EAllgemein

EU AI Act: Transparenzpflichten

Pflichten zu Kennzeichnung, Infos, Dokumentation für KI-Systeme.

EU AI Act: Transparenzpflichten sind die im EU-KI-Gesetz (AI Act) festgelegten Anforderungen, mit denen Anbieter und Betreiber von KI-Systemen offenlegen müssen, dass KI eingesetzt wird, wie sie funktioniert (in verständlichen Grenzen) und welche Informationen für sichere Nutzung, Aufsicht und Nachvollziehbarkeit bereitstehen. Dazu gehören Kennzeichnung, Nutzerhinweise und technische Dokumentation.

Was ist der Kern der Transparenzpflichten?

Transparenz soll verhindern, dass Menschen KI-Ausgaben mit „sicheren Fakten“ verwechseln oder unbemerkt mit einer Maschine interagieren. Gleichzeitig müssen Behörden und interne Prüfer nachvollziehen können, ob ein System regelkonform entwickelt, getestet und betrieben wird. Die konkreten Pflichten hängen stark davon ab, ob es sich um ein Hochrisiko-System, ein System mit besonderen Transparenzanforderungen oder um ein Modell/System im Kontext generativer KI handelt (z. B. Generative KI (Generative AI) oder ChatGPT).

Typische Pflichten (je nach Systemkategorie)

  • Kennzeichnung & Hinweis an Nutzer: Wenn Menschen mit einem KI-System interagieren, kann ein Hinweis nötig sein, dass es sich um KI handelt (z. B. Chatbot im Kundenservice).
  • Erklär- und Nutzungsinformationen: Klare Anleitungen, wofür das System gedacht ist, welche Grenzen es hat, wie Ergebnisse zu interpretieren sind und welche menschliche Aufsicht vorgesehen ist.
  • Dokumentation & Nachvollziehbarkeit: Technische Dokumentation, Protokolle und Informationen, die es ermöglichen, Entscheidungen/Outputs zu prüfen (z. B. Versionen, Datenquellen-Kategorien, Evaluationsmethoden).
  • Transparenz bei generierten Inhalten: Bei synthetischen Inhalten (Text, Bild, Audio, Video) können Anforderungen zur Kennzeichnung bzw. Erkennbarkeit von KI-generiertem Content relevant sein (z. B. Watermarking/Metadaten, je nach Use Case).
  • Informationen entlang der Lieferkette: Anbieter müssen Betreibern so viel bereitstellen, dass diese das System rechtssicher einsetzen können (z. B. Risikohinweise, Monitoring-Empfehlungen).

Wie funktioniert das praktisch? (Beispiel-Workflow)

  • 1) Use Case klassifizieren: Ist es Hochrisiko, ein „normales“ KI-System mit Transparenzpflichten oder generative KI? (Einordnung oft zusammen mit AI Governance).
  • 2) Nutzerhinweise formulieren: Kurzer, verständlicher Hinweis im UI („KI-gestützt“), plus Details in Hilfe/FAQ.
  • 3) Dokumentation aufbauen: Modell-/Systembeschreibung (z. B. Model Cards (Modellkarten)) und technische Doku: Daten, Tests, Grenzen, bekannte Fehlerbilder.
  • 4) Nachvollziehbarkeit im Betrieb: Logging/Monitoring (z. B. Model Monitoring & Observability (LLMOps)) und klare Verantwortlichkeiten (Human-in-the-loop, Freigaben).
  • 5) Inhalte kennzeichnen: Wenn KI Content erzeugt, Regeln definieren: Wann muss markiert werden? Welche Metadaten? Welche Prüfungen?

Konkrete Beispiele

  • LLM-Chatbot im Support: UI-Hinweis „Antworten werden von KI generiert“, plus Hinweis auf mögliche Fehler (Halluzinationen (Hallucinations)) und Eskalationsweg zu Menschen.
  • Automatisierte Workflows (z. B. n8n): In der Prozessdoku festhalten, welche Schritte KI-basiert sind (z. B. Klassifikation, Zusammenfassung), welche Daten verarbeitet werden und welche Prüfungen vor dem Versenden erfolgen.
  • RAG-System: Transparenz über Datenquellen-Kategorien, Aktualität und Grenzen des Retrievals (z. B. RAG (Retrieval-Augmented Generation), Vektordatenbank (Vector Database)), inklusive Hinweis, dass Antworten von der Dokumentenbasis abhängen.

Warum ist das wichtig?

Transparenzpflichten reduzieren Haftungs- und Compliance-Risiken, erhöhen Vertrauen bei Nutzern und machen KI-Systeme auditierbar. Gerade bei generativer KI ist Transparenz zentral, um falsche Sicherheit zu vermeiden, menschliche Kontrolle zu ermöglichen und den Einsatz im Unternehmen sauber zu skalieren.

Hinweis: Die genaue Ausgestaltung hängt von Rolle (Anbieter/Betreiber), Systemkategorie und konkretem Einsatzkontext ab; oft ist eine Abstimmung mit Datenschutz (z. B. Datenschutz (DSGVO/GDPR) & KI) und interner Governance sinnvoll.