Es steht: nach langen Verhandlungen wurde der erste AI Act von der Europäischen Union (EU) verabschiedet und somit steht das weltweit erste umfassende KI-Gesetz. Und das bedeutet konkret? Für den Einsatz von Künstlicher Intelligenz (KI) soll es von nun an strengere Regeln geben.
Was ist der AI Act?
Der AI Act ist ein Gesetzentwurf der Europäischen Union, der darauf abzielt, die Regulierung von Künstlicher Intelligenz (KI) EU-weit zu stärken. Der offizielle Titel des Gesetzentwurfs lautet „Proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)“.
Dieser wurde von der Europäischen Kommission im April 2021 vorgeschlagen und im Dezember 2023 beschlossen. Das Hauptziel ist, klare und einheitliche Regeln für die Entwicklung, den Einsatz und den Verkauf von KI-Systemen in der gesamten EU festzulegen, um ethische und rechtliche Fragen im Zusammenhang mit KI zu adressieren sowie die Rechte und Sicherheit der Bürger:innen zu schützen.
Der AI Act enthält Bestimmungen zur Regulierung von Hochrisiko-KI-Systemen, zur Transparenz und Dokumentation von KI-Systemen, zur Haftung von Anbietern von KI-Systemen, zur Konformitätsbewertung und zur Überwachung der Einhaltung. Er zielt auch darauf ab, Diskriminierung und Bias in KI-Systemen zu minimieren und ethische Grundsätze im Zusammenhang mit KI zu fördern. Der AI Act ist ein bedeutender Schritt der EU zur Regulierung von Künstlicher Intelligenz und wird voraussichtlich weitreichende Auswirkungen auf Unternehmen und Organisationen haben, die KI-Technologien in der EU entwickeln oder nutzen.
„Das EU-Gesetz über die Künstliche Intelligenz ist der erste umfassende Rechtsrahmen für Künstliche Intelligenz weltweit. Dies ist also ein historischer Moment. Mit dem KI-Gesetz werden die europäischen Werte in eine neue Ära überführt. Durch die Konzentration der Regulierung auf erkennbare Risiken wird die heutige Einigung eine verantwortungsvolle Innovation in Europa fördern. Indem sie die Sicherheit und die Grundrechte von Menschen und Unternehmen garantiert, wird sie die Entwicklung, den Einsatz und die Einführung vertrauenswürdiger KI in der EU unterstützen. Unser KI-Gesetz wird einen wesentlichen Beitrag zur Entwicklung globaler Regeln und Grundsätze für menschenzentrierte KI leisten.“
Ursula von der Leyen, Präsidentin der Europäischen Kommission
Einordnung nach Risiken
Die Klassifizierung erfolgt abhängig von der potenziellen Gefährdung, die mit der Verwendung von Künstlicher Intelligenz in Verbindung steht.
Minimales Risiko: Die große Mehrheit der KI-Systeme lässt sich in die Kategorie des minimalen Risikos einordnen. Darunter fallen Spamfilter, Videospiele, Suchalgorithmen, Deep Fakes oder Chatbots. Es sind Systeme, die mit dem Menschen interagieren. Diese Anwendungen sollen von einem Freipass und fehlenden Verpflichtungen profitieren, da diese Systeme nur ein minimales oder gar kein Risiko für die Rechte oder die Sicherheit der Bürger:innen darstellen.
Hohes Risiko: Hochriskante KI-Systeme unterliegen klaren Verpflichtungen, einschließlich Grundrechtsfolgenabschätzungen und Transparenzpflichten. Bürger:innen haben das Recht, Beschwerden einzureichen, und Nichteinhaltung kann zu erheblichen Geldbußen führen.
Konkrete Pflichten:
- Die Einrichtung, Dokumentation und Aufrechthaltung eines Risikomanagementsystems.
- Das Einhalten von Daten-Governance- und Datenverwaltungsverfahren für die zu verwendenden Trainings-, Validierungs- und Testdatensätze, darunter relevante Datenaufbereitungsvorgänge wie Kommentierung, Kennzeichnung, Bereinigung, Anreicherung und Aggregierung und eine vorherige Bewertung der Verfügbarkeit, Menge und Eignung der benötigten Datensätze.
- Das Führen einer technischen Dokumentation.
- Die Aufsichtsführung durch menschliches Personal.
- Eine Aufzeichnungspflicht über die Vorgänge und Ereignisse, sodass diese automatisch während des gesamten Lebenszyklus der KI aufgezeichnet werden.
- Transparente Informationen für die Nutzenden, darunter die Merkmale, Fähigkeiten und Leistungsgrenzen des Hochrisiko-KI-Systems.
- Cybersicherheit.
Es gibt Ausnahmen für KMU und Open-Source-Modelle:
Kleinere und mittlere Unternehmen (KMU) sowie Open-Source-Modelle erhalten spezifische Ausnahmen, um die Innovationskraft in diesen Bereichen zu fördern. Sogenannte „regulatorische Sandkästen“ sollen verantwortungsvolle Innovationen und die Entwicklung von konformen KI-Systemen erleichtern.
Unannehmbares Risiko:
Wenn die Grundrechte von Menschen durch die KI in Bedrohung geraten, so spricht man von unannehmbarem Risiko. Dazu gehören KI-Systeme oder -Anwendungen, die das menschliche Verhalten manipulieren, um den freien Willen der Nutzernden zu umgehen, wie etwa Spielzeug mit Sprachassistenz, das gefährliches Verhalten von Minderjährigen fördern kann, „Social Scoring“-Systeme sowie bestimmte Anwendungen der vorausschauenden Polizeiarbeit. Es gibt Einschränkungen in Bezug auf die biometrische Gesichtserkennung.
Biometrische KI-Verfahren zur Gesichtserkennung sind erlaubt, allerdings ausschließlich für Strafverfolgungszwecke und nicht für reine Überwachungszwecke.
Es besteht ein spezifisches Transparenzrisiko, wenn KI-Systeme wie Chatbots verwendet werden. Nutzende sollten sich bewusst sein, dass sie mit einer Maschine interagieren. Zudem müssen Deep Fakes und andere von KI erzeugte Inhalte deutlich als solche gekennzeichnet sein, und die Anbieter sollten die Nutzenden darüber informieren, wenn biometrische Kategorisierungs- oder Emotionserkennungssysteme im Einsatz sind. Zusätzlich dazu ist es erforderlich, dass die Anbieter ihre Systeme so konzipieren, dass synthetische Audio-, Video-, Text- und Bildinhalte in einem für Maschinen lesbaren Format gekennzeichnet werden und leicht als künstlich erzeugt oder manipuliert erkannt werden können.
Wer ist vom AI Act betroffen?
Zum einen sind dies Anbieter, die KI-Systeme in der Union in Verkehr bringen oder in Betrieb nehmen. Gemeint sind damit alle juristischen Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System entwickeln oder entwickeln lassen.
Zum anderen sind auch Nutzende von KI-Systemen betroffen, die sich in der Union befinden. Das umfasst auch natürliche und somit Privatpersonen. Auch wenn die genannten Akteure in einem Drittland niedergelassen oder ansässig sind, finden die Regularien Anwendung, sobald die KI in der Union eingesetzt wird. Damit hält der Gesetzgeber an dem aus der DSGVO bekannten Marktortprinzip fest.
Unternehmen, die sich nicht an die Vorschriften halten, müssen mit Geldstrafen rechnen.
Das KI-Gesetz der EU wird auch besondere Vorschriften für KI-Modelle für allgemeine Zwecke mit sich bringen, die darauf abzielen, die Transparenz entlang der gesamten Wertschöpfungskette sicherzustellen.
Wenn das KI-Gesetz vom europäischen Parlament und Rat formell genehmigt wurde, wird es eine Übergangszeit geben, bevor die Verordnung anwendbar wird.