KI in der EU: Ein Fahrplan für die Integration und Einhaltung der neuen Rechts­vor­schriften

Warum braucht die EU einen AI Act?

Mit dem KI-Gesetz werden mehrere Ziele verfolgt:

  • Sicher­stellen, dass alle KI-Systeme auf dem EU-Markt sicher sind und das geltende EU-Recht einhalten
  • KI-Investitionen und ‑Innova­tionen durch klare recht­liche Richt­linien zu erleichtern
  • Verbes­serung der Anwendung der EU-Rechtsvorschriften zu Rechten und Sicherheit auf KI und deren ordnungs­gemäße Durch­setzung.
  • Dazu beitragen, einen einheit­lichen Markt für sichere und vertrau­ens­würdige KI zu schaffen und zu verhindern, dass er von vielen Länder­re­ge­lungen fragmen­tiert wird.

Wer wird davon betroffen sein?

Das KI-Gesetz deckt eine Vielzahl von Verant­wort­lich­keiten während des gesamten KI-Prozesses ab. Der Schwer­punkt liegt auf den Auswir­kungen von KI auf die Gesundheit und die Grund­rechte des Menschen. Es gilt für alle, die KI-Systeme in der EU anbieten oder nutzen, unabhängig davon, ob sich diese innerhalb oder außerhalb der EU befinden. Sie gilt auch für dieje­nigen, die KI auf den EU-Markt bringen, unabhängig davon, wo sie ihren Sitz haben.

Fahrplan?

Es wird erwartet, dass das KI-Gesetz im 2. oder 3. Quartal 2024 vom Europäischen Parlament und vom Rat verab­schiedet und veröf­fent­licht wird. Da es sich um eine EU-Verordnung handelt, gilt sie direkt in den Mitglieds­staaten, ohne dass dort nochmals lokale Gesetze erfor­derlich sind.

Zeitplan:

  • Q2-Q3 2024: Voraus­sicht­liches Inkraft­treten.
  • Unmit­telbar nach Inkraft­treten: Die Europäische Kommission richtet das KI-Büro ein, die Mitglied­staaten richten KI-Reallabore ein.
  • Sechs Monate nach Inkraft­treten (Q4 2024-Q1 2025): Die Verbote treten in Kraft.
  • 12 Monate nach Inkraft­treten (Q2-Q3 2025, noch zu bestä­tigen): Mögliche Umsetzung der Anfor­de­rungen an GPAI-Modelle.
  • 24 Monate nach Inkraft­treten (Q2-Q3 2026): Vollständige Umsetzung aller weiteren Anfor­de­rungen des VAG.

Alle KI-Tools benötigen eine Klassi­fi­zierung

Da die Veröf­fent­li­chung des Gesetzes noch aussteht, ist die genaue Einordnung von KI-Anwendungen noch unklar.

Klassi­fi­kation Beschreibung Konfor­mi­tätsgrad Beispiel
Verbotene KI-Systeme
Verboten, da die Gefahr besteht, dass die Sicherheit und die Rechte von Personen grund­legend beein­trächtigt werden.
Verbot
Anwen­dungen der KI wie das Social Scoring, das eine ungerechte Behandlung zur Folge haben kann, die Erkennung von Gefühls­re­gungen am Arbeits­platz, die Ableitung sensi­tiver Daten aus der Biometrie und die Prognose des indivi­du­ellen Verhaltens. Bestimmte Ausnahmen sind zulässig, insbe­sondere im Bereich der Polizei und der Gefah­ren­abwehr.
Hochris­kante KI-Systeme
Erlaubt, wenn es den Regeln des KI-Gesetzes entspricht und vorab genehmigt wurde.
Wichtig
Dazu gehören KI bei Recruiting, biome­trische Überwa­chung, Sicher­heits­funk­tionen, z. B. in medizi­ni­schen Geräten und Automo­bilen, Zugang zu wichtigen öffent­lichen und privaten Dienst­leis­tungen (z. B. Kredit­prüfung, Sozial­leis­tungen und Versi­che­rungen) und Schutz kriti­scher Infra­struk­turen in den Bereichen Energie und Verkehr.
KI-Systeme mit minimalem Risiko
Zulässig, vorbe­haltlich der Trans­parenz, wenn die Verwen­dungen nur ein begrenztes Risiko darstellen.
Begrenzt
KI-Systeme, die direkt mit Menschen inter­agieren (z. B. Chatbots) oder manipu­lierter Content, der von KI erstellt wurden („Deepfakes“).
Zulässig, ohne Auflagen, wenn die Verwendung ein minimales Risiko darstellt.
Minimal
Alle übrigen KI-Systeme, die zuvor nicht erwähnt wurden (z. B. Fotobe­ar­bei­tungs­tools, Produkt­emp­feh­lungen, Spamfilter und Planungs­software), sind standard­mäßig enthalten.

Cat. 1 – verbotene KI-Systeme

Der AI Act verbietet KI-Systeme, die ein unannehm­bares Risiko darstellen und die Grund­rechte einer Person verletzen oder ihr Schaden zufügen können. Dazu gehören:

  • KI-Systeme, die Menschen manipu­lieren, indem sie ihre Schwächen ausnutzen oder versteckte Methoden anwenden, um sie gegen ihren Willen zu beein­flussen insbe­sondere schutz­be­dürftige Gruppen wie Kinder, ältere Menschen oder Menschen mit Behin­de­rungen.
  • Systeme, die Menschen aufgrund ihres Verhaltens oder ihrer persön­lichen Eigen­schaften sozial bewerten oder katego­ri­sieren, was zu einer ungerechten Behandlung führt.
  • KI, die Emotionen am Arbeits­platz oder in der Schule liest (außer aus Sicher­heits­gründen).
  • Verwendung biome­tri­scher Daten zur Ableitung sensibler Details wie Rasse, Geschlecht oder Religion.
  • Sammlung von Trainings­bildern aus dem Internet oder von Überwa­chungs­ka­meras, ohne auf bestimmte Personen abzuzielen.
  • Predictive Policing, d. h. die Vorhersage der Wahrschein­lichkeit, dass jemand ein Verbrechen begehen wird.
  • Straf­ver­fol­gungs­be­hörden, die biome­trische Identi­fi­kation in Echtzeit im öffent­lichen Raum einsetzen, mit einigen Ausnahmen.

Cat. 2 – KI-Systeme mit hohem Risiko

KI-Systeme, die als Sicher­heits­kom­po­nente eines Produkts verwendet werden, das unter die EU-Harmonisierung fällt. Die exakte Liste ist noch nicht veröf­fent­licht, aber einige Beispiele: Kraft­fahr­zeuge, Zivil­luft­fahrt, Eisen­bahnen, Schiffe, medizi­nische Dienste, Spielzeug sowie KI-Systeme, die in Situa­tionen einge­setzt werden, in denen ein hohes Risiko einer Schädigung von Gesundheit, Sicherheit oder Rechten besteht. Diese Liste umfasst:

  • Betrieb kriti­scher Infra­struk­turen (z. B. Sicher­heits­systeme in den Bereichen Verkehr, Wasser, Gas, Heizung und Strom).
  • Verwaltung von Migration, Asyl und Grenzen (z. B. Überwa­chung von Migra­ti­ons­trends oder Überprüfung von Reise­do­ku­menten).
  • Straf­ver­fol­gungs­in­stru­mente, wie z. B. Betrugs­er­kennung.
  • Einsatz von KI in recht­lichen und demokra­ti­schen Prozessen (z. B. bei der Auslegung von Gesetzen oder der Durch­führung von Rechts­re­cherchen).
  • Identi­fi­zierung und Katego­ri­sierung von Personen mithilfe biome­tri­scher Daten.
  • Umgang mit bildungs- und berufs­be­zo­genen Systemen (z. B. Zulassung zu Schulen oder Bewertung der Arbeits­leistung).
  • Verwaltung von Beschäf­tigung und Selbst­stän­digkeit (z. B. Einstellung und Verfolgung der Leistung von Arbeit­nehmern).
  • Kontrolle des Zugangs zu wichtigen öffent­lichen und privaten Dienst­leis­tungen (z. B. Entscheidung, wer Leistungen oder Versi­che­rungen erhält).

Ausnahmen von der Einstufung als risiko­reich für ein KI-System:
  • Identi­fi­ziert Entschei­dungs­muster, ohne sich direkt auf Entschei­dungen auszu­wirken, und weist statt­dessen auf Inkon­sis­tenzen und Fehler hin.
  • Funktionen, die die Qualität der mensch­lichen Arbeit verbessern.
  • Spezielle KI-Tools, die eine kleine Aufgabe ohne direkte Sicher­heits­be­denken ausführen.

Was müssen Anbieter von Hochrisiko-KI-Systemen tun?
  • Regis­trierung von Hochrisiko-KI-Systemen in einer EU-Datenbank.
  • Direkte mensch­liche Aufsicht.
  • Einrichtung geeig­neter Quali­täts­ma­nage­ment­systeme.
  • Einhaltung der Standards für Genau­igkeit und Cyber-Sicherheit
  • Trans­parenz über die Daten­sätze und Funkti­ons­weise
  • Wirksame Daten­ver­waltung.
  • Pflege der techni­schen Dokumen­tation.

Wie Sie sehen, erfüllen die alle unserer Dienste diese Kriterien bereits, auch wenn sie mögli­cher­weise gar nicht als Hochri­si­ko­systeme einge­stuft werden. Wir bieten eine umfang­reiche Proto­kol­lierung, unsere Benutzer können ihre vollstän­digen Daten­sätze jederzeit expor­tieren und Einblick geben in das, was Teil des Modells ist und was nicht. Und wir haben ein Human-in-the-Loop-System für Redak­teure oder KI-Manager, die die Gatekeeper darüber sind, welche Daten wie lange Teil eines Daten­satzes werden. Beim Einsatz als On-Premise-System erfüllen wir selbst höchste Anfor­de­rungen an die Daten­si­cherheit. Wir haben außerdem einen Rückweg eingebaut: Wenn falsche Treffer erzielt werden, kann der Benutzer zurück­ver­folgen, welche Trainings­daten den Fehler verur­sacht haben und sie gegebe­nen­falls anpassen. Ein Grund, warum uns viele öffentlich-rechtliche Rundfunk­an­stalten in der EU vertrauen.

Cat. 3 – KI-Systeme mit minimalem Risiko

Die Nutzer müssen wissen, dass es sich um KI handelt (z. B. Chatbots). Personen, die Emoti­ons­er­kennung oder biome­trische Systeme verwenden, müssen darüber infor­miert werden und ihre Zustimmung geben. Außerdem müssen alle visuellen oder akusti­schen Inhalte, die durch KI verändert werden, offen­gelegt und gekenn­zeichnet werden.

Die meisten unserer Anwen­dungs­fälle werden in diese Kategorie fallen, und da unsere Plattform sogar noch strengere Kriterien erfüllt, müssen Sie keine Änderungen an Ihren bestehenden Workflows vornehmen, zumal wir nur Metadaten generieren und die Medien selbst nicht verändern.

Wird der AI Act noch KI-Innovationen erlauben?

Die KI-Gesetzgebung sieht die Einrichtung spezi­eller Orte, sogenannter Reallabore ‘Sandboxes’, in der EU vor. Dabei handelt es sich um sichere Bereiche, in denen Unter­nehmen, insbe­sondere kleine und mittlere Unter­nehmen, ihre KI-Systeme unter Aufsicht testen können, bevor sie sie verkaufen. Jedes EU-Land wird ein solches Labor haben oder ihm beitreten, und es werden die gleichen Regeln gelten. Unter­nehmen, die diese Sandboxen nutzen, werden einen Bericht erhalten, aus dem hervorgeht, dass sie den AI-Act einge­halten haben, was ihnen dabei helfen wird, schneller eine Geneh­migung für den Verkauf ihrer KI-Systeme zu erhalten.

Unter­nehmen, die risiko­reiche KI entwi­ckeln, können diese Systeme auch außerhalb der Reallabore testen, bevor sie sie verkaufen. Dazu müssen sie zunächst die Geneh­migung der Markt­be­hörden einholen, die EU-Datenschutzvorschriften einhalten, die Nutzer infor­mieren und ihre Zustimmung einholen und sicher­stellen, dass die Entschei­dungen der KI bei Bedarf geändert werden können. Der Test darf nicht zu lange dauern, in der Regel nicht länger als sechs Monate, mit der Möglichkeit, ihn um weitere sechs Monate zu verlängern.

Aber es ist auch wichtig, sicher­zu­stellen, dass der bürokra­tische Aufwand für KMU nicht zu hoch ist, und dies ist Teil der Arbeit der Regulie­rungs­be­hörden, die nun die detail­lierten Rechts­vor­schriften ausar­beiten müssen.

Wie werden die Kontroll­organe aussehen?

Die Behörden in jedem EU-Land werden befugt sein, KI zu beauf­sich­tigen. Auf EU-Ebene wird es ein unabhän­giges KI-Büro bei der EU-Kommission geben, das KI-Modelle überwacht, Standards festlegt und sich mit den natio­nalen Behörden abstimmt. Flankiert wird dies durch ein KI-Gremium aus Vertretern der Mitglied­staaten, dass das KI-Büro leitet, KI-Recht durch­setzt und Verhal­tens­ko­dizes für KI-Modelle entwi­ckelt. Darüber hinaus werden ein wissen­schaft­liches Exper­ten­gremium und ein Beirat mit Vertretern aus Industrie und Zivil­ge­sell­schaft das KI-Büro bei der Entwicklung von Bewer­tungs­me­thoden für KI-Modelle und der Überwa­chung von Sicher­heits­ri­siken unter­stützen.

Was sind die nächsten Schritte?

Die EU wird in den kommenden Wochen die techni­schen Details des KI-Gesetzes abschließen. Sobald eine Einigung erzielt wurde, wird es dem Europäischen Parlament und dem Rat im ersten Halbjahr 2024 zur Annahme vorgelegt. Nach der Übersetzung wird es veröf­fent­licht und tritt 20 Tage später in Kraft. Nach der Veröf­fent­li­chung werden KI-Dienste in der Lage sein, die Konfor­mität ihrer Dienste zu überprüfen.

Auf inter­na­tio­naler Ebene wird die EU mit verschie­denen Organi­sa­tionen wie dem Europarat, der G7, der OECD und anderen zusam­men­ar­beiten, um globale Regeln zu fördern, die mit dem KI-Gesetz vereinbar sind.

Teilen

Email
LinkedIn
Facebook
Twitter
Suche

Inhaltsübersicht

Verwandte Nachrichten

Mehr laden
Newsletter
Newsletter
  • DEAL ENDET IN:
Tage :
Stunden :
Minuten :
Sekunden

Neueste KI-Nachrichten

Abonnieren Sie unseren Newsletter

Keine Sorge, unser Newsletter ist für wichtige Neuigkeiten reserviert, so dass wir nur hin und wieder ein paar Updates versenden. Kein Spam!