Was verbirgt sich hinter den Kennzeichnungspflichten des Art. 50 KI-VO?
Artikel 50 der EU-KI-Verordnung (KI-VO) legt Transparenzpflichten für Anbieter und Betreiber von bestimmten KI-Systemen fest. Zu diesen Pflichten zählen Kennzeichnungen von KI und Informationen über KI.
Diese Regelungen gelten ab dem 2. August 2026 und zielen darauf ab, die Interaktion mit KI-Systemen für Nutzerinnen und Nutzer verständlicher zu gestalten. Sie müssen wissen und verstehen, dass und wann sie mit einer KI in Aktion treten.
Dabei ist die Einteilung in die jeweilige Risikoklasse wichtig: gering, begrenztes Risiko, Hoch-Risiko oder verboten. Und ob man KI-Anbieter, also KI-Entwickler, oder -Betreiber, also Nutzer von KI für eigene Zwecke, ist.
Für die Kennzeichnungspflichten lassen sich diese fünf praktischen KI-Anwendungen identifizieren. (1)
1. KI-Anbieter: Direkte Interaktion zwischen KI und Mensch
Beispiel-Szenario: Wenn auf Websites virtuelle Assistenten, Social Bots oder Chatbots eingebunden sind, muss von der ersten Aktion an deutlich sein, dass hier eine Künstliche Intelligenz agiert – beispielsweise in Form von einem Texthinweis, einer dem Menschen unähnlichen Stimme oder einem Voice-Hinweis (2). Die Nutzenden dürfen nicht dahingehend getäuscht werden, dass sie mit einem echten Menschen kommunizieren, wenn dies nicht der Fall ist. (3) Diese KI-Systeme sind meistens gering oder begrenzt risikobehaftet.
2. KI-Anbieter: Erstellung synthetischer Inhalte
Beispiel-Szenario: Ein Unternehmen bietet online synthetische, also computergenerierte, Multimediainhalte (Video, Text, Audio, Bild) an. Gemeint sind GPAI-Systeme (General Purpose AI), also KI mit allgemeinem Verwendungszweck wie zum Beispiel GPT-4, DALL-E, Google BERT oder Midjourney. Diese müssen zum ersten Zeitpunkt der Interaktion mit einer Art für User lesbaren KI-Hinweis gekennzeichnet sein, dass sie durch KI erstellt oder durch sie manipuliert worden sind. Zudem muss die technische Lösung so gestaltet sein, dass sie auch maschinenlesbar ist, damit andere Plattformen diese ggf. herausfiltern oder markieren können. (4) Auch hier geht es meist um gering oder begrenzt risikobehaftete Klassen.
3. Betreiber von KI-Systemen: Emotionserkennung
Beispiel-Szenario: KI-Systeme, die zur Erkennung von Emotionen entwickelt werden, sind in der Regel als Hochrisiko-KI eingestuft und zum Teil verboten. Diese unterliegen sehr strengen Regeln und werden daher nur für bestimmte Zwecke wie beispielsweise zur Verbrechensbekämpfung oder zu medizinischen Zwecken eingesetzt, im normalen Arbeitskontext oder in Bildungseinrichtungen sind sie verboten. Diese KIs erkennen anhand biometrischer Daten menschliche Emotionen. Sie unterliegen ebenso den Transparenzpflichten: Betroffen müssen angemessen informiert werden.
4. Betreiber von KI-Systemen: Biometrische Kategorisierung
Beispiel-Szenario: Auch hier verarbeitet ein KI-System biometrische Daten von Menschen, daher sind ebenso in diesem Bereich Hochrisiko-KI-Systeme am Werk. Nur dass in diesem Fall die sensiblen Daten herangezogen werden, um Menschen in Kategorien einzuteilen. Das ist aber nur im Kontext von Strafverfolgung erlaubt. Transparenzpflichten gelten wie bei der Emotionserkennung.
5. Betreiber von KI-Systemen: Deepfakes bzw. KI-generierte Inhalte
Beispiel-Szenario: Deepfakes im Internet, dargestellt durch faktisch falsche Inhalte in Form von Videos, Bildern oder Texten, stellen eine Gefahr für die öffentliche Meinungsbildung dar. Diese Inhalte müssen deutlich als KI-generiert oder als manipuliert gekennzeichnet sein, um Nutzende vor Desinformationen zu schützen. Jedoch ist noch nicht klar, ob Deepfakes zukünftig als Hochrisiko-KI eingestuft werden sollen, was aktuell nicht so ist. (5)
Vor allem für die letzten drei genannten Beispiele gilt: Die Pflichten können entfallen oder eingeschränkt gelten, wenn die Systeme zur gesetzlichen Aufdeckung, Vereitelung oder Ermittlung von Straftaten beitragen. Schutzmaßnahmen für die Rechte und Freiheiten Dritter sind vorzunehmen. Und sofern personenbezogene, sensible Daten verarbeitet (Speicherung oder KI-Training) werden, wenn gesetzlich erlaubt, muss dies immer im Einklang mit den Datenschutzverordnungen geschehen.
(Quellenangaben:
1 Vgl.: BeckOK KI-Recht/Lauber-Rönsberg KI-VO Art. 50 Rn. 1-81
2 Vgl. ebd. Art. 50 Rn. 17, 18
3 Vgl. ebd. Art. 50 Rn. 12-14
4 Vgl. ebd. Art. 50 Rn. 31-37
5 Vgl. ebd. Art. 50 Rn. 56-59)
Miriam Harringer, Redakteurin
Weitere Artikel des Autoren
- Was auf dem Notizzettel am Arbeitsplatz nichts zu suchen hat
- Was ist erklärbare KI (XAI)?
- Ebays neue Datenschutzerklärung: Personenbezogene Daten trainieren jetzt KI
- Google Chrome: So prüfen Sie die Version und schließen Sicherheitslücken
- KI-Beauftragter: Schlüsselrolle in der Verordnung des EU AI Act
- Cyberangriff auf Berlin-Portale legt Websites lahm