Die weltweit erste Regulierung künstlicher Intelligenz ist beschlossen – der AI Act wird auch Auswirkungen auf das Fundraising haben!
Ein Gastbeitrag von Dr. Heidi Scheichenbauer, Senior Consultant und Senior Researcher im Research Institute – Digital Human Rights Center sowie Sprecherin am 31. Österreichischen Fundraising Kongress von 14. bis 16. Oktober 2024
Der „AI Act“ (Verordnung (EU) 2924/1689 vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Verordnung über künstliche Intelligenz) wurde am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht und trat am 1. August 2024 in Kraft.
➡️ Die einzelnen Regelungen werden zeitlich gestaffelt wirksam.
Der AI Act ist dabei die erste Produktsicherheitsregulierung die auch die Berücksichtigung von grundrechtlichen Anforderungen vorsieht und bringt – beim Einsatz von „KI“ – auch neue neue Verpflichtungen für den NPO-Bereich mit sich.
👉 Die Bandbreite der im NPO-Bereich eingesetzten KI-Anwendungen ist bereits jetzt umfangreich und umfasst beispielsweise die Verwendung von generativer KI zur Erstellung von Textbausteinen zu bestimmten Themen, die Erstellung von Infoflyern, Broschüren, die Zusammenfassung von Berichten, Publikationen bis hin zur Generierung von Präsentationen und Bildmaterial oder den Einsatz von KI im Recruiting-Bereich.
⚙️ KI-gestützte Individualisierung kann zudem eine bessere Ansprache von neuen Spendenzielgruppen bzw. bestehende Spender*innen ermöglichen. Durch Verwendung von Predictive AI können die vorhandenen Daten genutzt werden, um zukünftiges Verhalten (wie etwa in Form von Churn Predictions) vorherzusagen. Auch der Einsatz von Emotionserkennungssystemen im Fundraising-Bereich ist denkbar.
Der AI-Act beinhaltet folgende wesentliche Eckpunkte
🔶 Risikobasierter Ansatz und verbotene Systeme🔶
Wie bereits die DSGVO beinhaltet auch der AI Act einen risikobasierten Ansatz, der KI-Systeme je nach Art und Einsatzgebiet in verschiedene Risikoklassen einteilt, an die wiederum unterschiedliche Verpflichtungen und Rechtsfolgen geknüpft sind. Es gilt der Grundsatz: Je höher das Gefahrenpotenzial eines Systems, desto strenger sind auch die Anforderungen an dessen Entwicklung und Einsatz.
Verpflichtungen aus dem AI Act können dabei für Anbieter als auch für Betreiber (in der Regel die NPO) von KI-Systemen ergeben. Hier ist zu erwähnen, dass die Abgrenzung, wann man Betreiber oder Anbieter ist, herausfordernd sein kann.
Generell verboten werden besonders gefährliche KI-Anwendungen, wie etwa KI-Systeme, die ein unannehmbares Risiko bergen. Dazu zählen etwa Praktiken des „Social Scorings“ oder auch KI-Systeme zur Emotionserkennung am Arbeitsplatz. Verboten sind zudem auch manipulative Techniken zur unterschwelligen Beeinflussung.
🔶 Hochrisiko-Systeme unterliegen strengen Anforderungen 🔶
Nicht verboten aber als Hochrisiko-Systeme eingestuft und daher mit bestimmten Verpflichtungen verbunden können etwa KI-Systeme, die bestimmungsgemäß zur Emotionserkennung verwendet werden sollen. KI-Systeme in der kritischen Infrastruktur, in der Migrations- und Grenzkontrolle oder auch je nach Einsatzzweck KI-Systeme im Bereich der allgemeinen und beruflichen Bildung (zB Zugang zu Bildung), Beschäftigung und Personalmanagement (zB Recruiting-Systeme) sein. Dies allerdings nur, sofern diese Systeme auch ein erhebliches Risiko für die Gesundheit, Sicherheit oder die Grundrechte von Personen darstellen.
Der Pflichtenkatalog von Anbietern und Betreibern von Hochrisiko-KI-Systemen kann dabei – je nach Rolle – umfangreich ausfallen und die Einrichtung von Risikomanagement-Systemen Anforderungen an Daten und Daten-Governance, die technische Dokumentation, an Aufzeichnungs- bzw. Protokollierungspflichten, an die Sicherstellung der erforderlichen Transparenz, die Erstellung erforderlichen Gebrauchsanweisungen, Menschlicher Aufsicht, Genauigkeit, Robustheit und Cybersicherheit der Systeme oder die Vornahme einer Grundrechtsfolgenabschätzung betreffen.
🔶 Besondere Transparenzpflichten für bestimmte KI-Systeme🔶
Für bestimmte KI-Systeme bestehen besondere Transparenzpflichten. Bei KI-Systemen die für die direkte Interaktion mit natürlichen Personen bestimmt sind, müssen Anbieter sicherstellen, dass diese so konzipiert und entwickelt werden, dass die betreffenden natürlichen Personen informiert werden, dass sie mit einem KI-System interagieren.
Anbieter die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen (das betrifft auch den Einsatz von KI-Systemen mit allgemeinem Verwendungszweck), müssen dafür sorgen, dass die Ergebnisse des KI-Systems in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind.
Betreiber von Emotionserkennungssystemen müssen zudem betroffene natürlichen Personen über den Betrieb dieses Systems informieren. Auch wenn KI-Systeme Bilder, Videos, Audioinhalte oder Texte erstellen muss dies durch Betreiber grundsätzlich offengelegt werden.
🔶 Systeme mit geringem Risiko und ausgenommene Systeme 🔶
Für KI-Systeme ohne erhebliche Risiken sieht der AI Act keine besonderen Verpflichtungen vor. Es wird lediglich die freiwillige Ausarbeitung von Verhaltenskodizes empfohlen.
„KI-Modelle mit allgemeinem Verwendungszweck“ („GPAI-Modelle“) bilden im AI Act eine Sonderkategorie, für Betreiber bestehen dann umfangreichere Pflichten wenn solche Modelle systemische Risiken in sich bergen.
Sicherstellung der KI- Kompetenz als allgemeine Pflicht
Anbieter und Betreiber von KI-Systemen müssen generell Maßnahmen ergreifen, um ein hinreichendes Verständnis von KI-Systemen – eine KI-Kompetenz– auf Seiten des eigenen Personals und der anderen Personen sicherzustellen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind.
❓ Was gilt es nun zu beachten ❓
Das Gesetz trat am 1. August in Kraft.. Binnen 6 Monaten müssen verbotene Praktiken eingestellt und Maßnahmen zur Sicherstellung der erforderlichen KI-Kompetenz getroffen werden. Die sonstigen Vorschriften sind überwiegend nach 2 Jahren nach dem Inkrafttreten anwendbar.
👉 Es wird angeraten, sich schon jetzt mit diesem Rechtsinstrument eingehend zu beschäftigen, um die Einhaltung der darin enthaltenen Vorschriften rechtzeitig sicherzustellen. Wichtig wird es dabei, insbesondere in den ersten Schritten folgende Fragen zu klären:
- Wird KI im Sinne des AI Acts eingesetzt?
- Welche Rolle nimmt die eigene Organisation dabei ein? (hier ist insbesondere zwischen Anbietern und Nutzern zu unterscheiden)
- Welcher Risikoklasse unterliegt die Anwendung?
- Sicherstellung der erforderlichen KI-Kompetenz in der Organisation
- Werden abseits der Anforderungen des AI-Acts auch die datenschutzrechtlichen und urheberrechtlichen Anforderungen beachtet?
Dr. Heidi Scheichenbauer ist als Senior Consultant und Senior Researcher im Research Institute – Digital Human Rights Center tätig und leitet das NPO-Netzwerk network.fair.data https://researchinstitute.at/network-fair-data/. Sie ist Mitglied im Verein der behördlichen und betrieblichen Datenschutzbeauftragten (Privacyofficers.at), Vortragende an der Donau Universität Krems und der Universität Wien und Autorin zahlreicher Publikationen betreffend die Bereiche Digitalisierungsrecht.