Schon gelesen? Was im EU AI Act steht

Am 13. März hat das EU-Parlament grünes Licht für den EU AI Act, den weltweit ersten Rechtsrahmen zur künstlichen Intelligenz, gegeben. Aktuell ist davon auszugehen, dass die Verordnung im Mai oder Juni dieses Jahres in Kraft tritt. Viele Regelungen gelten abhängig davon, wie kritisch die betreffenden KI-Systeme einzuschätzen sind, erst 24 Monate nach Inkrafttreten des EU AI Acts. Allerdings sind beispielsweise die Vorgaben zu verbotenen KI-Anwendungen bereits nach sechs Monaten verbindlich. Und auch zwei Jahre sind nur eine kurze Zeit für Unternehmen, die sich auf die neue Rechtslage einstellen müssen. Wir haben einige der wichtigsten Punkte zusammengetragen, die Sie jetzt schon kennen sollten.

Der folgende Artikel ist eine vorläufige Bestandsaufnahme und gibt nur einige der Regelungen wieder; die genannten Inhalte können sich bis zur finalen Gesetzgebung noch ändern.

Worüber reden wir eigentlich, oder: Was ist ein KI-System?

Der EU AI Act definiert KI-Systeme als maschinengestützte Systeme, die für in unterschiedlichem Maße autonome Anwendungen ausgelegt sind und nach Inbetriebnahme anpassungsfähig sein können. Die Systeme leiten aus den erhaltenen Eingaben für explizite oder implizite Aufgaben ab, wie sie Ergebnisse (etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen) generieren, die physische oder virtuelle Umgebungen beeinflussen können.

Einteilung nach Risikostufen

Der EU AI Act klassifiziert die verschiedenen KI-Systeme anhand der potenziellen Risiken, die mit ihnen verbunden sind. Der EU AI Act unterteilt die KI in Systeme, die ein inakzeptables, ein hohes, ein begrenztes oder ein minimales/kein Risiko darstellen. Deutlich reguliert werden nur die beiden ersten Gruppen. Hinzu kommen General Purpose AI, also umfassende KI-Systeme wie OpenAI, die für verschiedene Zwecke einsetzbar sind, und KI-Systeme, die zum Beispiel aufgrund ihres Potenzials als systemisches Risiko gelten. Für diese beiden gibt es eigene Vorgaben.

Sie wollen mehr über künstliche Intelligenz in der PR erfahren? Dann besuchen Sie den AzetPR AI-Hub!

Von Asyl bis Zugang zu Bildungseinrichtungen

Als KI-Anwendungen, die ein inakzeptables Risiko darstellen und daher verboten sind, gelten unter anderem Verhaltens- und Willensmanipulation, soziales Scoring, Sammeln von Bildern zur Gesichtserkennung, Kategorisierung anhand biometrischer Merkmale sowie Massenüberwachung. Zu den Anwendungsgebieten mit hohem Risiko zählen beispielsweise Strafverfolgung, Migration, Asyl und Grenzkontrolle sowie Auswahl, Zulassung, Zugang, Inanspruchnahme und Bewertung in Bildung und Ausbildung. Die Interaktion mit Menschen, Chatbots und Deepfakes können Anwendungen mit begrenztem Risiko darstellen, sofern sie nicht bestimmte Eigenschaften verbotener oder Hochrisikoanwendungen erfüllen. Die KI-Inhalte müssen als solche gekennzeichnet und erkennbar sein und die Nutzer informiert werden, dass sie es mit einer KI zu tun haben.

Zusätzliche Regulierungsbereiche

Neben den vier KI-Risikostufen nennt der EU AI Act auch General Purpose AI (GPAI) sowie KI, die ein Systemrisiko darstellt, mit je eigenen Vorgaben und Folgen. So setzt GPAI eine umfassende Dokumentation zur Integration und Nutzbarkeit voraus. Entwickler müssen in Bezug auf die verwendeten Daten das EU-Urheberrecht einhalten, Opt-outs zur Datenverarbeitung berücksichtigen und Einblick in die verwendeten Trainingsdaten geben. Als Systemrisiko gilt KI, die eine GPAI ist und zusätzlich Voraussetzungen wie einen hohen Wirkungsgrad und große Trainingsleistung erfüllt. Systemrisiko-KI muss der EU-Kommission binnen zwei Wochen angezeigt werden. Hinzu kommen weitere Pflichten.

Wer überwacht die KI?

Die Einhaltung des EU AI Act soll sowohl auf der EU-Ebene durch eine eigene Behörde sowie einen Ausschuss als auch durch Behörden in den einzelnen Ländern überwacht werden. Zudem ist jede Person berechtigt, eine Nicht-Einhaltung des EU AI Act zu melden. Im Falle von Verstößen gegen verbotene KI betragen die vorgesehenen Strafen bis zu 35 Mio. Euro oder sieben Prozent des weltweiten Jahresumsatzes. Die Obergrenze für die meisten anderen Verstöße liegt bei 15 Mio. Euro (oder drei Prozent des weltweiten Jahresumsatzes) und bei 7,5 Mio Euro (oder ein Prozent d. w. J.) für falsche Informationen zu den KI-Modellen. Hinzu kommen weitere KI-relevante Gesetze.

Lesen Sie auch, mit welchen Prompts Sie das Optimum aus ChatGPT herausholen.

Was heißt das für die weitere KI-Entwicklung?

Voraussichtlich können viele KI-Anwendungen so gestaltet werden, dass sie „nur“ als minimales oder eingeschränktes Risiko gelten. Die Einhaltung der Vorschriften für Hochrisiko-KI dürfte hingegen anspruchsvoll und vor allem von großen Unternehmen umzusetzen sein. Auch im Falle von GPAI ist mit einer kosten- und zeitintensiven Compliance zu rechnen. Nichtsdestoweniger wird der EU AI Act als mögliches Vorbild für zukünftige KI-Gesetze weltweit gehandelt. Er könnte die EU zu einem Standort für die Entwicklung sicherer, vertrauenswürdiger und ethischen Maßstäben entsprechender KI machen.

Wann gilt der EU AI Act?

Das EU-Parlament hat den EU AU Act am 13. März 2024 angenommen. Damit steht aktuell noch die Zustimmung durch den EU-Rat aus. Anschließend erfolgt die Veröffentlichung im Amtsblatt der Europäischen Union. 20 Tage später tritt die Verordnung in Kraft. Die ersten Regelungen betreffen die unzulässige KI und gelten nach sechs Monaten. Nach zwölf Monaten kommen die Regelungen zu Hochrisiko-KI und GPAI hinzu. Die restlichen Vorgaben gelten – mit Ausnahme von Regelungen für Legacykomponenten in IT-Großsystemen – nach zwei Jahren. Der EU AI Act betrifft auch Unternehmen von außerhalb der EU, sofern diese in der EU agieren.