Frankreich schlägt mehrere Änderungen am Gesetz über künstliche Intelligenz (KI) vor, um eine bessere Anpassung an den neuen Rechtsrahmen zu gewährleisten, die EU-Gesetzgebung, die Marktüberwachungs- und Konformitätsbewertungsverfahren regelt. Die Änderungen betreffen auch die Benennung der zuständigen Behörden und die Hochrisiko-KI-Datenbank.
Die französische Ratspräsidentschaft, die die Arbeit im EU-Rat leitet, hat am Montag (25. April) einen neuen Kompromisstext vorgelegt, der am Donnerstag mit den Vertretern der anderen Mitgliedsstaaten in der Telekom-Arbeitsgruppe diskutiert wird.
Benannte Stellen und zuständige Behörden
Notifizierte Stellen werden bei der Durchsetzung des KI-Gesetzes eine entscheidende Rolle spielen, da sie von den EU-Ländern benannt werden, um die Konformität der KI-Systeme mit den EU-Vorschriften zu bewerten, bevor sie auf den Markt gebracht werden.
Der neue Text bezieht sich ausdrücklich auf die EU-Verordnung, die die Anforderungen für die Akkreditierung und Marktüberwachung festlegt, und es wurde ein Hinweis hinzugefügt, dass diese Stellen Vertraulichkeitsverpflichtungen einhalten müssen.
Es wurde ein neuer Artikel eingeführt, um festzulegen, wie benannte Stellen vorgehen sollten, insbesondere für die Konformitätsbewertung von Systemen mit hohem Risiko. Der neue Artikel enthält Bestimmungen darüber, wie die notifizierten Stellen mit der notifizierenden Behörde zusammenarbeiten müssen, der nationalen Behörde, die für die Überwachung des gesamten Konformitätsbewertungsverfahrens zuständig ist.
Wenn die nationale Behörde „ausreichende Gründe zu der Annahme hat“, dass eine benannte Stelle ihren Pflichten nicht nachkommt, sollte sie angemessene Maßnahmen ergreifen, die dem Grad der Nichterfüllung angemessen sind, insbesondere durch Einschränkung, Aussetzung oder Widerruf von Notifizierungen an diese Stelle.
Um eine Benannte Stelle zu werden, gibt es ein Bewerbungsverfahren, das von der zuständigen Behörde verwaltet wird. Die nationalen Behörden könnten auch Stellen außerhalb dieses Verfahrens benennen, aber in diesem Fall müssten sie der Kommission und anderen Mitgliedstaaten Unterlagen vorlegen, die die Kompetenz der Stelle belegen und wie sie die entsprechenden Anforderungen erfüllen wird.
Ebenso kann die Kommission die Zuständigkeit der benannten Stelle anfechten. Es wurde ein Satz hinzugefügt, der der EU-Exekutive die Befugnis gibt, die Notifizierung in bestimmten Fällen durch Sekundärrecht im Einklang mit ähnlichen Bestimmungen der Medizinprodukteverordnung auszusetzen, einzuschränken oder zurückzuziehen.
Ein wichtiger Teil des KI-Gesetzes wird durch harmonisierte Standards umgesetzt, die festlegen, wie allgemeine Konzepte in der Verordnung wie „Fairness“ und „Sicherheit“ in der Praxis auf künstliche Intelligenz anzuwenden sind.
Wenn ein System solchen Standards folgt, wird davon ausgegangen, dass es der Verordnung entspricht. In ähnlicher Weise stellt ein neuer Artikel klar, dass eine solche Konformitätsvermutung auch für benannte Stellen gelten würde, die den harmonisierten Normen folgen.
Notifizierte Stellen im gesamten Block müssen ihr Konformitätsbewertungsverfahren in einer speziellen Arbeitsgruppe koordinieren, jedoch nur für KI-Systeme mit hohem Risiko. Die nationalen Behörden werden für eine effektive Zusammenarbeit zwischen den Stellen sorgen.
Es besteht auch die Möglichkeit, dass Konformitätsbewertungsstellen aus einem Land außerhalb der EU von einer nationalen Behörde dazu ermächtigt werden, die gleiche Arbeit wie eine benannte EU-Stelle auszuführen, solange sie die gleichen Anforderungen der Verordnung erfüllt.
Flexibilität für Länder
Der Text zur Benennung nationaler zuständiger Behörden wurde geändert, um den EU-Ländern mehr Flexibilität bei der Organisation solcher Behörden entsprechend ihren Bedürfnissen zu geben, solange die Grundsätze der Objektivität und Unparteilichkeit gewahrt bleiben.
Die französische Ratspräsidentschaft schlägt vor, die Bestimmungen darüber, wie die EU-Länder die Kommission über ein solches Benennungsverfahren informieren sollten, weniger präskriptiv zu gestalten.
Der Teil, der die Bereitstellung angemessener Ressourcen für die zuständigen Behörden vorschreibt, wurde ebenfalls weniger verbindlich gemacht. Die Häufigkeit der Berichterstattung über den Stand der Ressourcen der nationalen Behörden wurde reduziert.
Datenbank mit hohem Risiko und Berichterstattung
Der Artikel zur EU-Datenbank für KI-Hochrisikosysteme umfasst nun auch die unter realen Bedingungen im Rahmen einer regulatorischen Sandbox getesteten Hochrisikosysteme und fordert den „perspektivischen Anbieter“, sie in die Datenbank aufzunehmen.
Darüber hinaus weist ein neuer Absatz darauf hin, dass die Informationen in der EU-Datenbank zu bereits auf dem Markt befindlichen Systemen mit hohem Risiko der Öffentlichkeit zugänglich sein sollten. Bei Systemen, die in einer regulatorischen Sandbox getestet werden, werden die Informationen nicht veröffentlicht, es sei denn, der Anbieter stimmt dem zu. Der Text stellt klar, dass die EU-Datenbank keine personenbezogenen Daten enthalten wird.
Der Artikel zur Überwachung von bereits auf dem Markt eingeführten Systemen wurde präzisiert und gilt nur noch für Systeme mit hohem Risiko. Den Lieferanten wurde mehr Flexibilität bei der Erfassung, Dokumentation und Analyse der für die Konformitätsbewertung erforderlichen relevanten Daten gewährt.
Die Fehlfunktion von Hochrisikosystemen wurde von den Meldepflichten für schwerwiegende Vorfälle ausgenommen. Gleichzeitig erweitert der Text die Möglichkeit, diese Mitteilungspflichten auf Finanzinstitute abzudecken, die möglicherweise zu einem späteren Zeitpunkt in den Anwendungsbereich von Systemen mit hohem Risiko aufgenommen werden.
[Edited by Nathalie Weatherald]