EU AI Act: Der rechtliche Rahmen für KI

EU AI Act: Die wichtigsten Regeln und was sie für die Unternehmen bedeuten

26. Juli 2023 ·

Artikel teilen:

Die Europäische Kommission hat einen Vorschlag für ein Gesetz namens EU AI Act gemacht. Ziel ist es, die Entwicklung und Nutzung von Künstlicher Intelligenz (KI) zu regulieren. Kernstück ist eine Risikoklassifizierung, einschließlich eines Verbots bestimmter Arten von KI.

EU AI Act: Was ist das?

Die Entwicklung von Artificial Intelligence (AI), also Künstliche Intelligenz, hat Ende 2022 mit ChatGPT(Chatbot Generative Pre-trained Transformer) einen öffentlichkeitswirksamen Schritt bewältigt. Seit März 2023 gibt es die Version 4. Das erste Modell der Reihe wurde im Juni 2018 veröffentlicht. Bereits im März desselben Jahres hatte die Kommission der Europäischen Union (EU) eine Expertengruppe eingerichtet, die unter anderem einen Vorschlag für Leitlinien zur KI-Ethik erarbeiten sollte.

Mittlerweile ist aus diesem Ansatz der Vorschlag für ein europäisches Gesetz zur Künstlichen Intelligenz geworden. Name: EU AI Act. Im Juni 2023 hat das Europäische Parlament seine Verhandlungsposition dazu verabschiedet. Derweil laufen die Gespräche mit den EU-Ländern im Rat über die endgültige Ausgestaltung des Gesetzes.

Die weltweit erste Initiative dieser Art verfolgt zwei Hauptziele. Zum einen soll sie die Entwicklung von KI fördern und das globale Wettbewerbspotenzial der EU in diesem Bereich stärken. Zum anderen soll sie sicherstellen, dass die Technologie sowohl menschzentriert als auch vertrauenswürdig ist. Dazu muss in der EU entwickelte und genutzte Künstliche Intelligenz den Rechten und Werten des Staatenbundes entsprechen. Der EU AI Act soll dafür den gesetzlichen Rahmen schaffen.

Wichtig: Bei dem vorgeschlagenen Gesetz handelt es sich um eine Verordnung. Das bedeutet, dass es in den EU-Mitgliedstaaten direkt anwendbar ist und nicht in nationales Recht umgesetzt werden muss. Mit ihrem Inkrafttreten wird die Verordnung dann Teil des nationalen Rechts und kann vor den jeweiligen Ländern durchgesetzt werden.

Überblick: Die wichtigsten Punkte des Gesetzes

Kern ist eine Klassifizierung von KI-Systemen nach ihren Risiken, vor allem für Gesundheit, Sicherheit und die Grundrechte einer Person. Demnach sieht der EU AI Act vier Abstufungen vor:

inakzeptabel
hoch
begrenzt
minimal

KI-Systeme mit inakzeptablem Risiko sind verboten, wenn sie eine Bedrohung für Menschen darstellen und deren Verhalten manipulieren. Das gilt beispielsweise für sprachaktiviertes Spielzeug, welches gefährliches Verhalten bei Kindern fördert. Auch Social Scoring ist inakzeptabel, ebenso wie biometrische Identifikationssysteme in Echtzeit und aus der Ferne (Gesichtserkennung). In diese Klassifizierung fallen grundsätzlich alle Programme, die das Recht auf Würde, auf Nichtdiskriminierung sowie auf Gleichheit und Gerechtigkeit verletzen.

KI-Systeme mit hohem Risiko wirken sich nachteilig auf Sicherheit oder Grundrechte aus. Betreffen könnte das zum einen Software für Luftfahrt, Autos, medizinische Geräte und Aufzüge, sofern diese unter das EU-Produktsicherheitsgesetz fallen. Zum anderen gilt dies für Systeme aus acht spezifischen Bereichen, die in einer EU-Datenbank registriert werden müssen:

Biometrische Identifizierung und Kategorisierung natürlicher Personen
Management und Betrieb kritischer Infrastruktur
Bildung und Berufsausbildung
Beschäftigung, Arbeitnehmermanagement und Zugang zur Selbstständigkeit
Zugang zu und Nutzung wesentlicher privater Dienste und öffentlicher Dienste und Vorteile
Strafverfolgung
Migrations-, Asyl- und Grenzkontrollmanagement
Unterstützung bei der rechtlichen Auslegung und Anwendung des Gesetzes

Alle KI-Systeme mit hohem Risiko werden vor der Markteinführung und auch während ihres gesamten Lebenszyklus bewertet.

KI-Systeme mit begrenztem Risiko müssen so transparent konzipiert sein, dass damit konfrontierte Personen AI dahinter erkennen können. Beispielsweise sollen Systeme wie ChatGPT offenlegen, dass ihre Inhalte KI-generiert wurden und zugleich Schutzmaßnahmen gegen die Generierung illegaler Inhalte bieten.

Minimale oder risikoarme KI-Systeme müssen den bestehenden Rechtsvorschriften entsprechen. Beispiele hierfür sind Spamfilter und Videospiele.

Die Beteiligung an verbotenen KI-Praktiken kann zu einer Geldstrafe von bis zu 40 Millionen Euro oder einem Betrag in Höhe von bis zu sieben Prozent des weltweiten Jahresumsatzes eines Unternehmens führen, je nachdem, welcher Betrag höher ist.

Das geht viel weiter als Europas bislang wichtigstes Datenschutzgesetz, die Datenschutz-Grundverordnung (DSGVO). Die sieht Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Umsatzes eines Unternehmens vor. Bei mehreren Verstößen kann sich das allerdings summieren. Besonders oft traf das die Facebook-Mutter Meta. Sie musste wegen diverser DSGVO-Regelverletzungen bis Mai 2023 insgesamt 2,5 Milliarden Euro zahlen.

Wen betrifft der EU AI Act?

Das Gesetz gilt weitgehend für Anbieter und Betreiber von KI-Systemen. Zudem sieht der aktuelle Entwurf des Parlaments vor, dass Importeure und Händler von KI-Systemen sowie Bevollmächtigte von Anbietern von KI-Systemen mit Sitz in der EU erfasst werden.

Bei den Anbietern handelt es sich um Akteure, die KI-Systeme entwickeln, um sie in der EU auf den Markt zu bringen oder in Betrieb zu nehmen (z. B. OpenAI). Dies gilt unabhängig davon, ob sie innerhalb der EU ansässig sind. Darüber hinaus zielt der Gesetzentwurf darauf ab, dass Anbieter, die KI-Systeme außerhalb der EU in Betrieb nehmen, erfasst werden können, wenn der Entwickler oder Vertreiber des KI-Systems seinen Sitz in der EU hat.

Die Betreiber von KI-Systemen hingegen sind natürliche oder juristische Personen, die KI im Rahmen ihrer beruflichen Tätigkeit nutzen. Sie können APIs (Application Programming Interfaces beziehungsweise Programmierschnittstellen) verwenden, um KI-Produkte in ihre eigenen Produkte einzubetten oder KI-Systeme einfach als interne Tools verwenden. Anbieter und Betreiber von KI-Systemen, die ihren Sitz außerhalb der EU haben, können ebenfalls abgedeckt sein, wenn die erzeugten Ergebnisse in der EU verwendet werden sollen.

Personen, die KI-Systeme im Rahmen privater, nicht beruflicher Aktivitäten nutzen, sind nach dem Gesetz nicht betroffen.

Das gilt ebenfalls für bestimmte Kategorien von KI-Systemen, darunter beispielsweise zu Forschungs-, Test- und Entwicklungszwecken oder für Software, die ausschließlich für militärische Zwecke entwickelt oder verwendet wird.

Was bedeutet das Gesetz für Unternehmen?

Jeder, der KI in der EU oder für ein EU-Publikum entwickelt, einsetzt oder professionell nutzt, wird bis zu einem gewissen Grad von dem Gesetz betroffen sein. Aufgrund der Art und Weise, wie das Gesetz KI-Systeme mit hohem Risiko definiert, dürften aber die meisten kommerziellen Anwendungen nicht in diese Kategorie fallen. Beispielsweise muss die Entwicklung von KI-Systemen zum Zweck der Musikbearbeitung oder für Videospiele von Systemen unterschieden werden, die Menschen über soziale Medien oder Wähler in politischen Kampagnen beeinflussen sollen.

Die zunehmende Beliebtheit generativer KI-Systeme bedeutet jedoch, dass möglicherweise mehr Entwickler in den Anwendungsbereich des Gesetzes fallen. Wenn die aktuellen Änderungen verabschiedet werden, müssen diese Entwickler (aber nicht die Betreiber) wahrscheinlich bestimmte Anforderungen einhalten, obwohl sie nicht in die Hochrisikokategorie fallen.