KI-Gesetz erstmals in der EU verabschiedet
KI-Gesetz erstmals in der EU verabschiedet
Bildquelle: Mohamed_hassan, thx, Lizenz

KI-Gesetz in der EU verabschiedet – weltweit das erste seiner Art

Das KI-Gesetz der Europäischen Union regelt KI-Systeme, schützt Menschen und Unternehmen und fördert digitale Innovation.

Die EU hat sich kürzlich auf ein neues KI-Gesetz zur Regulierung der künstlichen Intelligenz (KI) geeinigt (Artificial Intelligence Act). Das Gesetz soll die Sicherheit und die Würde von Personen und Unternehmen sichern, die KI nutzen oder davon betroffen sind. Das Gesetz soll auch Innovation und Wettbewerb in der digitalen Wirtschaft fördern.

Was ist das KI-Gesetz?

Das KI-Gesetz ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Am 9. Dezember 2023 wurde sie vom Europäischen Kommission verabschiedet. Es folgt einem Vorschlag der Europäischen Kommission vom April 2021.

KI-Gesetz umfassend ausgearbeitet

Das Gesetz verbietet KI-Systeme, die ein „inakzeptables Risiko“ darstellen, wie z.B. soziale Bewertungssysteme oder Emotionserkennung am Arbeitsplatz. Für KI-Systeme, die als „risikoreich“ oder „risikoarm“ eingestuft werden, legt das Gesetz verschiedene Kriterien und Pflichten fest. Zum Beispiel müssen hochriskante KI-Systeme eine obligatorische Grundrechte-Folgenabschätzung durchführen und den Nutzern Erklärungen über die Entscheidungen liefern, die sie führen. Geringfügig riskante KI-Systeme müssen die Nutzer darüber informieren, dass sie sich mit KI-generierten Inhalten austauschen, wie z.B. Chatbots oder Deepfakes.

Das Gesetz regelt auch die Bereitstellung von Basismodellen, die große Daten- und Textmengen verarbeiten können, wie z.B. Microsoft Bing. Es verlangt von den Anbietern, Maßnahmen zu ergreifen, um die Einhaltung des europäischen Urheberrechts zu gewährleisten, detaillierte Zusammenfassungen der für das Training dieser Systeme verwendeten Inhalte zu veröffentlichen und eine technische Dokumentation über die Nutzung der Modelle zu erstellen.

Wann tritt das KI-Gesetz in Kraft?

Das vorläufige Abkommen sieht vor, dass das Gesetz in zwei Jahren in Kraft treten soll, wobei einige Bestimmungen zu einem späteren Zeitpunkt rechtlich bindend werden sollen. Die Verhandlungspartner müssen noch technische Anpassungen vornehmen, bevor sie das Abkommen den Vertretern der EU-Mitgliedstaaten zur Genehmigung vorlegen. Danach legt man den endgültigen Text des KI-Gesetzes vor.

Für wen gilt das KI-Gesetz?

Das Gesetz gilt sowohl für Anbieter als auch für Nutzer von KI-Systemen, die in der EU eingesetzt werden oder sich in der EU auswirken, unabhängig davon, wo sie beheimatet sind. Das heißt, Anbieter oder Nutzer von KI-Systemen müssen das KI-Gesetz befolgen, auch wenn sie in Drittstaaten wie den USA sitzen und ihr System in der EU Wirkung zeigt.

Welche KI-Systeme fallen unter das Gesetz?

Das Gesetz definiert KI-Systeme nach dem Vorschlag der OECD: „Ein KI-System ist ein System, das mit Maschinen arbeitet, Daten aus den Eingaben ableitet und Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugt, die physische oder virtuelle Umgebungen bewegen können„.

Das Gesetz gilt nicht für KI-Systeme, die:

KI-Gesetz verbietet Gesichtserkennungssoftware
  • ausschließlich für militärische oder Verteidigungszwecke verwendet werden;
  • ausschließlich für Forschungs- und Innovationszwecke verwendet werden; oder
  • von Personen für nicht-professionelle Zwecke verwendet werden.

Das KI-Gesetz verbietet bestimmte Anwendungen, die am Arbeitsplatz Emotionen erkennen, Gesichtsbilder aus dem Internet oder aus Videoüberwachungsaufnahmen wahllos sammeln, um Gesichtserkennungsdatenbanken aufzubauen. KI-Systeme dürfen in der Öffentlichkeit biometrische Fernidentifizierung nur einsetzen, wenn die Strafverfolgung dies unbedingt erfordert. Dabei müssen sie Sicherheitsvorkehrungen einhalten. Die Systeme dürfen beispielsweise nur gegen Personen eingesetzt werden, denen man schwerste Straftaten vorwirft.

Was sind die Anforderungen des Gesetzes?

Das KI-Gesetz stellt unterschiedliche Anforderungen an die AI-Systeme, je nachdem, wie riskant sie sind. Zum Beispiel müssen KI-Systeme mit geringem Risiko nur wenig Transparenz zeigen. Sie müssen die Nutzer informieren, dass mithilfe einer künstlichen Intelligenz Inhalte erzeugt wurden, die sie benutzen wollen.

Man würde KI-Systeme mit hohem Risikopotenzial zulassen. Geplant ist aber, sie strengen Anforderungen und Verpflichtungen zu unterwerfen, beispielsweise ob sie mit den Grundrechten vereinbar sind. Die Bürger könnten Erklärungen zu Entscheidungen verlangen, die sich auf ihre Rechte auswirken und auf den Einsatz von risikoreichen KI-Systemen basieren. Man würde KI-Anwendungen verbieten, die inakzeptable Risiken aufweisen.

Einige Beispiele sind:

  • Geringes Risiko: Chatbots oder Deepfakes;
  • Hohes Risiko: Einsatz von KI in sensiblen Systemen wie z.B. Sozialhilfe, Beschäftigung, Bildung, Verkehr; und
  • Inakzeptables Risiko: Soziale Bewertung auf der Grundlage von sozialem Verhalten oder persönlichen Merkmalen, die Erkennung des Gemütszustandes am Arbeitsplatz. Inakzeptabel ist auch die biometrische Kategorisierung zur Ableitung sensibler Daten, wie zum Beispiel die sexuelle Orientierung.

Beispiele

Das Prinzip des KI-Gesetzes ist es, Anwendungen der Künstlichen Intelligenz risikobasiert zu regulieren. So bleiben harmlose Anwendungen wie Videospiele oder Spamfilter von der Regulierung weitgehend unberührt.

Anders sieht es bei Systemen aus, die in der Bildung, bei kritischen Infrastrukturen, dem Grenzschutz oder auf dem Arbeitsmarkt zum Einsatz kommen.

Was dabei schiefgehen kann, zeigt ein Fall, über den die Nachrichtenagentur Reuters 2018 berichtete. Der Onlinehändler Amazon stellte damals ein KI-System ein, das Bewerber vorsortierte. Es bevorzugte Männer. Vermutlich, weil Daten es trainierten, die zeigten, dass Männer eher eine Chance auf ein Vorstellungsgespräch hatten.

Gesichtssuchmaschinen im Internet ermöglichen es jedermann, ein Foto einer unbekannten Person hochzuladen. Sie zeigen dann Webseiten an, auf denen diese Person zu sehen ist. Oft findet man dort auch den Namen der Person. Hier schafft KI im Grunde die Möglichkeit ab, sich anonym im öffentlichen Raum zu bewegen. Das will die EU nun verhindern.

Was sind die Strafen für die Verstöße?

Ähnlich wie bei der Berechnung von Bußgeldern nach der Europäischen Datenschutz-Grundverordnung (DSGVO) werden Bußgelder für Verstöße gegen das Gesetz als Prozentsatz des weltweiten Jahresumsatzes der verantwortlichen Partei (Unternehmen) im vorangegangenen Geschäftsjahr oder als Festbetrag berechnet, je nachdem, welcher Betrag höher ist:

  • 35 Millionen Euro oder 7 % des weltweiten Umsatzes für Verstöße, die die Verwendung von verbotenen KI-Anwendungen beinhalten;
  • 15 Millionen Euro oder 3 % für Verstöße gegen die Pflichten des Gesetzes; und
  • 7,5 Millionen Euro oder 1,5 % für die Lieferung von falschen Informationen.

Für die Verhängung von Strafen gegen kleine und mittlere Unternehmen und Start-ups werden jedoch angemessene Obergrenzen gelten. Die Bürgerinnen und Bürger werden die Möglichkeit haben, Beschwerden über den Einsatz von KI-Systemen, die sie betreffen, abzugeben.

Fazit

In den kommenden Wochen werden technische Feinabstimmungen am Abkommen vorgenommen, bevor es den Vertretern der EU-Mitgliedstaaten zur Genehmigung vorgelegt wird. Danach wird der endgültige Text des KI-Gesetzes veröffentlicht.