AI Act: Von Risiken und Nebenwirkungen

Mit der neuen Vorschrift soll die Entwicklung und Nutzung sicherer und vertrauenswürdiger KI-Systeme sowohl durch private als auch öffentliche Akteure im gesamten EU-Binnenmarkt gefördert werden. Gleichzeitig sollen mit der Vorschrift die Achtung der Grundrechte der EU-Bürgerinnen und -Bürger gewährleistet sowie Investitionen und Innovation im Bereich der Künstlichen Intelligenz in Europa angekurbelt werden. Das KI-Gesetz gilt nur für Bereiche innerhalb des EU-Rechts und sieht Ausnahmen für Systeme vor, die ausschließlich militärischen und verteidigungspolitischen Zwecken sowie Forschungszwecken dienen. „Wir brauchen KI in allen Bereichen, wenn wir unsere Gesellschaft fit für die Zukunft machen und unsere Wirtschaft wettbewerbsfähig halten wollen“, erklärt Volker Wissing, Bundesminister für Digitales und Verkehr. „Die KI-Verordnung kann die Grundlage für einen breiten und sicheren Einsatz von KI in unserem Land sein. Bei der nationalen Umsetzung müssen wir die maximalen Spielräume für Innovationen nutzen, damit KI-Unternehmen in Deutschland und Europa eine Zukunft haben.“

Für Healthcare-Unternehmen sind die strengeren Anforderungen an generative KI relevant, denn hier sind zunehmend Anwendungen zu finden, die sich darauf stützen. Diese Modelle müssen nun höheren Anforderungen an Datenverwaltung, technische Dokumentation und Qualitätsmanagementsysteme gerecht werden. Eine erste Orientierung, wie sich das EU-KI-Gesetz auf das eingesetzte KI-System auswirkt, können Unternehmen mit dem "Compliance Checker" des Future of Life Institutes (FLI) bekommen. Das FLI ist eine unabhängige Non-Profit-Organisation, die sich dafür einsetzt, große, extreme Risiken durch transformative Technologien zu verringern. Ziel der Organisation ist es auch, dass die künftige Entwicklung und Nutzung dieser Technologien für alle von Nutzen ist. Die Arbeit umfasst die Vergabe von Zuschüssen, Bildungsarbeit und politisches Engagement.

■ Risikoklassen

„Der Erlass des KI-Gesetzes ist ein bedeutender Meilenstein für die Europäische Union“, erklärt Mathieu Michel, belgischer Staatssekretär für Digitalisierung, beauftragt mit der Administrativen Vereinfachung, dem Schutz des Privatlebens und der Gebäuderegie. „Der Erlass des KI-Gesetzes ist ein bedeutender Meilenstein für die Europäische Union. Mit dieser wegweisenden Vorschrift – der weltweit ersten ihrer Art – wird eine globale technologische Herausforderung, durch die auch Chancen für unsere Gesellschaften und Volkswirtschaften geschaffen werden, angegangen. Mit dem KI-Gesetz macht Europa deutlich, wie wichtig Vertrauen, Transparenz und Rechenschaftspflicht beim Umgang mit neuen Technologien sind. Zugleich wird gewährleistet, dass diese sich rasch wandelnde Technologie florieren und europäischen Innovationen einen Schub geben kann“, so Michel.

Doch was bedeutet das Gesetz in der Praxis? In der neuen Vorschrift werden verschiedene Arten Künstlicher Intelligenz nach Risiken kategorisiert. Für KI-Systeme mit begrenztem Risiko sollen nur sehr geringe Transparenzpflichten gelten, während Hochrisiko-KI-Systeme zugelassen würden, aber bestimmte Anforderungen und Verpflichtungen erfüllen müssten, um Zugang zum EU-Markt zu erhalten. KI-Systeme wie z. B. kognitive Verhaltensmanipulation und Sozialkreditsysteme werden in der EU verboten, da ihr Risiko als unannehmbar gilt, wie der Rat der Europäischen Union auf seiner Website informiert. Verboten sind auch KI-Anwendungen für vorausschauende Polizeiarbeit („predictive policing“) auf der Grundlage von Profiling sowie Systeme, die biometrische Informationen nutzen, um auf die Rasse, die Religion oder sexuelle Ausrichtung einer Person zu schließen.

Mit dem KI-Gesetz wird auch auf die Verwendung von KI-Modellen mit allgemeinem Verwendungszweck („general purpose artificial intelligence systems“, GPAI) eingegangen. Diese Gesetzeskategorie wurde kurzfristig für die relativ neue Generative KI eingeführt, mit der man like ChatGPT mittels weniger Stichworte ganze Textkörper und Bilder erstellt werden können. Als 2021 mit der Arbeit am „AI Act“ begonnen wurde, war diese Technologie der breiten Öffentlichkeit noch unbekannt. GPAI-Modelle, die keine systemischen Risiken bergen, sollen einigen begrenzten Anforderungen, z. B. in Bezug auf die Transparenz, unterliegen, aber diejenigen mit systemischen Risiken müssten strengeren Vorschriften genügen.

Um eine ordnungsgemäße Durchsetzung zu gewährleisten, werden mehrere Leitungsgremien eingerichtet:

• ein Amt für Künstliche Intelligenz („KI-Amt“) innerhalb der Kommission zur Durchsetzung der gemeinsamen Vorschriften in der gesamten EU
• ein wissenschaftliches Gremium unabhängiger Sachverständiger zur Unterstützung der Durchsetzungsmaßnahmen
• ein koordinierender Ausschuss für Künstliche Intelligenz (KI-Ausschuss) aus Vertretern der Mitgliedstaaten, der die Kommission und die Mitgliedstaaten bei der kohärenten und wirksamen Anwendung des KI-Gesetzes berät und unterstützt
• ein Beratungsforum für Interessenträger, das dem KI-Ausschuss und der Kommission technisches Fachwissen zur Verfügung stellt.

■ Sanktionen

Die Geldbußen für Verstöße gegen das KI-Gesetz werden als Prozentsatz des weltweiten Jahresumsatzes des zuwiderhandelnden Unternehmens im vorangegangenen Geschäftsjahr bzw. als im Voraus festgelegter Betrag festgelegt, je nachdem, welcher Betrag höher ist. Das können bis zu zweistellige Millionenbeträge sein. KMU und Startups würden mit verhältnismäßigen Geldbußen belegt, gibt der Rat der Europäischen Union in seiner Pressemitteilung an. 

■ Innovationen

Das KI-Gesetz will einen innovationsfreundlichen Rechtsrahmen bieten und soll faktengestütztes regulatorisches Lernen fördern. In der neuen Rechtsvorschrift ist vorgesehen, dass die regulatorischen KI-Reallabore, die eine kontrollierte Umgebung für die Entwicklung, Testung und Validierung innovativer KI-Systeme ermöglichen, auch das Testen innovativer KI-Systeme unter realen Bedingungen ermöglichen sollten.

Der Digitalverband Bitkom äußert sich allerdings besorgt über die Auswirkungen des Gesetzes auf Innovation und Wettbewerb. Insbesondere kleinere und mittelständische Unternehmen könnten durch die strengen Vorschriften und die hohen Kosten für die Einhaltung der Compliance-Anforderungen stark belastet werden. Der Verband befürchtet, dass dies die Innovationsfähigkeit und Wettbewerbsfähigkeit europäischer Unternehmen im globalen Markt beeinträchtigen könnte. Zudem gibt es Bedenken, dass die umfangreichen Dokumentations- und Meldepflichten zu einem bürokratischen Aufwand führen, der vor allem kleinere Unternehmen überfordert​.

„Der AI Act darf keine KI-Bremse werden. Keinesfalls darf Deutschland die Möglichkeiten für Markteingriffe bis an die Grenzen des Zulässigen ausreizen, wie wir dies bei der DSGVO erleben mussten. Damit würden Unternehmen in ein regulatorisches Korsett gezwungen, das Innovationen im Keim erstickt“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.

Das KI-Gesetz tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt in Kraft und soll zwei Jahre später vollständig anwendbar sein. Die Europäische Kommission hat außerdem ein KI-Büro eingerichtet, das eine Schlüsselrolle bei der Umsetzung des KI-Gesetzes spielen soll.