Neben KI-Systemen und GPAI sowie verschiedenen Risikoklassen unterscheidet der AI Act auch zwischen Anbietern und Betreibern.
Als Betreiber (Deployer) gilt jede natürliche oder juristische Person, die ein KI-System in eigener Verantwortung verwendet. Beispiele aus dem Versicherungsumfeld sind etwa die Nutzung eines externen KI-Algorithmus zur Betrugserkennung im Alltagsgeschäft oder der Einsatz eines SaaS-KI-Tools für Risikoprüfung oder Pricing.
Als Anbieter (Provider) definiert das Gesetzeswerk jede natürliche oder juristische Person, die ein KI-System entwickelt oder entwickeln lässt und es in Verkehr bringt oder in Betrieb nimmt. Versicherer sind beispielsweise Anbieter, wenn sie einen KI-Schadenklassifizierer selbst entwickeln, einen Dienstleister mit der Entwicklung und anschließenden Bereitstellung des Schadenklassifizierers für den Markt oder den Eigengebrauch beauftragen, oder ein KI-Modell mit allgemeinem Verwendungszweck bereitstellen.
Diese beiden Rollen sind zwar klar definiert, die Grenze ist aber dynamisch. Ein Betreiber kann zum Anbieter werden, wenn er wesentliche Änderungen an einem KI-System vornimmt oder die Zweckbestimmung verändert. Lizenziert ein Versicherer ein KI-System für Risikoprüfung, ist er in der Betreiberrolle. Passt er die Logik des Systems für die Risikoprüfung an, wird er zum Anbieter des modifizierten Systems.
Was gilt für Betreiber und was für Anbieter?
Die Pflichten von Betreibern und Anbietern unterscheiden sich erheblich. Das gilt insbesondere bei Hochrisiko-Systemen. Betreiber von Hochrisiko-Systemen sind verpflichtet, vor dem Einsatz eine Grundrechte-Folgenabschätzung (FRIA) durchzuführen, wenn das System für essenzielle private Dienste (wie Versicherungen) eingesetzt wird. Zudem müssen Betreiber Hochrisiko-Systeme gemäß der Anleitung das Anbieters verwenden und die Nutzung protokollieren sowie nachvollziehbar gestalten. Darüber hinaus müssen sie ihre Mitarbeiter für den sicheren Einsatz schulen, im Betrieb menschliche Aufsicht sicherstellen, das System monitoren und Vorfälle an Anbieter und Behörden melden.
Anbieter müssen vor dem Inverkehrbringen eines Hochrisiko-Systems eine CE-Konformitätsbewertung durchführen. Mit einen formalen Prüfprozess müssen sie sicherstellten, dass ihre Hochrisiko-System alle gesetzlichen Anforderungen erfüllt. Diese Bewertung ist gewissermaßen die CE-Zertifizierung, wie man sie von Elektrogeräten, Maschinen oder Spielwaren kennt, für Künstliche Intelligenz.
Dazu sind die Anbieter verpflichtet, eine technische Dokumentation zu erstellen und ein Risikomanagementsystem aufzusetzen. Sie müssen die Qualität der Trainings-, Validierungs- und Testdaten sicherstellen und das System in einer EU-Datenbank registrieren. Darüber hinaus sind ein Post-Market-Monitoring und die Meldung schwerwiegender Vorfälle erforderlich. Anbieter müssen außerdem kennzeichnen, dass in ihrem System KI im Einsatz ist und eine menschliche Aufsicht des Systems ermöglichen.
Wenn eine GPAI als Komponente in einem Hochrisiko-System eingesetzt wird, unterscheiden sich die Pflichten zwischen Betreiber und Anbieter der GPAI ebenfalls. So müssen Betreiber – basierend auf der Anbieter-Dokumentation – die Risken des GPAI-Modells bewerten und zusätzliche Kontrollen implementieren, um die Hochrisiko-Anforderungen zu erfüllen. Zudem sind sie verpflichtet, ein eigenes Risikomanagement aufzusetzen, da GPAI meist generisch ist. Anbieter müssen ihre Systemdokumentation offenlegen, ihre Trainingsdatenkategorien beschreiben und ihre GPAI in eine EU-Datenbank eintragen. Zudem müssen sie Risikominderungspflichten für generische Anwendungen nachkommen.
Zusammenfassend lässt sich sagen: Der Anbieter trägt die Hauptlast. Er ist für Entwicklung, Zertifizierung und Registrierung zuständig, während der Betreiber lediglich operative Pflichten hat. Bei GPAI ist die Verantwortung verteilt: Der Betreiber muss sicherstellen, dass er die vom Anbieter bereitgestellten Informationen korrekt nutzt. Versicherer sollten eine klare Governance etablieren, um einen ungewollten Rollenwechsel zu vermeiden.