Hersteller von KI-Systemen („Anbieter“, Art. 3 Nr. 3 KI-VO) sowie Nutzer solcher Systeme („Betreiber“, Art. 3 Nr. 4 KI-VO) müssen bestimmte Spielregeln beachten. Die KI-VO wendet sich als Produktregulierung in erster Linie an die Hersteller, allerdings werden auch die Nutzer verpflichtet. Dabei verfolgt die KI-VO, ähnlich wie die Datenschutz-Grundverordnung (DSGVO), einen risikobasierten Ansatz. Das bedeutet: Je höher das Risiko, desto mehr muss für die Sicherheit getan werden.
Risikoklassen der KI-VO
Die KI-VO stuft KI-Systeme (vgl. Art. 3 Nr. 1 KI-VO) in vier verschiedene Risikoklassen ein. Während KI-Systeme mit minimalem Risiko keinen Regularien unterworfen sind, gilt es, bei begrenzten Risiken bestimmte Transparenz- bzw. Kennzeichnungspflichten zu erfüllen, z. B. im Zusammenhang mit Deepfakes (vgl. Art. 50 KI-VO). Die meisten Verpflichtungen existieren im Hochrisiko-Bereich (vgl. Art. 6 ff. KI-VO), während bestimmte KI-Praktiken mit unannehmbaren Risiken schlicht verboten sind (Art. 5 KI-VO).
Zu den wesentlichen Pflichten von Anbietern (sprich: Herstellern) von Hochrisiko-KI-Systemen gehören insbesondere die folgenden: