Warum braucht die EU einen AI Act?
Mit dem KI-Gesetz werden mehrere Ziele verfolgt:
- Sicherstellen, dass alle KI-Systeme auf dem EU-Markt sicher sind und das geltende EU-Recht einhalten
- KI-Investitionen und -Innovationen durch klare rechtliche Richtlinien zu erleichtern
- Verbesserung der Anwendung der EU-Rechtsvorschriften zu Rechten und Sicherheit auf KI und deren ordnungsgemäße Durchsetzung.
- Dazu beitragen, einen einheitlichen Markt für sichere und vertrauenswürdige KI zu schaffen und zu verhindern, dass er von vielen Länderregelungen fragmentiert wird.
Wer wird davon betroffen sein?
Das KI-Gesetz deckt eine Vielzahl von Verantwortlichkeiten während des gesamten KI-Prozesses ab. Der Schwerpunkt liegt auf den Auswirkungen von KI auf die Gesundheit und die Grundrechte des Menschen. Es gilt für alle, die KI-Systeme in der EU anbieten oder nutzen, unabhängig davon, ob sich diese innerhalb oder außerhalb der EU befinden. Sie gilt auch für diejenigen, die KI auf den EU-Markt bringen, unabhängig davon, wo sie ihren Sitz haben.
Fahrplan?
Es wird erwartet, dass das KI-Gesetz im 2. oder 3. Quartal 2024 vom Europäischen Parlament und vom Rat verabschiedet und veröffentlicht wird. Da es sich um eine EU-Verordnung handelt, gilt sie direkt in den Mitgliedsstaaten, ohne dass dort nochmals lokale Gesetze erforderlich sind.
Zeitplan:
- Q2-Q3 2024: Voraussichtliches Inkrafttreten.
- Unmittelbar nach Inkrafttreten: Die Europäische Kommission richtet das KI-Büro ein, die Mitgliedstaaten richten KI-Reallabore ein.
- Sechs Monate nach Inkrafttreten (Q4 2024-Q1 2025): Die Verbote treten in Kraft.
- 12 Monate nach Inkrafttreten (Q2-Q3 2025, noch zu bestätigen): Mögliche Umsetzung der Anforderungen an GPAI-Modelle.
- 24 Monate nach Inkrafttreten (Q2-Q3 2026): Vollständige Umsetzung aller weiteren Anforderungen des VAG.
Alle KI-Tools benötigen eine Klassifizierung
Da die Veröffentlichung des Gesetzes noch aussteht, ist die genaue Einordnung von KI-Anwendungen noch unklar.
| Klassifikation | Beschreibung | Konformitätsgrad | Beispiel |
|---|---|---|---|
|
Verbotene KI-Systeme |
Verboten, da die Gefahr besteht, dass die Sicherheit und die Rechte von Personen grundlegend beeinträchtigt werden. |
Verbot |
Anwendungen der KI wie das Social Scoring, das eine ungerechte Behandlung zur Folge haben kann, die Erkennung von Gefühlsregungen am Arbeitsplatz, die Ableitung sensitiver Daten aus der Biometrie und die Prognose des individuellen Verhaltens. Bestimmte Ausnahmen sind zulässig, insbesondere im Bereich der Polizei und der Gefahrenabwehr. |
|
Hochriskante KI-Systeme |
Erlaubt, wenn es den Regeln des KI-Gesetzes entspricht und vorab genehmigt wurde. |
Wichtig |
Dazu gehören KI bei Recruiting, biometrische Überwachung, Sicherheitsfunktionen, z. B. in medizinischen Geräten und Automobilen, Zugang zu wichtigen öffentlichen und privaten Dienstleistungen (z. B. Kreditprüfung, Sozialleistungen und Versicherungen) und Schutz kritischer Infrastrukturen in den Bereichen Energie und Verkehr. |
|
KI-Systeme mit minimalem Risiko |
Zulässig, vorbehaltlich der Transparenz, wenn die Verwendungen nur ein begrenztes Risiko darstellen. |
Begrenzt |
KI-Systeme, die direkt mit Menschen interagieren (z. B. Chatbots) oder manipulierter Content, der von KI erstellt wurden ("Deepfakes"). |
|
|
Zulässig, ohne Auflagen, wenn die Verwendung ein minimales Risiko darstellt. |
Minimal |
Alle übrigen KI-Systeme, die zuvor nicht erwähnt wurden (z. B. Fotobearbeitungstools, Produktempfehlungen, Spamfilter und Planungssoftware), sind standardmäßig enthalten. |
Cat. 1 - verbotene KI-Systeme
Der AI Act verbietet KI-Systeme, die ein unannehmbares Risiko darstellen und die Grundrechte einer Person verletzen oder ihr Schaden zufügen können. Dazu gehören:
- KI-Systeme, die Menschen manipulieren, indem sie ihre Schwächen ausnutzen oder versteckte Methoden anwenden, um sie gegen ihren Willen zu beeinflussen insbesondere schutzbedürftige Gruppen wie Kinder, ältere Menschen oder Menschen mit Behinderungen.
- Systeme, die Menschen aufgrund ihres Verhaltens oder ihrer persönlichen Eigenschaften sozial bewerten oder kategorisieren, was zu einer ungerechten Behandlung führt.
- KI, die Emotionen am Arbeitsplatz oder in der Schule liest (außer aus Sicherheitsgründen).
- Verwendung biometrischer Daten zur Ableitung sensibler Details wie Rasse, Geschlecht oder Religion.
- Sammlung von Trainingsbildern aus dem Internet oder von Überwachungskameras, ohne auf bestimmte Personen abzuzielen.
- Predictive Policing, d. h. die Vorhersage der Wahrscheinlichkeit, dass jemand ein Verbrechen begehen wird.
- Strafverfolgungsbehörden, die biometrische Identifikation in Echtzeit im öffentlichen Raum einsetzen, mit einigen Ausnahmen.
Cat. 2 - KI-Systeme mit hohem Risiko
- Betrieb kritischer Infrastrukturen (z. B. Sicherheitssysteme in den Bereichen Verkehr, Wasser, Gas, Heizung und Strom).
- Verwaltung von Migration, Asyl und Grenzen (z. B. Überwachung von Migrationstrends oder Überprüfung von Reisedokumenten).
- Strafverfolgungsinstrumente, wie z. B. Betrugserkennung.
- Einsatz von KI in rechtlichen und demokratischen Prozessen (z. B. bei der Auslegung von Gesetzen oder der Durchführung von Rechtsrecherchen).
- Identifizierung und Kategorisierung von Personen mithilfe biometrischer Daten.
- Umgang mit bildungs- und berufsbezogenen Systemen (z. B. Zulassung zu Schulen oder Bewertung der Arbeitsleistung).
- Verwaltung von Beschäftigung und Selbstständigkeit (z. B. Einstellung und Verfolgung der Leistung von Arbeitnehmern).
- Kontrolle des Zugangs zu wichtigen öffentlichen und privaten Dienstleistungen (z. B. Entscheidung, wer Leistungen oder Versicherungen erhält).
Ausnahmen von der Einstufung als risikoreich für ein KI-System:
- Identifiziert Entscheidungsmuster, ohne sich direkt auf Entscheidungen auszuwirken, und weist stattdessen auf Inkonsistenzen und Fehler hin.
- Funktionen, die die Qualität der menschlichen Arbeit verbessern.
- Spezielle KI-Tools, die eine kleine Aufgabe ohne direkte Sicherheitsbedenken ausführen.
Was müssen Anbieter von Hochrisiko-KI-Systemen tun?
- Registrierung von Hochrisiko-KI-Systemen in einer EU-Datenbank.
- Direkte menschliche Aufsicht.
- Einrichtung geeigneter Qualitätsmanagementsysteme.
- Einhaltung der Standards für Genauigkeit und Cyber-Sicherheit
- Transparenz über die Datensätze und Funktionsweise
- Wirksame Datenverwaltung.
- Pflege der technischen Dokumentation.
Wie Sie sehen, erfüllen die alle unserer Dienste diese Kriterien bereits, auch wenn sie möglicherweise gar nicht als Hochrisikosysteme eingestuft werden. Wir bieten eine umfangreiche Protokollierung, unsere Benutzer können ihre vollständigen Datensätze jederzeit exportieren und Einblick geben in das, was Teil des Modells ist und was nicht. Und wir haben ein Human-in-the-Loop-System für Redakteure oder KI-Manager, die die Gatekeeper darüber sind, welche Daten wie lange Teil eines Datensatzes werden. Beim Einsatz als On-Premise-System erfüllen wir selbst höchste Anforderungen an die Datensicherheit. Wir haben außerdem einen Rückweg eingebaut: Wenn falsche Treffer erzielt werden, kann der Benutzer zurückverfolgen, welche Trainingsdaten den Fehler verursacht haben und sie gegebenenfalls anpassen. Ein Grund, warum uns viele öffentlich-rechtliche Rundfunkanstalten in der EU vertrauen.
Cat. 3 - KI-Systeme mit minimalem Risiko
Die Nutzer müssen wissen, dass es sich um KI handelt (z. B. Chatbots). Personen, die Emotionserkennung oder biometrische Systeme verwenden, müssen darüber informiert werden und ihre Zustimmung geben. Außerdem müssen alle visuellen oder akustischen Inhalte, die durch KI verändert werden, offengelegt und gekennzeichnet werden.
Die meisten unserer Anwendungsfälle werden in diese Kategorie fallen, und da unsere Plattform sogar noch strengere Kriterien erfüllt, müssen Sie keine Änderungen an Ihren bestehenden Workflows vornehmen, zumal wir nur Metadaten generieren und die Medien selbst nicht verändern.
Wird der AI Act noch KI-Innovationen erlauben?
Die KI-Gesetzgebung sieht die Einrichtung spezieller Orte, sogenannter Reallabore ‘Sandboxes’, in der EU vor. Dabei handelt es sich um sichere Bereiche, in denen Unternehmen, insbesondere kleine und mittlere Unternehmen, ihre KI-Systeme unter Aufsicht testen können, bevor sie sie verkaufen. Jedes EU-Land wird ein solches Labor haben oder ihm beitreten, und es werden die gleichen Regeln gelten. Unternehmen, die diese Sandboxen nutzen, werden einen Bericht erhalten, aus dem hervorgeht, dass sie den AI-Act eingehalten haben, was ihnen dabei helfen wird, schneller eine Genehmigung für den Verkauf ihrer KI-Systeme zu erhalten.
Unternehmen, die risikoreiche KI entwickeln, können diese Systeme auch außerhalb der Reallabore testen, bevor sie sie verkaufen. Dazu müssen sie zunächst die Genehmigung der Marktbehörden einholen, die EU-Datenschutzvorschriften einhalten, die Nutzer informieren und ihre Zustimmung einholen und sicherstellen, dass die Entscheidungen der KI bei Bedarf geändert werden können. Der Test darf nicht zu lange dauern, in der Regel nicht länger als sechs Monate, mit der Möglichkeit, ihn um weitere sechs Monate zu verlängern.
Aber es ist auch wichtig, sicherzustellen, dass der bürokratische Aufwand für KMU nicht zu hoch ist, und dies ist Teil der Arbeit der Regulierungsbehörden, die nun die detaillierten Rechtsvorschriften ausarbeiten müssen.
Wie werden die Kontrollorgane aussehen?
Die Behörden in jedem EU-Land werden befugt sein, KI zu beaufsichtigen. Auf EU-Ebene wird es ein unabhängiges KI-Büro bei der EU-Kommission geben, das KI-Modelle überwacht, Standards festlegt und sich mit den nationalen Behörden abstimmt. Flankiert wird dies durch ein KI-Gremium aus Vertretern der Mitgliedstaaten, dass das KI-Büro leitet, KI-Recht durchsetzt und Verhaltenskodizes für KI-Modelle entwickelt. Darüber hinaus werden ein wissenschaftliches Expertengremium und ein Beirat mit Vertretern aus Industrie und Zivilgesellschaft das KI-Büro bei der Entwicklung von Bewertungsmethoden für KI-Modelle und der Überwachung von Sicherheitsrisiken unterstützen.
Was sind die nächsten Schritte?
Die EU wird in den kommenden Wochen die technischen Details des KI-Gesetzes abschließen. Sobald eine Einigung erzielt wurde, wird es dem Europäischen Parlament und dem Rat im ersten Halbjahr 2024 zur Annahme vorgelegt. Nach der Übersetzung wird es veröffentlicht und tritt 20 Tage später in Kraft. Nach der Veröffentlichung werden KI-Dienste in der Lage sein, die Konformität ihrer Dienste zu überprüfen.
Auf internationaler Ebene wird die EU mit verschiedenen Organisationen wie dem Europarat, der G7, der OECD und anderen zusammenarbeiten, um globale Regeln zu fördern, die mit dem KI-Gesetz vereinbar sind.
