Wie in den vorigen Beiträgen erwähnt, treffen den Anbieter von Hochrisiko-Systemen eine ganze Reihe von Verpflichtungen, wie z.B. die Einrichtung eines Qualitätsmanagementsystems, die technische Dokumentationen und weitere Anforderungen, die in Abschnitt 2 der KI-VO aufgelistet sind, wie vor allem die Etablierung eines Risikomanagementsystems und spezifische Anforderungen an die Cybersicherheit.
Ob ein Anbieter diese Anforderungen erfüllt, muss er mit einem sog. Konformitätsbewertungsverfahren nachweisen. Solche Konformitätsbewertungsverfahren kennen Hersteller von bestimmten risikobehafteten Produkten, wie z.B. von Medizinprodukten oder Kinderspielzeug, bereits aus anderen Rechtsvorschriften der EU. Für viele Anbieter von KI-Systemen ist dieses Verfahren jedoch Neuland. Erschwerend kommt hinzu, dass die Regelungen hierzu in der KI-VO alles andere als übersichtlich oder für Laien verständlich formuliert sind. Daher versuchen wir, nachfolgend einen kleinen Überblick zu verschaffen:
1. Wen trifft die Verpflichtung?
Zunächst einmal trifft die Verpflichtung zur Durchführung eines Konformitätsbewertungsverfahrens nur Anbieter von Hochrisiko-Systemen. Dabei gibt es unterschiedliche Arten von Verfahren, die sich jeweils nach der Zweckbestimmung des KI-Systems orientieren.
2. Welche Arten von Konformitätsbewertungsverfahren gibt es?
Bei der Art der Konformitätsbewertungsverfahren kann man grob in drei unterschiedliche Verfahrensarten unterscheiden. Dies sind (a) die Drittkonformitätsbewertung durch einen externen Dienstleister, Benannte Stelle genannt, (b) das Eigenbewertungsverfahren durch den Anbieter selbst und in speziellen Fällen (c) die behördliche Konformitätsbewertung.
2.1 Konformitätsbewertung durch eine Benannte Stelle
Hierbei handelt es sich um ein Konformitätsbewertungsverfahren, bei der eine sog. Benannte Stelle durch den Anbieter mit der Durchführung der Konformitätsbewertung beauftragt werden muss. Er kann die Prüfung also nicht selbst vornehmen, sondern muss einen notifizierten Dienstleister damit beauftragen.
Die KI-Systeme, die dies betrifft, sind in Anhang I Abschnitt A der KI-VO aufgelistet. Dort wird auf bereits existierende sog. Harmonisierungsrechtsvorschriften für bestimmte Produkte verwiesen, bei denen ohnehin ein EU-weites Konformitätsbewertungsverfahren durchgeführt werden muss, wie z.B. bei Spielzeugen, Funkanlagen, Sportbooten, persönlicher Schutzausrüstung, Aufzügen, Medizinprodukten oder In-vitro-Diagnostika. Werden KI-Systeme als Sicherheitskomponenten für solche Produkte verwendet oder gelten sie selbst als solche Produkte, dann muss in der Regel ein Konformitätsbewertungsverfahren nach diesen bereits existierenden Harmonisierungsrechtsvorschriften durchgeführt werden.
Art. 43 KI-VO sieht anders als ursprünglich befürchtet vor, dass in solchen Fällen kein zusätzliches Konformitätsbewertungsverfahren durchgeführt werden muss, sondern die Benannte Stelle, die ohnehin mit der Konformitätsbewertung nach diesen anderen EU-Vorschriften befasst ist, die Anforderungen der KI-VO in diesen Verfahren mitprüft, vorausgesetzt allerdings, dass die jeweilige Benannte Stelle entsprechend der KI-VO notifiziert ist.
Es kommt also zu dem ohnehin obligatorischen Konformitätsbewertungsverfahren eine KI Komponente hinzu.
2.2 Eigenbewertungsverfahren gem. Anhang VI
Hierunter fallen insbesondere Anbieter von KI-Systemen, die in Anhang III Nr. 2-8 aufgelistet sind, also KI-Systeme:
- als Sicherungskomponente kritischer digitaler Infrastruktur, oder sonstiger kritischer Infrastruktur, wie Energie-, Wasser-, Gas-, und Wärmeversorgung sowie im Straßenverkehr
- im Bereich Allgemeine und berufliche Bildung
- Beschäftigung, Arbeitnehmermanagement und Zugang zur Selbständigkeit
- Zugang und Inanspruchnahme wesentlicher privater Dienstleistungen, wie z.B. Risikobewertung bei Lebens- oder Krankenversicherung und wesentlicher öffentlicher Dienste und Leistungen, wie z.B. Auswertung und Klassifizierung von Notrufen
- Im Bereich Strafverfolgung, wie z.B. Bewertung von Beweismitteln oder Auswertung von Lügendetektortests
- Migrations-, Asyl- und Grenzkontrollmanagement
- Rechtspflege und demokratische Prozesse
Betrachtet man diese Aufzählung, so fällt auf, dass es sich durchaus um KI mit einer beträchtlichen Eingriffshöhe handelt. Dass diese „nur“ im Rahmen einer Eigenbewertung auf Konformität geprüft werden, stieß im Gesetzgebungsverfahren immer wieder auch auf Kritik. Dass diese Prüfung letztlich nicht im Rahmen eines Drittkonformitätsverfahrens erfolgt, dürfte daran liegen, dass bereits im Vorfeld klar war, dass es schlicht an geeigneten Benannte Stellen in ausreichender Anzahl fehlen dürfte, die über Zeit- und Wissenskapazitäten verfügen, ein solches Verfahren durchzuführen. Allerdings dürfte die Intensität der Eigenkonformitätsverfahren nicht unterschätzt werden. Wie ein solches Eigenkonformitätsverfahren abläuft, werden wir in einem späteren Beitrag darlegen.
2.3 Sonderfall: Biometrische Daten
Eine etwas komplexere Regelung existiert bei KI-Systemen:
- zur biometrischen Fernidentifizierung, es sei denn es geht nur um die Bestätigung der Identität einer Person,
- zur biometrischen Kategorisierung nach sensiblen oder geschützten Attributen und
- zur Erkennung von Emotionen.
In diesen Fällen kann der Anbieter entweder eine Eigenbewertung durchführen, wenn sein KI-System harmonisierten Normen gem. Art. 40 oder gemeinsamen Spezifikationen gem. Art. 41 KI-VO unterfallen. Ist dies nicht der Fall, muss der Anbieter ein Drittbewertungsverfahren mit einer Benannte Stelle durchlaufen.
Wird ein solches KI-System durch Strafverfolgungs-, Einwanderungs- oder Asylbehörden oder von Organen, Einrichtungen, Ämtern oder Agenturen der Union in Betrieb genommen werden, dann ist statt einer Benannten Stelle die jeweilige Marktüberwachungsbehörde der betroffenen Behörde diejenige, die das Konformitätsbewertungsverfahren durchführt. Es handelt sich dann um eine behördliche Konformitätsprüfung.
3. Ausnahmen
Gar nicht unter die Konformitätsbewertungsvorschriften der KI-VO fallen solche Produkte, die in Anhang I Abschnitt B aufgelistet sind und ebenfalls durch bereits harmonisierte EU-Regelungen erfasst sind. Hierunter fallen insbesondere Produkte der Zivilluftfahrt, Kraftfahrzeuge und Eisenbahnverkehr. Dies liegt vor allem daran, dass die dortigen Produkte eigenständigen, besonders strengen Prüfverfahren unterliegen und die Funktionsweise eines KI-Systems sinnvoller dort geprüft wird.
4. Praxistipp
Letztlich bestimmt der Anbieter eines KI-Systems durch die Zweckbestimmung selber, ob und welches Konformitätsbewertungsverfahren er durchläuft. Nun sollte ein Geschäftsmodell nicht unbedingt danach ausgerichtet werden, wie man regulatorische Hindernisse am einfachsten umschifft, jedoch ist es durchaus sinnvoll, bereits bei der Gestaltung seines KI-Systems eine Folgenabschätzung vorzunehmen, welche regulatorischen Anforderungen die KI-VO hierfür aufstellt. Im Einzelfall kann es durchaus sinnvoll sein, ggf. die Einsatzgebiete der KI zunächst auf weniger intensiv regulierte Bereiche zu beschränken, um schneller an den Markt zu kommen, um dann die stärker regulierten Bereiche und die damit verbundenen regulatorischen Anforderungen nachzuschieben.