Künstliche Intelligenz soll mit dem Artificial Intelligence Act (AI Act) unionsweit reguliert werden. Nach monatelangen Trilog-Verhandlungen haben sich das Europäische Parlament und der Rat vorläufig auf eine gemeinsame Fassung der Verordnung geeinigt, welche die Europäische Kommission bereits im April 2021 vorgeschlagen hatte. Der umfangreiche Kompromiss ist kürzlich geleakt worden. Die Beschlussfassung steht noch aus. Die KI-Verordnung soll zwei Jahre nach ihrem Inkrafttreten anwendbar werden, mit kürzeren Zeiträumen für bestimmte Systeme.
Was ist der AI Act?
Mit dem AI Act weitet die EU-Kommission ihre Digital-Strategie aus, zu der auch der Digital Services Act (DSA) und der Digital Markets Act (DMA) gehören. Gestützt auf ihre Binnenmarktkompetenz hat die Kommission eine Verordnung erarbeitet, die spezifisch auf KI-Anwendungen zugeschnitten ist. Wie auch schon mit der geplanten Richtlinie über KI-Haftung (COM (2022) 496) weicht sie damit von ihrem bisherigen Soft-Law-Ansatz in dem Bereich ab. Die Bürgerinnen und Bürger in der EU sollen von KI profitieren und effektiv vor KI-Risiken geschützt werden. Gleichzeitig sollen Innovationsanreize möglichst erhalten bleiben.
Der AI Act betrifft KI-Systeme im privaten und im öffentlichen Sektor, so beispielsweise in der Werbung, bei der Personalbeschaffung oder der Justiz. Der Unionsgesetzgeber begründet den Regulierungsbedarf mit sog. Blackbox-Effekten, Missbrauchs- und Manipulationspotentialen. Der Unionsgesetzgeber teilt KI-Systeme in verschiedene Risiko-Klassen ein und knüpft daran entsprechende Vorgaben. Diese richten sich in erster Linie an die Anbieter und die Nutzer dieser Produkte, teils auch an Hersteller und Händler von KI-Produkten.
Welche Vorgaben gelten für welche KI-Systeme?
KI-Anwendungen werden nach ihrer Risikostufe klassifiziert und mit entsprechend gestaffelten Auflagen belegt.
Einige Praktiken stellen nach der Verordnung ein untragbares Risiko für die Grundrechte dar und sind gänzlich verboten (Prohibited Artificial Intelligence Practices). Dazu zählen Anwendungen, die das Verhalten insbesondere vulnerabler Personen schädlich beeinflussen können. Generell verboten sind Social-Scoring-Systeme und personenbezogene Predictive-Policing-Systeme.
Erlaubt, aber stark reguliert, sind nach der Verordnung Hochrisikosysteme (High-Risk AI Systems). Dazu zählen z.B. biometrische Systeme und Systeme mit Verwendung im Medizin-, Bildungs- oder Personalbereich, in der kritischen Infrastruktur oder der öffentlichen Verwaltung. Anbieter von Hochrisiko-Systemen müssen diese vor dem Markteintritt u.a. einer Zertifizierung unterziehen und besondere Anforderungen an Datensicherheit und menschliche Kontrolle beachten sowie eine grundrechtliche Folgeabschätzung vornehmen.
Für weniger risikobehaftete Interaktionsmodelle (z.B. Chatbots oder Text-to-Image Generatoren) gelten besondere Transparenzanforderungen (specific transparency obligations). So müssen sog. Deep Fakes, also mittels KI manipulierte Bilder oder Videos vermeintlich echter Personen oder Geschehnisse, als solche gekennzeichnet werden. Das Thema war zuletzt im Zusammenhang mit gefälschten Nacktbildern von Taylor Swift verstärkt Gegenstand der öffentlichen Debatte.
Keine bindenden Verpflichtungen bestehen für als risikoarm eingestufte Systeme (minimal risk). Entwickler von KI-Basismodellen (z.B. OpenAI mit GPT-4, Meta mit Llama 2 und Google mit Gemini) unterliegen einer Reihe von Verpflichtungen. Sie müssen unter anderem technische Dokumentationen erstellen und eine Policy für die Einhaltung des Urheberrechts einführen.
Welche Ausnahmen sind vorgesehen?
Für biometrische Systeme können aus Gründen der inneren Sicherheit Ausnahmen gelten, wie zum Beispiel zur Terrorismusbekämpfung. Um kleine und mittlere Unternehmen sowie Start-Ups nicht zu stark durch die Regulierung einzuschränken und gegenüber großen Tech-Konzernen wettbewerbsfähig zu halten, gibt es für sie Ausnahmen von der Regulierung („AI Regulatory Sandboxes“).
Welche Folgen haben Verstöße gegen die Vorgaben?
Für die Überwachung und Kontrolle der Vorschriften benennen die Mitgliedsstaaten die zuständigen Aufsichtsbehörden. Zusätzlich wird eine KI-Behörde innerhalb der Kommission eingerichtet, die für die KI-Basismodelle zuständig sein soll. Bei Verstößen gegen die jeweiligen Pflichten sind Geldbußen zwischen 7,5 und 35 Millionen EUR oder zwischen 1,5 und 7% des weltweiten Jahresumsatzes vorgesehen.
(31. Januar 2024)