Was verbirgt sich hinter den Kennzeichnungspflichten des Art. 50 KI-VO?
Artikel 50 der EU-KI-Verordnung (KI-VO) legt Transparenzpflichten für Anbieter und Betreiber von bestimmten KI-Systemen fest. Zu diesen Pflichten zählen Kennzeichnungen von KI und Informationen über KI.
Diese Regelungen gelten ab dem 2. August 2026 und zielen darauf ab, die Interaktion mit KI-Systemen für Nutzerinnen und Nutzer verständlicher zu gestalten. Sie müssen wissen und verstehen, dass und wann sie mit einer KI in Aktion treten.
Dabei ist die Einteilung in die jeweilige Risikoklasse wichtig: gering, begrenztes Risiko, Hoch-Risiko oder verboten. Und ob man KI-Anbieter, also KI-Entwickler, oder -Betreiber, also Nutzer von KI für eigene Zwecke, ist.
Für die Kennzeichnungspflichten lassen sich diese fünf praktischen KI-Anwendungen identifizieren. (1)
1. KI-Anbieter: Direkte Interaktion zwischen KI und Mensch
Beispiel-Szenario: Wenn auf Websites virtuelle Assistenten, Social Bots oder Chatbots eingebunden sind, muss von der ersten Aktion an deutlich sein, dass hier eine Künstliche Intelligenz agiert – beispielsweise in Form von einem Texthinweis, einer dem Menschen unähnlichen Stimme oder einem Voice-Hinweis (2). Die Nutzenden dürfen nicht dahingehend getäuscht werden, dass sie mit einem echten Menschen kommunizieren, wenn dies nicht der Fall ist. (3) Diese KI-Systeme sind meistens gering oder begrenzt risikobehaftet.
2. KI-Anbieter: Erstellung synthetischer Inhalte
Beispiel-Szenario: Ein Unternehmen bietet online synthetische, also computergenerierte, Multimediainhalte (Video, Text, Audio, Bild) an. Gemeint sind GPAI-Systeme (General Purpose AI), also KI mit allgemeinem Verwendungszweck wie zum Beispiel GPT-4, DALL-E, Google BERT oder Midjourney. Diese müssen zum ersten Zeitpunkt der Interaktion mit einer Art für User lesbaren KI-Hinweis gekennzeichnet sein, dass sie durch KI erstellt oder durch sie manipuliert worden sind. Zudem muss die technische Lösung so gestaltet sein, dass sie auch maschinenlesbar ist, damit andere Plattformen diese ggf. herausfiltern oder markieren können. (4) Auch hier geht es meist um gering oder begrenzt risikobehaftete Klassen.
3. Betreiber von KI-Systemen: Emotionserkennung
Beispiel-Szenario: KI-Systeme, die zur Erkennung von Emotionen entwickelt werden, sind in der Regel als Hochrisiko-KI eingestuft und zum Teil verboten. Diese unterliegen sehr strengen Regeln und werden daher nur für bestimmte Zwecke wie beispielsweise zur Verbrechensbekämpfung oder zu medizinischen Zwecken eingesetzt, im normalen Arbeitskontext oder in Bildungseinrichtungen sind sie verboten. Diese KIs erkennen anhand biometrischer Daten menschliche Emotionen. Sie unterliegen ebenso den Transparenzpflichten: Betroffen müssen angemessen informiert werden.
4. Betreiber von KI-Systemen: Biometrische Kategorisierung
Beispiel-Szenario: Auch hier verarbeitet ein KI-System biometrische Daten von Menschen, daher sind ebenso in diesem Bereich Hochrisiko-KI-Systeme am Werk. Nur dass in diesem Fall die sensiblen Daten herangezogen werden, um Menschen in Kategorien einzuteilen. Das ist aber nur im Kontext von Strafverfolgung erlaubt. Transparenzpflichten gelten wie bei der Emotionserkennung.
5. Betreiber von KI-Systemen: Deepfakes bzw. KI-generierte Inhalte
Beispiel-Szenario: Deepfakes im Internet, dargestellt durch faktisch falsche Inhalte in Form von Videos, Bildern oder Texten, stellen eine Gefahr für die öffentliche Meinungsbildung dar. Diese Inhalte müssen deutlich als KI-generiert oder als manipuliert gekennzeichnet sein, um Nutzende vor Desinformationen zu schützen. Jedoch ist noch nicht klar, ob Deepfakes zukünftig als Hochrisiko-KI eingestuft werden sollen, was aktuell nicht so ist. (5)
Vor allem für die letzten drei genannten Beispiele gilt: Die Pflichten können entfallen oder eingeschränkt gelten, wenn die Systeme zur gesetzlichen Aufdeckung, Vereitelung oder Ermittlung von Straftaten beitragen. Schutzmaßnahmen für die Rechte und Freiheiten Dritter sind vorzunehmen. Und sofern personenbezogene, sensible Daten verarbeitet (Speicherung oder KI-Training) werden, wenn gesetzlich erlaubt, muss dies immer im Einklang mit den Datenschutzverordnungen geschehen.
(Quellenangaben:
1 Vgl.: BeckOK KI-Recht/Lauber-Rönsberg KI-VO Art. 50 Rn. 1-81
2 Vgl. ebd. Art. 50 Rn. 17, 18
3 Vgl. ebd. Art. 50 Rn. 12-14
4 Vgl. ebd. Art. 50 Rn. 31-37
5 Vgl. ebd. Art. 50 Rn. 56-59)
Miriam Harringer,
Medien- und Kulturmanagerin (M. A.) sowie Redakteurin für die Themenbereiche Datenschutz, Informationssicherheit und Künstliche Intelligenz.
Weitere Artikel
- KI im Bildungsbereich: Was der AI Act jetzt regelt
- Meta muss zahlen: Tracking digitaler Bewegungen in Business Tools
- Muss jeder Online-Shop bald barrierefrei sein?
- Die Cookie-Banner-Verordnung ist in Kraft getreten, aber es hakt bei der Umsetzung
- Palantir: 5 Fragen und Antworten zur umstrittenen US-Analysesoftware
- WhatsApp bekommt personalisierte Werbung, was sagen Datenschützer dazu?
Verwandte Artikel
- Was sind personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO?
- Werbung, Druck und Datensammelei bei ImmoScout24: Was das LG Berlin dazu sagt
- Sammelklage gegen Meta: Was Nutzerinnen und Nutzer wissen müssen
- Widerruf oder Widerspruch nach DSGVO: Was ist der Unterschied?
- Sichere Konfiguration von Microsoft Office: Was die neue BSI-Empfehlung für Ihr Unternehmen bringt
- Apple & Google: Was hinter dem „neuen Siri“-Deal steckt