Der AI Act der EU

Die Europäische Union (EU) entwickelt ein gemeinsames Regelwerk, das zu einer vertrauenswürdigen KI beitragen soll. Hierfür hat die Europäische Kommission 2021 einen Vorschlag vorgelegt: der Artificial Intelligence (AI) Act. Diesen habe die Mitgliedsstaaten der EU sowie Wirtschafts- und zivilgesellschaftliche Akteure 2022 kommentiert, das EU-Parlament legte im Juni 2023 seine Position zum AI Act fest. Nach Abschluss der Trilogverhandlungen zwischen den EU-Institutionen wird eine endgültige Version des AI Acts in Deutschland Gesetzescharakter haben.

Der erste KI-Regulierungsprozess für Europa

Ziel des AI Acts der EU ist es, den Einsatz von KI-Systemen sicher und vertrauenswürdig zu machen, ohne Innovationen zu hemmen. Ein ausdifferenziertes Regelwerk macht verpflichtende Vorgaben für die Entwicklung und Anwendung von risikoreichen KI-Systemen. So werden technische wie auch ethische Standards vorgeschrieben, um die Grundrechte der EU-Bürgerinnen und -Bürger zu schützen und zugleich den Wirtschaftsstandort Europa global zu stärken.

Diese Regeln gelten als der erste transnationale Versuch, KI mit verbindlichen und gemeinsam ausgehandelten Normen zu gestalten. Was bereits in vielen anderen Bereichen existiert – beispielsweise in der Medizintechnik oder der Regulierung von Impfstoffen, wird nun auch für die KI geschaffen werden: verbindliche Regeln für eine vertrauenswürdige Technik. Damit nimmt die EU eine Vorreiterrolle zugunsten der europäischen Gesellschaft und Wirtschaft ein. Durch die rechtlichen Rahmenbedingungen für KI schafft die EU nicht nur Transparenz für Nutzerinnen und Nutzer und Rechtssicherheit für Unternehmen, sondern sichert auch die technologische Souveränität des Kontinents. Im internationalen Wettbewerb können sich europäische Wertvorstellungen als Qualitätsmerkmal einer vertrauenswürdigen KI durchsetzen – Stichwort: „KI made in Europe“.

Was ist im AI Act geregelt?

Empfohlener redaktioneller Inhalt

An dieser Stelle finden Sie einen externen Inhalt von YouTube, der den Artikel ergänzt. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.

Künftig werden EU-weit einheitliche Anforderungen an KI-Systeme gelten. Gerade im Bereich der Hochrisiko-KI-Anwendungen spielen Normen und Standards dabei eine wichtige Rolle. Das Video zeigt, wie das Zusammenspiel von Gesetzgebung und Normung funktioniert (Quelle: Deutsches Institut für Normung).

Im Zentrum des AI Acts steht die Risiko- oder Kritikalitätsbewertung von KI-Systemen. Er bestimmt Regeln für KI-Systeme entsprechend ihrem Gefahrenpotenzial. Dazu werden KI-Anwendungen in vier Risikostufen klassifiziert – vom minimalen Risiko bis hin zum unannehmbaren Risiko. So gehen etwa von Systemen zur intelligenten Wartung von Industriemaschinen keinerlei Gefahren aus. Sie entsprechen der niedrigsten von vier Risikostufen und bedürfen laut EU-Verordnung keiner Regeln. Andere denkbare KI-Anwendungen bergen indessen Risiken und dürfen nur unter bestimmten Bedingungen zum Einsatz kommen. Die Verordnung gilt nicht für KI-Systeme, die für Forschung und Entwicklung eingesetzt werden oder Systeme, die ausschließlich militärischen oder verteidigungspolitischen Zwecken dienen. Sie berührt überdies auch nicht die Zuständigkeiten der Mitgliedstaaten in Bezug auf die nationale Sicherheit.

  • Definition von KI: Die EU-Verordnung definiert Künstliche Intelligenz in Anlehnung an die Empfehlungen der OECD. Demnach ist eine KI „ein maschinenbasiertes System, das für explizite oder implizite Ziele aus Eingaben Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert, die Auswirkungen auf physische oder virtuelle Umgebungen haben können.“
  • Verbot von KI-Anwendungen mit unannehmbaren Risiken: Für Hochrisiko-KI-Systeme, deren Risiken als unannehmbar eingestuft werden, gilt ein pauschales Verbot. Darunter fällt die behördliche Bewertung des sozialen Verhaltens anhand öffentlich verfügbarer Daten aus dem Internet (Social Scoring), biometrische Kategorisierung, die auf sensible Daten wie die sexuelle Orientierung oder religiöse Überzeugungen schließen lässt, KI-Systeme, die menschliches Verhalten manipulieren und solche, die die Schwachstellen von Schutzbedürftigen ausnutzen, Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen, massenhaftes, ungezieltes Auslesen von Gesichtsbildern aus dem Internet (Scraping) und teils präventive Polizeiarbeit, bei der mithilfe von KI die Wahrscheinlichkeit einer Straftat berechnet wird (Predictive Policing).
  • Regeln für Hochrisiko-Anwendungen: Wenn von KI-Systemen erhebliche Risiken für die Gesundheit und die Grundrechte von Personen, für Rechtsgüter oder die Umwelt ausgehen, müssen sie bestimmte Anforderungen erfüllen, um Zugang zum EU-Markt zu erhalten. Darunter fallen zum Beispiel KI-Systeme, die auf das Wahlverhalten Einfluss nehmen, die nachträgliche Auswertung von im öffentlichen Raum erfassten biometrischen Daten und viele KI-Systeme in der Medizin oder für die Justiz. Laut KI-Verordnung müssen Hersteller und Anwender von potenziellen Hochrisiko-Systemen dessen Folgen auf Umwelt und Grundrechte abschätzen, bevor das System zum Einsatz kommen kann. Hochrisiko-Systeme müssen dann einer Konformitätsbewertung unterzogen werde, bei der geprüft wird, ob die Systeme den EU-Anforderungen entsprechen. Alle Hersteller von Hochrisiko-Systemen und öffentliche Behörden, die die Systeme nutzen, müssen sich in einer EU-Datenbank registrieren.
  • Europäische KI-Behörde: Innerhalb der EU-Kommission soll eine KI-Behörde eingerichtet werden. Sie soll die Einhaltung der Regeln insbesondere für große Basismodelle überwachen und Normen und Testverfahren fördern. Ein gemeinsamer Ausschuss der Mitgliedsstaaten soll die Vorschriften in den Mitgliedsstaaten durchsetzen. Zudem soll es ein Beratungsforum geben, der Rückmeldungen aus Wirtschaft und Zivilgesellschaft einholt, sowie ein wissenschaftliches Gremium von Sachverständigen.
  • Sanktionen: Für Verstöße gegen die KI-Verordnung werden Geldbußen erhoben – entweder als Prozentsatz des weltweiten Jahresumsatzes des Unternehmens oder als festgelegter Betrag, je nachdem, welche Summe höher ist. Für kleine und mittlere Unternehmen sowie für Start-ups gibt es eine verhältnismäßige Obergrenze.
  • Spezielle Regeln für KI-Basismodelle: Basismodelle oder Foundation Models sind Modelle des maschinellen Lernens, die mit extrem großen Datensätzen z. B. aus dem Internet vortrainiert wurden und verschiedene Aufgaben ausführen können. Zu ihnen zählen auch die generativen KI-Sprachmodelle GPT-4 von OpenAI, Googles Gemini oder Llama von Meta. Für KI-Basismodelle gelten mit der EU-Verordnung besondere Vorschriften. So müssen Anbieter für Transparenz sorgen, indem sie technische Dokumentationen zu den angewendeten Trainings- und Testverfahren sowie zu den Trainingsdaten erstellen und nachweisen, dass sie das europäische Urheberrecht einhalten. Die KI-Verordnung unterscheidet dabei Basismodelle je nach Rechenkapazität: Sehr leistungsstarke Basismodelle unterliegen strengeren Regeln, denn von ihnen können systemische Risiken ausgehen, die sich je nach späterem Anwendungszweck weiterverbreiten. Die zusätzlichen Pflichten betreffen etwa Cybersicherheit und Energieeffizienz.
  • Biometrische Überwachung: Die biometrische Überwachung von Personen in Echtzeit ist weitestgehend verboten. Eine Ausnahmeregelung gilt für die Strafverfolgung: Liegt eine konkrete Gefährdung wie ein Terroranschlag vor oder eine schwere Straftat aus einer definierten Liste, dürfen die Behörden bei richterlicher Genehmigung einzelne Personen im öffentlichen Raum biometrisch identifizieren. Die nachträgliche Auswertung biometrischer im öffentlichen Raum erfasster Daten wird als Hochrisiko-Anwendung eingeordnet, ist aber grundsätzlich zulässig. Strafverfolgungsbehörden können auf diese Weise unter Einhaltung strenger Schutzvorkehrungen Straftäter ausfindig machen.

WER HAFTET, WENN KI-SYSTEME SCHÄDEN VERURSACHEN?

Die EU setzt sich nicht für Rahmenbedingungen für eine sichere und vertrauenswürdige KI ein, sondern schafft ebenso einheitliche Haftungsregeln, die gelten, wenn KI-Systeme Schäden verursachen. Insbesondere soll ein umfassender Schutz potentieller Opfer – sowohl Einzelpersonen wie auch Unternehmen – verankert werden. Konkret heißt das, dass Geschädigte vereinfacht Zugang zu rechtlichen Verfahren und möglichen Schadensersatzansprüchen haben sollen. Auch in Bezug auf die Haftungsregeln achtet der Gesetzgeber indes auf ein ausgewogenes Verhältnis von Verbraucherschutz und Innovationsförderung.

Was folgt auf den AI Act?

Die europäischen Regeln für KI sind im AI Act der EU festgehalten. Dieser hat als EU-Verordnung einen rechtlich bindenden Charakter. Konkret bedeutet dies: Der auf europäischer Ebene beschlossene AI Act hat in allen EU-Mitgliedsstaaten die selbe Gültigkeit wie ein nationales Gesetz. Eine erneute Zustimmung der jeweiligen nationalen Parlamente ist nicht notwendig.

Damit der AI Act als rechtliche EU-Verordnung umgesetzt werden kann, arbeitet die EU bereits an Normen, die die Inhalte des AI Acts für die Anwendung in der Praxis konkretisieren. So sollen rechtliche Gestaltung und technische Implementierung im besten Fall reibungslos miteinander synchronisiert werden. Um solche Normen zu erarbeiten, hat die Europäische Kommission bereits das Europäische Komitee für Normung CEN sowie das Europäische Komitee für elektrotechnische Normung CENELEC beauftragt. Harmonisierte Standards zum Regelwerk des AI Acts sollen 2024 vorliegen.

Publikationen zum Thema

KI-Systeme schützen, Missbrauch verhindern

AGs IT-Sicherheit, Privacy, Recht und Ethik und Lebensfeindliche Umgebungen
AutorInnen: Beyerer, J., Müller-Quade, J. et al.
Erschienen: März 2022

Kritikalität von KI-Systemen in ihren jeweiligen Anwendungskontexten

AGs IT-Sicherheit, Privacy, Recht und Ethik und Technologische Wegbereiter und Data Science
AutorInnen: Jessica Heesen, Jörn Müller-Quade, Stefan Wrobel et al.
Erschienen: November 2021

Zertifizierung von KI-Systemen

AGs IT-Sicherheit, Privacy, Recht und Ethik und Technologische Wegbereiter und Data Science
AutorInnen: Jessica Heesen, Jörn Müller-Quade, Stefan Wrobel et al.
Erschienen: November 2020

Ethik-Briefing

Leitfaden für eine verantwortungsvolle Entwicklung und Anwendung von KI-Systemen

AG IT-Sicherheit, Privacy, Recht und Ethik
AutorInnen: Jessica Heesen et al.
Erschienen: Oktober 2020