Die Frage, die sich nun stellt: Welche Konsequenzen birgt diese Entwicklung? Künstliche Intelligenz eröffnet zweifellos zahlreiche Möglichkeiten, birgt jedoch gleichzeitig eine Vielzahl von Risiken.
Auf europäischer Ebene wird mit dem Artificial Intelligence Act (AIA) der erste bedeutende Versuch unternommen, diesen Herausforderungen zu begegnen und die Zukunft dieser Technologie auf sichere Bahnen zu lenken.
Was ist das?
Der Artifical Intelligence Act (AI-Act) ist eine der weltweit ersten Verordnungen zur Regulierung Künstlicher Intelligenz. Bereits im April 2021 wurde der erste Entwurf der EU-Kommission dazu gemacht.
Die Europäische Kommission, der Rat der Europäischen Union und das Europäische Parlament haben sich am 8. Dezember 2023 im Trilog auf einen politischen Kompromiss zum AI-Act geeinigt, womit die zentralen Eckpunkte feststehen und mit einem Scheitern der Regulierung nicht mehr zu rechnen ist. Eine finale Fassung des AI-Acts wird voraussichtlich im ersten Quartal 2024 vorliegen. Der bisherige Entwurf des AI-Acts dient als Grundlage für die folgenden Ausführungen.
In unserem Artikel „Weltweit erste Regulierung künstlicher Intelligenz durch die Europäische Union “ wird unter anderem auf die Ziele des AI-Acts eingegangen.
Anwendungsbereich
Der AI-Act ist eine europäische Verordnung für die Regulierung von KI-Systemen im europäischen Binnenmarkt. Dieser erfasst öffentliche und private Akteure innerhalb und außerhalb der EU, wenn das KI-System in der EU genutzt wird oder Auswirkungen auf Menschen in der EU hat. Dabei ist es irrelevant, ob der Anbieter des KI-Systems in der EU ansässig ist. Parallel gilt weiterhin die DS-GVO.
Auf Bereiche ohne EU-Rechtsregelung, oder KI-Systeme die nur für militärische oder Verteidigungszwecke, Forschung, Entwicklung oder zur nicht-professionellen Nutzung eingesetzt werden, wird der AI-Act keine Anwendung finden.
Was wird geregelt?
Der AI-Act beinhaltet eine Klassifizierung der KI-Systeme nach einem risikobasierten Ansatz sowie Regelungen für General-Purpose AI Systeme und Modelle.
Klassifizierung der KI-Systeme nach einem risikobasierten Ansatz
Die Zuordnung des KI-Systems entscheidet darüber, welche Maßnahmen zu treffen sind, um das entsprechende Risiko auf ein akzeptables Niveau zu minimieren.
Dabei wird nach vier Risikoklassen unterschieden:
- Systeme mit unannehmbarem Risiko (verbotene KI-Systeme)
- Systeme mit hohem Risiko (Hochrisiko-Systeme)
- Systeme mit geringem oder minimalem Risiko
- Spezifisches Transparenzrisiko
Systeme mit unannehmbarem Risiko
KI-Systeme, die gegen Werte der EU verstoßen, da sie Grundrechte verletzen werden als Systeme mit unannehmbarem Risiko bezeichnet und zählen somit zu den verbotenen KI-Systemen. Dazu gehören unter anderem:
- die biometrische Fernidentifizierung in öffentlichen Räumen in Echtzeit zu Strafverfolgungszwecken (mit engen Ausnahmen)
- ungezieltes Auslesen von Gesichtsbildern aus dem Internet oder aus Videoüberwachungsanlagen zur Erstellung von Gesichtserkennungsdatenbanken
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
Systeme mit hohem Risiko
Unter „Systeme mit hohem Risiko“ fallen KI-Systeme, bei denen ein erhebliches Risiko besteht, dass sie die Sicherheit und die Grundrechte von Personen gefährden.
KI-Systeme in sensiblen Bereichen wie Bildung, Arbeit, kritische Infrastruktur, öffentliche Verwaltung, Strafverfolgung, Grenzkontrolle und Rechtspflege gelten als „high-risk“. Des Weiteren zählt auch z.B. die Vorhersage von Migrationstrends und die Grenzüberwachung zu KI-Systemen mit hohem Risiko. Die Einstufung als „high-risk“ hat erhebliche Auswirkungen auf die einzuhaltenden Vorschriften.
Anbieter müssten vor Markteinführung eine Konformitätsbewertung durchführen, welche folgende Aspekte umfasst:
- Datenqualität (Art.10 AI-Act)
- Dokumentation (Art.11 AI-Act)
- Transparenz (Art.13 AI-Act)
- menschliche Aufsicht (Art.14 AI-Act)
- Genauigkeit, Cybersicherheit und Robustheit (Art. 15 AI-Act)
Die Bewertung müsste wiederholt werden, wenn das System oder sein Zweck wesentlich geändert wird.
Betreiber von Hochrisikosystemen müssten ein „fundamental rights impact assessment“ durchführen und die Ergebnisse den Behörden melden. In dieser Bewertung würden die Auswirkungen des Einsatzes eines KI-Systems auf die Grundrechte geprüft. Die Bewertung umfasst:
- Prozessbeschreibungen
- Zeitraum und Häufigkeit, in der das System eingesetzt werden soll
- betroffene Personen
- Schadensrisiken
- Maßnahmen
Systeme mit minimalem Risiko
KI-Systeme mit minimalem Risiko könnten unter Einhaltung der bestehenden Regelungen entwickelt und auf den Markt gebracht werden (z. B. gestützte Empfehlungssysteme, Spam-Filter). Es bestehen keine zusätzlichen, spezifischen Pflichten. Anbieter solcher Systeme können aber freiwillig die Anforderungen an vertrauenswürdige KI anwenden und freiwillige Verhaltenskodizes einhalten (Code of Conduct).
Spezifisches Transparenzrisiko
Für bestimmte KI-Systeme sollen besondere Transparenzanforderungen gelten, z. B. wenn ein eindeutiges Risiko der Manipulation besteht (z. B. durch den Einsatz von Chatbots und Deepfakes). Nutzende müssen darauf aufmerksam gemacht werden, dass sie mit einer KI interagieren. Bisher ist allerdings noch nicht klar für welche Systeme das spezifische Transparenzrisiko gelten soll.
Regelungen für General-Purpose AI Systeme und Modelle
Die Anbieter von General-Purpose AI Systemen und –Modelle (GPAI-Modelle) müssten die vom Parlament vorgeschlagenen Transparenzanforderungen erfüllen.
Diese beinhalten unter anderem folgende Punkte:
- Entwickler müssen technische Dokumentation erstellen
- Einhaltung EU-Urheberrechtsgesetze
- Offenlegung von Inhalten für das Training
Für High-Impact GPAI Modelle mit systemischen Risiken würden strengere Regelungen gelten. Dies betrifft Modelle mit Rechenleistung über 10^25 FLOPs. Die weiteren Pflichten für Anbieter solcher Modelle würden Modellevaluierungen, Risikobewertung, gegnerische Tests, Meldung von Vorfällen, Cybersicherheit und Energieeffizienzberichterstattung umfassen.
Sanktionen
Innerhalb der Kommission wird ein KI-Büro eingerichtet werden, um die KI-Systeme zu überwachen. Die Nichteinhaltung der Regelungen wird Bußgelder nach sich ziehen. Die Europäische Kommission hat angedeutet, dass für KMU und Start-ups verhältnismäßigere Obergrenzen gelten könnten. So soll für jede Kategorie von Verstößen der niedrigere der beiden Beträge für KMU und der höhere für andere Unternehmen gelten:
- Bis zu EUR 35 Mio. bzw. 7% des weltweiten Jahresumsatzes (davon abhängig, welcher Wert höher ist) für Verstöße gegen verbotene Anwendungen oder die Nichteinhaltung der Anforderungen an Daten;
- Bis zu EUR 15 Mio. bzw. 3% des weltweiten Jahresumsatzes (davon abhängig, welcher Wert höher ist) bei Verstößen gegen andere Anforderungen oder Verpflichtungen aus der Verordnung, einschließlich der Verletzung der Bestimmungen über GPAI-Modelle;
- Bis zu EUR 7.5 Mio. bzw. 1.5% des weltweiten Jahresumsatzes (davon abhängig, welcher Wert höher ist) bei falschen, unvollständigen oder irreführenden Angaben in angeforderten Auskünften an benannte Stellen und zuständige nationale Behörden.
Könnte das Gesetz zu einem globalen Standard werden?
Es gibt einige Faktoren, die eine weltweite Anpassung an die Bestimmungen des AI-Acts wahrscheinlich machen:
- Extraterritoriale Anwendung
Der AI-Act sieht vor, dass er extraterritorial gilt, was bedeutet, dass Unternehmen außerhalb der EU, die KI-Systeme betreiben oder anbieten, die in der EU genutzt werden sollen, den Vorschriften entsprechen müssen. Dieser Ansatz könnte dazu führen, dass Unternehmen weltweit bestrebt sind, sich den EU-Standards anzupassen, um Geschäfte in diesem Markt zu tätigen.
- Einfluss der EU
Der sogenannte Brüsseler Effekt deutet darauf hin, dass EU-Vorschriften zu globalen Standards werden können. Die EU hat bereits mit der DS-GVO gezeigt, dass ihre Regulierungen weltweit Einfluss haben können. Der Einfluss der EU auf internationaler Ebene könnte dazu beitragen, dass andere Länder ähnliche Regelungen implementieren, um Wettbewerbsvorteile zu erlangen oder um mit der EU zusammenzuarbeiten.
- Universelle ethische Standards
Das Gesetz betont den Schutz von Grundrechten und ethischen Standards. Unternehmen weltweit könnten diese Standards nicht nur als regulatorische Anforderungen, sondern auch als ethische Maßstäbe wahrnehmen. Infolgedessen könnten sie bestrebt sein, ihre KI-Systeme an diese Standards anzupassen, um einen positiven Ruf zu wahren.
- Marktgröße der EU
Die EU hat eine beträchtliche Marktgröße, und Unternehmen könnten daher einen Anreiz haben, ihre KI-Systeme an die strengen EU-Standards anzupassen, um Zugang zu diesem Markt zu erhalten.
Trotz dieser Faktoren gibt es keine Garantie dafür, dass der AI-Act weltweit übernommen wird. Andere Länder könnten alternative Regulierungsansätze verfolgen, und einige könnten möglicherweise versuchen, eigene Standards zu etablieren. Jedoch ist aufgrund der genannten Faktoren eine weltweite Anpassung wahrscheinlich.
Fazit
Insgesamt repräsentiert der AI-Act einen bedeutsamen Versuch, den Weg für eine verantwortungsbewusste und ethische Entwicklung von KI-Technologien zu ebnen, wobei die Balance zwischen Innovation und Risikominderung im Mittelpunkt steht. Der endgültige Erfolg wird von der konsequenten Umsetzung, der Anpassung globaler Akteure und der Fähigkeit der EU, ihre Standards als internationalen Maßstab zu etablieren, abhängen.
Um zu gewährleisten, dass das Unternehmen auf die zu erwartenden Umsetzungsfristen vorbereitet ist und weiß, welche spezifischen Verfahren, Bewertungen und Unterlagen es zur Einhaltung der Vorschriften einführen muss, kann ein erheblicher Arbeitsaufwand erforderlich sein. Daher sollten Unternehmen so bald die endgültige Fassung des Gesetzes veröffentlicht ist folgendes umsetzen:
- Beurteilung der Anwendbarkeit des Gesetzes auf das eigene Unternehmen
- Auswirkungen des Gesetzes auf das eigene Unternehmen bewerten
Entsprechende Prozesse einrichten, um die neuen Vorschriften einzuhalten