Navigieren durch die Vorschriften für KI und digitale Identität: Perspektiven der EU-Verordnungen eIDAS und AI Act

Kernpunkte:

Durchführung von Drittbewertungen

Um die Transparenz zu erhöhen und eine unabhängige Überprüfung zu gewährleisten, sollte der AI Act konventionelle Bewertungen durch benannte Stellen einführen, ähnlich wie es der Rahmen des eIDAS vorschreibt.

Erzwingen der Klassifizierung durch Dritte für Hochrisiko-KI

Der AI Act sollte verlangen, dass Hochrisiko-KI-Systeme durch Dritte klassifiziert werden, um Missbrauch zu verhindern und ein umfassendes Verständnis der Fähigkeiten und Risiken von KI sicherzustellen.

Standardisierung der Klassifizierung von KI-Systemen

Um eine einheitliche Klassifizierung von KI-Systemen auf dem Markt zu gewährleisten und gleichzeitig Innovation zu fördern, sollte eine dritte Partei die Klassifizierung der KI-Systeme basierend auf ihrem Nutzungskontext vornehmen. Dies würde schnelle Innovationen ermöglichen und gleichzeitig Fairness und Transparenz sicherstellen.

1. Kontext von eIDAS und AI Act

Die eIDAS-Verordnung, die 2014 eingeführt wurde, bildet die Grundlage der Digitalisierungsstrategie der EU, die 2015 offiziell gestartet wurde. Sie ebnete den Weg für Vertrauensdienste, die heute essenziell sind für:

• Hochsichere Identifikation,
• Signaturen,
• Zusätzliche Dienste wie Zeitstempel, Siegel und elektronische Zustellung.

eIDAS erhöhte die Transparenz bei Identitätsprüfungen, sowohl für eIDs als auch für qualifizierte elektronische Signaturen. Im Laufe der Zeit hat die Branche Lösungen eingeführt, die maschinelles Lernen und künstliche Intelligenz integrieren, um Identifikationsmethoden zu verbessern.

Gleichzeitig hat sich KI in nahezu allen globalen Dienstleistungen und Produkten durchgesetzt, was erhebliche Effizienzgewinne und wissenschaftliche Fortschritte brachte. Dies geht jedoch mit Risiken einher, wie der Nutzung generativer KI-Modelle zur großflächigen Erstellung falscher Informationen. Um solchen Missbrauch zu antizipieren und die Transparenz zu erhöhen, hat die EU den AI Act eingeführt, der:

• Richtlinien für die Klassifizierung von KI-Systemen festlegt,
• Eine Governance für Hochrisiko-KI-Systeme einführt.

2. Konformitätsbewertungen und Produkte unter eIDAS

Zu Beginn hatte eIDAS keine klar definierten Zertifizierungsschemata. Im Laufe der Zeit entwickelte sich die Branche hin zu interoperablen Konformitätsbewertungen, die Folgendes erleichterten:

• Die Anerkennung von Berichten eines Bewertungsorgans (CAB) in einem anderen Mitgliedstaat,
• Die Entwicklung innovativer Produkte für Vertrauensdiensteanbieter, basierend auf Standards wie ETSI, CEN und anderen.

Dies schuf einen transparenten Markt für Verbraucher, die nun die Vorteile qualifizierter elektronischer Signaturen und deren Einheitlichkeit unabhängig vom Registrierungsprozess verstehen.

3. Konformitätsbewertung eines KI-Systems

Der AI Act führt ein Konformitätsbewertungsschema ein, das dem von eIDAS ähnelt, jedoch mit wesentlichen Unterschieden:

Selbstbewertung:

• Ermöglicht eine schnellere iterative Entwicklung von KI-Systemen,
• Schafft eine Grauzone, in der ein Unternehmen Konformität beanspruchen kann, ohne sein KI-System vollständig zu verstehen.

Externe Bewertung:

• Wird von einer im AI Act definierten benannten Stelle durchgeführt,
• Bietet mehr Transparenz und eine unabhängige Überprüfung, insbesondere für Hochrisiko-Systeme.

4. Herausforderungen und Verbesserungen in der KI-Regulierung

Der AI Act ist ein bedeutender Fortschritt in der Regulierung von KI, doch zwei Schwächen bleiben bestehen:

Reklassifizierung von Hochrisiko-KI: Ein KI-System kann reklassifiziert werden, indem seine Rolle geändert oder eine minimale menschliche Überwachung hinzugefügt wird.

Selbstbewertungsschema: Dies könnte eine deklarative Konformität ermöglichen, ohne echte Transparenz zu schaffen.

Beispiel:
Ein KI-System, das erkennen kann, ob eine Person unter Zwang steht, könnte als verbotener Anwendungsfall betrachtet werden. Mit einem spezifischen Kontext und menschlicher Überwachung könnte es jedoch in die Kategorie „niedriges Risiko“ reklassifiziert werden und so einer externen Bewertung entgehen.

Lösung:
Eine dritte Partei sollte die Klassifizierung von KI-Systemen basierend auf ihrem Nutzungskontext vornehmen. Dies würde schnelle Innovationen ermöglichen und gleichzeitig eine erhöhte Transparenz auf dem Markt gewährleisten.