 1 AIA wie folgt:
„KI-System“ ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.
KI-Systeme, sind Computersysteme, die in der Lage sind, Aufgaben auszuführen, die normalerweise menschliche Intelligenz erfordern. Diese Systeme können Informationen verarbeiten, Muster erkennen, Schlussfolgerungen ziehen und sogar lernen, um ihre Leistung zu verbessern. KI-Systeme basieren auf Algorithmen und Daten, die es ihnen ermöglichen, komplexe Probleme zu lösen und Entscheidungen zu treffen. Beispiele für KI-Systeme sind Chatbots, Gesichtserkennungstechnologien, selbstfahrende Autos und personalisierte Empfehlungssysteme. Die Intention des Unionsgesetzgebers ist nicht, einfachere traditionelle Softwareanwendungen oder Programmieransätze zu erfassen, welche auf ausschließlich von natürlichen Personen definierten Regeln zur automatischen Ausführung von Vorgängen beruhen.
Generative KI sind KI-Systeme, die es ermöglichen, basierend auf Nutzereingaben neue entsprechende Informationen, einschließlich Text, Audio und Bilder, zu erzeugen. Durch den weiten Anwendungsbereich werden derartige KI-Systeme in den verschiedensten Kontexten verwendet, wie z. B. für Übersetzungen, bei der Beantwortung von Fragen und bei Chatbots.
Der englische Begriff „Prompt“ wird in der IT als Anweisung an eine:n Nutzer:in zur Vornahme einer Eingabe bezeichnet. Generative KI funktioniert durch die Eingabe von „Prompts“. Um ein Bild, Text oder Video zu generieren (Output), braucht das KI-System eine Eingabe (Input). Je nach KI-System kann ein Prompt text-, bild- oder audiobasiert sein. Ein textbasierter Prompt kann aus Wörtern, Sonderzeichen und Zahlen bestehen wie z. B.: „Ein Bild mit 3 Katzen, die auf der Fensterbank sitzen und schlafen.“
Die Bedeutung der Prompts hat schon zur Entwicklung von Prompt-Marktplätzen geführt.
"Large Language Models" sind computerlinguistische Sprachmodelle, die Texte generieren. Dabei wird in einem gegebenen Kontext das jeweils nächste Wort aufgrund einer vorher im Algorithmus definierten Wahrscheinlichkeit ausgewählt. "Groß" werden diese Modelle in Bezug auf den Umfang ihrer Trainingsdaten und die Anzahl der Parameter genannt. Überspitzt formuliert wird davon gesprochen, dass diese Modelle mit dem „gesamten Internet“ trainiert werden.
LLMs basieren auf dem sogenannten Transformer Modell, einer besonderen Art des künstlichen neuronalen Netzes. Damit fallen sie in den Bereich des Deep Learning. Die Einsatzgebiete sind vielfältig: das Erstellen von Texten, die Beantwortung von Fragen (Chatbots, virtuelle Assistenten), das Generieren von Code, die Erstellung von Content für Marketing und Websites sowie die Übersetzung zwischen verschiedenen Sprachen, um nur einige Möglichkeiten aufzuzählen. Zu den bekanntesten Beispielen für Large Language Models zählen die GPT-Modellreihe von OpenAI, Meta LLama oder die Mistral-Reihe der Firma Mistral AI.
LLMs können unter Umständen zu den General Purpose AIs zählen. Auf jeden Fall ist zu beachten, dass sie nicht perfekt sind. Auch erfordern sie menschliche Überwachung, da sie manchmal Fehler machen können oder in Fragen der Ethik und Fairness Herausforderungen aufwerfen.
Die benötigte Datenmenge für das Trainieren eines KI-Modells kann stark variieren und hängt von mehreren Faktoren ab. Es ist schwer, allgemeine Zahlen zu geben, da dies stark vom Anwendungsfall, der Komplexität des Modells und den spezifischen Anforderungen des Projekts abhängt. Dennoch können einige grobe Richtwerte und Beispiele hilfreich sein, um ein Gefühl dafür zu bekommen.
Eine Faustregel besagt, dass man mindestens 10 bis 100 Mal mehr Trainingsdatensätze als Modellparameter benötigt, um ein gut generalisierendes Modell zu trainieren. Für eine einfache Aufgabe wie die E-Mail-Spam-Filterung, wo eine Klassifikation mit nur wenigen Klassen stattfindet, können einige hundert bis tausend E-Mails für das Training des Modells genügen.
Ein Beispiel für eine moderate Aufgabe ist die Klassifikation von handgeschriebenen Ziffern mit dem MNIST-Datensatz. Der Trainingsdatensatz besteht aus 60.000 Bildern von handgeschriebenen Ziffern (0-9), dazu kommt noch ein Testdatensatz mit 10.000 Bildern.
Komplexe Aufgaben können Datensätze in der Größe von Hunderttausenden bis Millionen an Trainingsdaten erfordern. Ein Beispiel dafür ist die Klassifikation von Objekten in hochauflösenden Bildern mittels Deep Learning und neuronalen Netzen. Ein konkretes Anwendungsbeispiel hierfür ist die Erkennung und Diagnose von Krankheiten auf medizinischen Bildern wie Röntgenaufnahmen, CT-Scans und MRT-Bildern.
Erheblich mehr Trainingsdaten werden von Large Language Models (LLMs) benötigt. Das von Meta als Open Source veröffentlichte LLama-3-Modell wurde mit 15T Token Text trainiert, das sind 15 Billionen Token (T steht hier für das englische „Trillion“, also 1.000.000.000.000).
Bei der Entwicklung und dem Testen von autonom fahrenden Autos schließlich werden Petabytes an Daten ausgewertet, wie z. B. Tesla oder NVIDIA bekannt gegeben haben (1 Petabyte (PB) entspricht 1.000.000 Gigabyte (GB)).
Man sieht also, dass sich diese Frage nicht generell mit „Ja“ oder „Nein“ beantworten lässt und stehts vom konkreten Anwendungsfall anhängig ist.
Generiert ein KI-Modell Informationen, die nicht auf Trainingsdaten oder realen Fakten basieren, dann spricht man davon, dass es „halluziniert“. Solche Halluzinationen kennt man besonders von Large Language Models (LLMs). Sie können wie echte, plausible Antworten erscheinen, sind aber in Wirklichkeit inkorrekt oder unzuverlässig. Dabei lassen sich abhängig vom Kontext der Anfrage unterschiedliche Formen von Halluzinationen unterscheiden.
Je nachdem, ob die Bezugsgröße Daten sind, die dem KI-System zur Verfügung gestellt worden sind, oder reales, überprüfbares Wissen ist, spricht man im ersten Fall von Treue oder aber im zweiten Fall von Faktizität. Halluzinationen können grundsätzlich aus verschiedenen Gründen auftreten. Wenn die Trainingsdaten unvollständig, fehlerhaft oder verzerrt sind, kann das KI-Modell falsche Schlüsse ziehen.
Generative KI-Modelle, die aus Wahrscheinlichkeiten Vorhersagen machen, können halluzinieren, wenn sie versuchen, logische oder zusammenhängende Antworten zu geben. Die wahrscheinlichste Antwort muss nicht immer korrekt sein.
Wie lässt sich diesem Problem begegnen? Faktische Halluzinationen lassen sich durch Retrieval-Augmented-Generation (RAG) eingrenzen. Dabei wird eine zusätzliche externe Wissensquelle (z. B. eine Datenbank) hinzugefügt, aus der relevante Dokumente oder Informationen auf der Basis der jeweiligen Benutzeranfrage identifiziert und extrahiert werden. Diese Retrieval (Abruf-) Komponente ist die Basis für die nachfolgende Generation (Erzeugungs-) Komponente des RAG-Systems. Weitere Strategien sind verbesserte Trainingsdaten und die Entwicklung von Mechanismen, um generierte Informationen durch externe Quellen zu validieren und zu verifizieren.
Nicht zuletzt sind Bewusstseinsbildung und Schulung der Benutzer:innen wichtig. Es ist wichtig, die Antworten eines KI-Systems kritisch zu hinterfragen und, wenn möglich, mit verlässlichen Quellen zu validieren. Dies gilt insbesondere bei wichtigen oder sensiblen Informationen.
Wenn Sie als Unternehmen eine am Markt angebotene KI nutzen, d. h. im Sinne des AI Act („AIA“) Betreiber und nicht Anbieter sind, gilt Folgendes: Unberührt von anderen unionsrechtlichen oder nationalen Transparenzpflichten, müssen Betreiber eines KI-Systems, das Bild-, Ton- oder Videoinhalte erzeugt oder manipuliert, die ein Deep-Fake sind, gemäß Art. 50 Abs. 4 AIA offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
Ein „Deep Fake“ im Sinne des AI Act ist ein durch ein KI erzeugter oder manipulierter Bild-, Ton- oder Videoinhalt, der wirklichen Personen, Gegenständen, Orten, Einrichtungen oder Ereignissen ähnelt und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen würde (siehe Art. 3 Ziffer 60 AIA). Z. B. ein Video einer politisch aktiven Person, welche ein Interview gibt und dies als echt erscheint, jedoch nicht ist.
Handelt es sich bei den erzeugten Bildern um keine „Deep Fakes“, entstehen für Sie keine Transparenzpflichten, d. h., Sie müssen KI-generierte Bilder dann nicht als solche ausweisen. Auch für künstlerische, kreative, satirische oder fiktionale Darstellungen bestehen Ausnahmen von der Transparenzpflicht (Art. 50 Abs. 4 AIA).
Bei mit KI erzeugten und manipulierten Texten gelten die Transparenzpflichten nicht, wenn diese von einem Menschen überprüft wurden oder es einen redaktionellen Verantwortlichen gibt. Ist dies nicht der Fall und es sich um Texte von öffentlichem Interesse handelt, sind diese als KI-generiert offenzulegen.
Falls eine Kennzeichnung erforderlich ist, hat diese in klarer und eindeutiger Weise zu erfolgen und muss den geltenden Barrierefreiheitsanforderungen entsprechen (siehe Art. 50 Abs. 5 AIA).
Dabei ist auch zu beachten, dass der AI Act schrittweise seine Verpflichtungen entfaltet, er ist zwar bereits am 1. August 2024 in Kraft getreten, jedoch gibt es Übergangsregelungen. Die Bestimmungen zu Transparenzpflichten sind ab 2. August 2026 verpflichtend anzuwenden.