Die Regulierung im AI Act folgt einem risikobasierten Ansatz. Damit kategorisiert die EU KI-Systeme in vier Risikostufen: inakzeptables Risiko, hohes Risiko, begrenztes Risiko und niedriges Risiko. Je größer das Risiko der KI für Gesundheit, Sicherheit und Grundrechte der Menschen ist, desto stärker wird sie eingeschränkt.
Inakzeptable beziehungsweise auch unannehmbare Risiko-KI genannt, sind durch die Verordnung komplett verboten. Darunter versteht man beispielsweise Social-Scoring-Systeme, bei denen Sozialleistungen an das Verhalten der Bürger geknüpft sind, oder Programme, die die Emotionen von Beschäftigten erkennen und auswerten.
Hochrisiko-KI ist zwar nicht komplett verboten, unterliegt aber strengen Regeln. Dazu zählen zum Beispiel Systeme, die prüfen, ob Verbraucher kreditwürdig sind oder nicht. Die Verordnung sieht vor, dass eine EU-Datenbank für risikoreiche KI-Systeme eingeführt wird. Weniger reguliert ist KI, die nur ein begrenztes Risiko darstellt. Darunter fallen alle KI-Systeme, die mit Menschen interagieren, etwa Chatbots.
Am wenigsten schränkt die EU Systeme ein, die nur ein minimales oder sogar gar kein Risiko haben. Dazu gehören zum Beispiel KI-fähige Videospiele oder Spamfilter. Laut der EU fällt die überwiegende Mehrheit der KI-Anwendungen aktuell in diese Risikoklasse.
General Purpose AI (GPAI) – also Allzweck-KI, die nicht nur Texte schreibt, sondern beispielsweise auch coden, übersetzen oder analysieren kann – ist ein Sonderfall. Diese Modelle sind zwar ungefährlich, je nach Verwendung können sie aber durchaus in die Hochrisiko-Kategorie fallen. Betreiber von GPAI müssen darauf achten, wie und wofür sie das Modell einsetzen. Das sind zum Beispiel Unternehmen, die zwar die KI einsetzen, sie aber nicht weiterentwickeln oder als ein eigenes Produkt anbieten. Wer also seinen Angestellten ChatGPT als Schreibunterstützung zur Verfügung stellt, gilt als Betreiber. OpenAI ist in diesem Fall der Anbieter.
