Der EU AI Act: Hintergrund, Entwicklungen und Durchsetzungsfristen

Künstliche Intelligenz (KI) hat sich in nur wenigen Jahren von einem relativ obskuren Konzept zu etwas entwickelt, das unser Leben rapide verändert. Laut einer aktuellen Studie wird der weltweite KI-Markt von 2023 bis 2030 jährlich um 37 % wachsen und mehr als 130 Millionen Arbeitsplätze schaffen. Obwohl diese rasante Verbreitung von KI gleichermaßen Aufregung und Angst hervorruft, gibt es - je nachdem, wen man fragt - einen Elefanten im Raum: die Regulierung.  

Mit der Weiterentwicklung und Integration von KI-Systemen in praktisch alle Bereiche der modernen Welt sind KI-Vorschriften unvermeidlich. Wichtige Gerichtsbarkeiten wie die Europäische Union sind bereits dabei, gesetzliche Rahmenbedingungen einzuführen, die die dringend benötigte Ordnung in das bringen sollen, was als eine Art Wilder Westen der Technologie bezeichnet wird, und viele weitere werden folgen, da der Bedarf an staatlicher Aufsicht wächst.  

Das EU-KI-Gesetz 

Der EU-AI-Act ist ein wegweisender Rechtsakt, mit dem ein umfassender Rechtsrahmen für die Nutzung und Entwicklung von KI in allen Mitgliedstaaten geschaffen werden soll. Der EU-AI-Act ist ein wichtiger Bestandteil der breit angelegten digitalen Strategie der EU und spiegelt einen proaktiven Ansatz zur Bewältigung der ethischen, gesellschaftlichen und technischen Herausforderungen wider, die sich aus den rasch fortschreitenden KI-Technologien ergeben.  

Der am 13. März 2024 von den europäischen Gesetzgebern verabschiedete Act soll ein Umfeld schaffen, in dem KI-Technologien gedeihen können, um Innovation und Wirtschaftswachstum zu fördern und gleichzeitig sicherzustellen, dass diese Entwicklungen allen Bürgern zugutekommen und mit dem öffentlichen Interesse in Einklang stehen. Das Gesetz wird auch sicherstellen, dass die Europäer den Angeboten der KI vertrauen können.   

Der EU AI Act wird: 

• Bewältigung von Risiken, die speziell durch KI-Anwendungen entstehen. 
• Verbot von KI-Praktiken, die unannehmbare Risiken bergen. 
• Erstellen Sie eine Liste von Anwendungen mit hohem Risiko. 
• Festlegung klarer Anforderungen an KI-Systeme für risikoreiche Anwendungen. 
• Festlegung spezifischer Verpflichtungen für Bereitsteller und Anbieter von KI-Anwendungen mit hohem Risiko. 
• Durchsetzung der Vorschriften, nachdem ein bestimmtes KI-System auf den Markt gebracht wurde. 
• Schaffung einer Verwaltungsstruktur auf europäischer und nationaler Ebene. 
• eine Konformitätsbewertung vor der Inbetriebnahme eines KI-Systems zu verlangen.  

Ein risikobasierter Ansatz für KI-Governance 

Der durch das KI-Gesetz geschaffene Rechtsrahmen führt den Grundsatz ein, dass ein KI-System umso strengeren Vorschriften unterliegt, je höher das von ihm ausgehende Risiko ist. Dieser Ansatz stellt sicher, dass KI-Systeme, die das Potenzial haben, erhebliche Auswirkungen auf die Gesellschaft oder den Einzelnen zu haben, einer strengeren Aufsicht und Kontrolle unterworfen werden. 

Einer der wichtigsten Aspekte des KI-Gesetzes ist die Einstufung bestimmter KI-Anwendungen als unannehmbares Risiko, wodurch ihre Verwendung in der Europäischen Union effektiv verboten wird. Zu dieser Kategorie gehören KI-Anwendungen, die: 

• das menschliche Verhalten so weit zu manipulieren, dass es dem Einzelnen Schaden zufügen kann. Es handelt sich um Systeme, die darauf abzielen, Handlungen oder Entscheidungen zu beeinflussen, die dem Wohlbefinden oder der Autonomie der Menschen schaden könnten. 

• Erleichterung der nachteiligen Bewertung von Personen aufgrund ihres sozialen Verhaltens oder ihrer persönlichen Eigenschaften. Ein Paradebeispiel ist das in China eingeführte Sozialkreditsystem, das die Freiheiten und Möglichkeiten einer Person auf der Grundlage ihres sozialen Status, der durch ihr Verhalten und andere persönliche Merkmale bestimmt wird, einschränkt. 

• Ermöglichung der Fernerkennung von Personen im öffentlichen Raum in Echtzeit und ihrer biometrischen Identifizierung ohne deren Zustimmung. Während solche Praktiken aufgrund ihres eingreifenden Charakters weitgehend verboten sind, sieht das Gesetz Ausnahmen für die Terrorismusprävention oder die Untersuchung schwerer Straftaten vor und trägt damit dem Gleichgewicht zwischen den Belangen des Schutzes der Privatsphäre und den Sicherheitsanforderungen Rechnung. 

Zu den als risikoreich eingestuften KI-Systemen gehören KI-Systeme, die in Schlüsselbereichen wie kritischen Infrastrukturen (z. B. Verkehr), allgemeiner oder beruflicher Bildung (z. B. Bewertung von Prüfungen), Sicherheitskomponenten von Produkten (z. B. KI in der robotergestützten Chirurgie) und Beschäftigung (z. B. Software zur Lebenslaufsortierung) eingesetzt werden. KI-Systeme mit hohem Risiko werden strengen Auflagen unterliegen, bevor sie auf den Markt gebracht werden dürfen: 

• Angemessene Systeme zur Risikobewertung und -minderung. 
• Protokollierung der Aktivitäten, um die Rückverfolgbarkeit der Ergebnisse zu gewährleisten. 
• Klare und angemessene Informationen für den Einsatzleiter. 
• Geeignete Maßnahmen zur menschlichen Aufsicht, um das Risiko zu minimieren. 
• Ein hohes Maß an Robustheit, Sicherheit und Genauigkeit. 
• Eine ausführliche Dokumentation enthält alle Informationen über das System und seinen Zweck, damit die Behörden beurteilen können, ob es den Anforderungen entspricht. 

Für KI-Systeme, die als begrenztes Risiko eingestuft werden, gelten besondere Transparenzpflichten, um sicherzustellen, dass Menschen bei Bedarf informiert werden. Bei der Nutzung eines Chatbots beispielsweise sollten die Menschen darauf hingewiesen werden, dass sie mit einer Maschine interagieren, damit sie eine fundierte Entscheidung darüber treffen können, ob sie das System weiter nutzen wollen. Die Anbieter müssen auch sicherstellen, dass die von der KI generierten Inhalte identifizierbar sind. 

KI-Systeme mit minimalem Risiko unterliegen keinen Beschränkungen und können frei verwendet werden. Dazu gehören Anwendungen wie KI-gestützte Videospiele oder Spam-Filter. 

Wer wird davon betroffen sein? 

Das EU-KI-Gesetz wird in erster Linie die Anbieter betreffen, die weit definiert sind und alle juristischen Personen - ob Behörden, Institutionen, Unternehmen oder andere Einrichtungen - umfassen, die KI-Systeme entwickeln oder die Entwicklung von KI-Systemen in Auftrag geben. Diese weit gefasste Definition stellt sicher, dass jede Organisation, die KI-Technologie auf dem EU-Markt in Verkehr bringt oder solche Systeme in der Union in Betrieb nimmt, in den Anwendungsbereich des Gesetzes fällt. Zu den Pflichten der Anbieter im Rahmen des Gesetzes gehören unter anderem:

• Einhaltung von Menschenrechten: Sicherstellung, dass ihre KI-Systeme die Grundrechte des Einzelnen nicht beeinträchtigen, wozu der Schutz der Privatsphäre, die Nichtdiskriminierung und der Schutz personenbezogener Daten gehören. 

• Risikomanagement: Führen Sie gründliche Risikobewertungen durch, um potenzielle Schäden, die ihre KI-Systeme für den Einzelnen oder die Gesellschaft darstellen könnten, zu ermitteln und abzumildern. 

• Transparenzmaßnahmen: Bereitstellung klarer und verständlicher Informationen über die Funktionsweise ihrer KI-Systeme, die Logik hinter den KI-Entscheidungen und die Auswirkungen ihrer Nutzung. 

• Qualitäts- und Sicherheitsstandards: Einhaltung vordefinierter Qualitäts- und Sicherheitsstandards, die gewährleisten, dass KI-Systeme zuverlässig, sicher und für den vorgesehenen Zweck geeignet sind. 

Das EU-KI-Gesetz befasst sich auch mit der Verantwortung der Nutzer von KI-Systemen, einschließlich juristischer und natürlicher Personen. Damit erstreckt sich der Geltungsbereich des Gesetzes auf Privatpersonen, nicht nur auf Unternehmen oder Organisationen.  

Nach dem Gesetz wird von den Nutzern von KI-Systemen erwartet, dass sie: 

• Setzen Sie KI-Systeme verantwortungsbewusst ein: Befolgen Sie die Anweisungen und Leitlinien des Herstellers für die bestimmungsgemäße und sichere Verwendung von KI-Technologien. 

• Überwachung und Berichterstattung: Überwachen Sie die Leistung der eingesetzten KI-Systeme und melden Sie etwaige Fehlfunktionen oder Risiken den zuständigen Behörden oder Anbietern. 
• Datenverwaltung: Stellen Sie sicher, dass alle Daten, die in Verbindung mit KI-Systemen verwendet werden, im Einklang mit den strengen Datenschutzgesetzen der EU (z. B. DSGVO) gehandhabt werden, um die Privatsphäre und die persönlichen Daten von Personen zu schützen.  

Was wird das EU-KI-Gesetz regeln? 

Das KI-Gesetz ist ein bahnbrechender Rechtsakt, der mehrere Schlüsselbereiche im Zusammenhang mit der Einführung und dem Betrieb von KI-Systemen regeln wird.  

Ethik und Verantwortung 

KI-Systeme haben das Potenzial, die Gesellschaft sowohl in positiver als auch in negativer Hinsicht erheblich zu beeinflussen. Ethische Überlegungen sind von größter Bedeutung, da die von KI-Systemen getroffenen Entscheidungen das Leben, den Lebensunterhalt und die Rechte der Menschen beeinflussen können.  

Das KI-Gesetz soll sicherstellen, dass KI nach ethischen Gesichtspunkten entwickelt und eingesetzt wird, die Menschenrechte geachtet werden und die Sicherheit des Einzelnen gewährleistet ist. Es unterstreicht die Notwendigkeit, dass KI-Systeme mit einem auf den Menschen ausgerichteten Ansatz entwickelt werden, bei dem das menschliche Wohlergehen und ethische Standards im Vordergrund stehen. 

Transparenz und Rechenschaftspflicht 

Eine der Herausforderungen bei KI-Systemen, insbesondere bei solchen, die auf maschinellem Lernen und Deep Learning basieren, ist ihre "Blackbox"-Natur. Diese Undurchsichtigkeit kann es schwierig machen zu verstehen, wie Entscheidungen getroffen werden, was zu Bedenken hinsichtlich Fairness, Voreingenommenheit und Diskriminierung führt.  

Das KI-Gesetz schreibt mehr Transparenz und Dokumentation für KI-Systeme vor und verlangt Erklärungen darüber, wie sie funktionieren, welche Logik hinter ihren Entscheidungen steckt und welche Daten sie verwenden. Dies ist entscheidend, um die Rechenschaftspflicht zu stärken und sicherzustellen, dass KI-Systeme gesellschaftliche Ungleichheiten nicht aufrechterhalten oder verschärfen. 

Wettbewerbsfähigkeit 

Im weltweiten Wettlauf um den technologischen Fortschritt will sich die EU als Vorreiter für ethische KI-Innovationen positionieren. Durch die Festlegung klarer, harmonisierter Regeln für KI soll mit dem KI-Gesetz ein stabiles und vorhersehbares Umfeld geschaffen werden, das Investitionen und Forschung im Bereich der KI-Technologien begünstigt.  

Diese Klarheit der Vorschriften soll die Wettbewerbsfähigkeit der europäischen Unternehmen auf der internationalen Bühne stärken und sie in die Lage versetzen, innovativ zu sein und gleichzeitig hohe ethische Sicherheitsstandards einzuhalten.  

Vertrauen der Endnutzer 

Die öffentliche Akzeptanz und das Vertrauen in KI-Technologien sind für eine breite Akzeptanz und den Erfolg entscheidend. Das KI-Gesetz zielt darauf ab, das Vertrauen der Öffentlichkeit in KI-Systeme zu stärken, indem robuste Sicherheitsvorkehrungen, ethische Standards und Transparenzanforderungen eingeführt werden.  

Wenn sichergestellt wird, dass KI-Technologien in einer Weise eingesetzt werden, die die Gesellschaft schützt und ihr nützt, dürfte das Vertrauen der Bürger gestärkt werden, was für die Integration von KI in verschiedene Aspekte des täglichen Lebens und der Wirtschaft von entscheidender Bedeutung ist. 

KI-Vorschriften in anderen Rechtsordnungen  

Die EU steht mit ihren Bemühungen um die Regulierung von KI nicht alleine da - die Vereinigten Staaten und das Vereinigte Königreich haben bei der Einführung nationaler Maßnahmen erhebliche Fortschritte gemacht. 

In Kalifornien, der Heimat führender KI-Unternehmen wie OpenAI, Microsoft und Google, wurde kürzlich ein Gesetzentwurf eingebracht, der darauf abzielt, "klare, vorhersehbare und vernünftige Sicherheitsstandards für die Entwickler der größten und leistungsstärksten KI-Systeme" festzulegen, wobei der Schwerpunkt auf den Unternehmen liegt, die die größten Modelle bauen, und auf der Möglichkeit, dass sie weitreichenden Schaden anrichten könnten, wenn sie nicht kontrolliert werden.  

Das New Yorker Stadtgesetz 144, das 2021 eingeführt wurde und für Arbeitgeber gilt, die AEDTs zur Bewertung von Bewerbern einsetzen, schreibt vor, dass bei automatisierten Einstellungsverfahren ein Bias-Audit durchgeführt wird.  

Auch auf Bundesebene werden Maßnahmen ergriffen. Im Oktober erließ Präsident Biden eine Durchführungsverordnung zur Festlegung neuer Sicherheitsstandards für KI. Die Verordnung sieht folgende Maßnahmen vor: 

• Die Entwickler der leistungsstärksten KI-Systeme müssen die Ergebnisse ihrer Sicherheitstests und andere wichtige Informationen mit der US-Regierung teilen.  

• Entwicklung von Normen, Werkzeugen und Tests, um zu gewährleisten, dass KI-Systeme sicher und vertrauenswürdig sind.  

• Schutz vor den Risiken des Einsatzes von KI bei der Entwicklung gefährlicher biologischer Materialien. 

• Schutz der Amerikaner vor KI-gestütztem Betrug und Täuschung durch die Festlegung von Standards und bewährten Verfahren zur Erkennung von KI-generierten und authentischen offiziellen Inhalten. 

• Einrichtung eines fortschrittlichen Cybersicherheitsprogramms zur Entwicklung von KI-Tools zum Auffinden und Beheben von Schwachstellen in kritischer Software. 

• die Ausarbeitung eines Memorandums zur nationalen Sicherheit anordnen, das weitere Maßnahmen im Bereich KI und Sicherheit vorsieht. 

In der Zwischenzeit planen auch die britischen Gesetzgeber ihre eigenen Regeln. Die britische Regierung hat im März 2023 ihr KI-Whitepaper veröffentlicht, in dem sie ihre Vorschläge für die Regulierung der Nutzung von KI im Vereinigten Königreich darlegt. Das Whitepaper ist eine Fortsetzung des AI Regulation Policy Paper, in dem die britische Regierung ihre Vision für ein "innovationsfreundliches" und "kontextspezifisches" KI-Regulierungssystem im Vereinigten Königreich vorstellte.  

Das Whitepaper schlägt einen anderen Ansatz zur Regulierung von KI vor als das EU-KI-Gesetz. Anstatt neue, breit angelegte Vorschriften zur Regulierung von KI im Vereinigten Königreich einzuführen, möchte die britische Regierung neben den bestehenden Regulierungsbehörden wie der Financial Conduct Authority Erwartungen an die Entwicklung von KI formulieren und sie ermächtigen, die Nutzung von KI in ihrem jeweiligen Zuständigkeitsbereich zu regulieren.   

Wechselwirkungen zwischen dem KI-Gesetz und der EU-DSGVO  

Wenn das KI-Gesetz der EU in Kraft tritt, wird es eine der weltweit ersten und umfangreichsten Regelungen für KI sein. Das hat natürlich dazu geführt, dass man sich Gedanken über die Auswirkungen auf die Allgemeine Datenschutzverordnung (DSGVO) gemacht hat, die 2018 in Kraft getreten ist. 

Das KI-Gesetz und die Datenschutzgrundverordnung unterscheiden sich in ihrem Anwendungsbereich. Das KI-Gesetz gilt für Anbieter, Nutzer und Teilnehmer der gesamten KI-Wertschöpfungskette, während die DSGVO im engeren Sinne für diejenigen gilt, die personenbezogene Daten verarbeiten oder Waren oder Dienstleistungen, einschließlich digitaler Dienstleistungen, für betroffene Personen in der EU anbieten. KI-Systeme, die keine personenbezogenen Daten verarbeiten, fallen daher nicht unter die Datenschutzgrundverordnung.   

Dies ist jedoch mit Vorbehalten behaftet. Eine potenzielle Lücke zwischen dem KI-Gesetz und der Datenschutzgrundverordnung ist die Anforderung an die Anbieter von KI-Systemen, die menschliche Aufsicht zu erleichtern. Es wurde jedoch noch nicht definiert, welche Maßnahmen ergriffen werden sollten, um dies zu ermöglichen, und in welchem Maße eine menschliche Aufsicht für bestimmte KI-Systeme erforderlich ist. Dies könnte zur Folge haben, dass KI-Systeme nicht als teilweise automatisiert angesehen werden, so dass die Verpflichtungen nach Artikel 22 gelten könnten.   

Das KI-Gesetz stellt auch fest, dass Anbieter von KI-Systemen mit hohem Risiko möglicherweise besondere Kategorien personenbezogener Daten für die Überwachung und Erkennung von Verzerrungen verarbeiten müssen. Interessanterweise enthält das KI-Gesetz keine ausdrückliche Rechtsgrundlage für diese Verarbeitung, und die Bestimmungen der Datenschutzgrundverordnung sind eine Grauzone, wenn sie in diesem Zusammenhang angewendet werden.   

Es könnte ein rechtmäßiger Grund für die Verarbeitung vorliegen, um voreingenommene Daten und Diskriminierung gemäß der Bestimmung über das berechtigte Interesse nach Artikel 6 Absatz 1 Buchstabe f zu vermeiden, aber bei der Verarbeitung besonderer Datenkategorien muss auch eine Ausnahmeregelung nach Artikel 9 Absatz 2 erfüllt sein. Dies bedeutet, dass mehr als ein berechtigtes Interesse erforderlich ist. Theoretisch könnten die Systembetreiber zwar die ausdrückliche Zustimmung der betroffenen Personen zur Verarbeitung von Daten einholen, um Vorurteile zu beseitigen, aber das ist einfach nicht machbar. 

Dies sind zwei Beispiele für potenzielle Knackpunkte, die zwischen dem EU-KI-Gesetz und der Datenschutzgrundverordnung ins Spiel kommen könnten. Bei beiden Rechtsrahmen handelt es sich um komplexe Unternehmungen mit unterschiedlichen Geltungsbereichen, Definitionen und Anforderungen, die Herausforderungen für die Einhaltung und Kohärenz mit sich bringen, die es zu bewältigen gilt.  

Wann tritt das KI-Gesetz in Kraft?  

Ursprünglich sollte das KI-Gesetz im Jahr 2022 in Kraft treten, aber wie immer bei großen Gesetzesvorhaben dieser Art gab es Rückschläge.  

Die EU hat den AI-Act am¹³. März 2024 offiziell verabschiedet, als die Abgeordneten des Europäischen Parlaments mit einer Mehrheit von 523 Stimmen dafür und 461 Stimmen dagegen stimmten. Es wird nun erwartet, dass der Europäische Rat den endgültigen Text des AII-Acts im April 2024 formell billigt. Nach diesem letzten formalen Schritt und dem Abschluss der sprachpolitischen Beratung am AI-Act wird das Gesetz im Amtsblatt der EU veröffentlicht und tritt 20 Tage nach der Veröffentlichung in Kraft.  

Nach dem Inkrafttreten des KI-Gesetzes haben Organisationen je nach Art des von ihnen entwickelten oder eingesetzten KI-Systems zwischen sechs bis 36 Monate Zeit, um die Bestimmungen des Gesetzes zu erfüllen:  

• 6 Monate für verbotene KI-Systeme; 
• 12 Monate für spezifische Verpflichtungen in Bezug auf KI-Systeme für allgemeine Zwecke; 
• 24 Monate für die meisten anderen Verpflichtungen, einschließlich der Hochrisikosysteme in Anhang III, und 
• 36 Monate für Verpflichtungen im Zusammenhang mit Hochrisikosystemen in Anhang II. 

Auf dem Weg zum Gesetz müssen die Unternehmen die Auswirkungen dieses bahnbrechenden Gesetzes verstehen und sich auf die damit verbundenen Veränderungen vorbereiten. Diese Vorbereitung umfasst mehrere wichtige Maßnahmen, um die Einhaltung der Vorschriften zu gewährleisten und die Chancen zu nutzen, die eine gut regulierte KI-Umgebung bieten kann. 

Erstens sollten die Unternehmen ihre bestehenden KI-Systeme und -Anwendungen gründlich überprüfen. Diese Prüfung sollte darauf abzielen, alle Bereiche zu identifizieren, in denen ihre Technologie möglicherweise nicht mit den kommenden Vorschriften übereinstimmt. Da der Schwerpunkt des KI-Gesetzes auf den Risikostufen liegt, ist es von entscheidender Bedeutung zu verstehen, wo jedes System hinsichtlich seiner potenziellen Auswirkungen auf die Rechte und die Sicherheit des Einzelnen steht. Unternehmen müssen möglicherweise bestimmte KI-Funktionen, die in die höheren Risikokategorien fallen oder die im Rahmen des Gesetzes als inakzeptabel gelten, ändern oder einstellen. 

Unternehmen müssen sich auch darauf konzentrieren, robuste interne Prozesse zu implementieren, die Transparenz und Rechenschaftspflicht beim Einsatz von KI gewährleisten. Dies bedeutet, dass sie transparente Dokumentationsverfahren einführen, sicherstellen, dass KI-Entscheidungsprozesse nachvollziehbar sind, und Mechanismen zur Überwachung und Berichterstattung über die Leistung und die Auswirkungen von KI einrichten müssen.