Im Mai haben die EU-Staaten den Artificial Intelligence Act (AI Act) verabschiedet, eine umfassende Verordnung zur Regulierung des Einsatzes und der Entwicklung von Künstlicher Intelligenz (KI) innerhalb Europas. Der AI Act zielt darauf ab, potenzielle Risiken, die mit KI-Technologien verbunden sind, zu minimieren und gleichzeitig ein sicheres Umfeld für Forschung und Entwicklung zu schaffen, um die Wettbewerbsfähigkeit der EU in diesem schnell wachsenden Feld zu sichern und Innovationen zu fördern.
Konkret sieht der AI Act vor, KI-Anwendungen je nach Risikograd zu klassifizieren. Höchstrisikoanwendungen, wie solche, die in kritischen Infrastrukturen oder in sensitiven Bereichen wie Gesundheitswesen und Polizeiarbeit verwendet werden, unterliegen strengen Auflagen bezüglich Transparenz, Datenqualität und der Notwendigkeit menschlicher Aufsicht. Ziel ist es, Missbrauch zu verhindern und die Grundrechte der EU-Bürger zu schützen. Nicht alle KI-Anwendungen fallen jedoch unter diese strengen Regelungen. Niedrig- und mindestrisikoanwendungen können flexibler genutzt werden, was Raum für kreative und innovative Entwicklungen lässt.
Obwohl der AI Act darauf abzielt, Innovation zu fördern, könnte er auch als Hindernis wahrgenommen werden. Die zusätzlichen Regulierungen könnten für Start-ups und kleinere Unternehmen eine Herausforderung darstellen, da die Einhaltung der Vorschriften zusätzliche Ressourcen erfordert. Andererseits könnte eine klare rechtliche Struktur auch Investitionen anziehen, indem sie für Unternehmen und Verbraucher Sicherheit schafft. Letztlich wird die Wirkung des AI Act darauf ankommen, wie genau die Vorschriften implementiert werden und ob sie die Balance zwischen dem Schutz der Gesellschaft und der Förderung von technologischen Fortschritten halten können.
Europaweit einheitliches Regelwerk
Ziel des AI Act ist es, einen einheitlichen und verbindlichen Rechtsrahmen in Europa zu schaffen. Die Verordnung verbietet beispielsweise KI-Anwendungen mit unannehmbaren Risiken, wie das Social Scoring oder die biometrische Identifizierung von Menschen in Echtzeit. Systemen in Bereichen mit hohem Risiko, zum Beispiel an Schulen, im Personalmanagement und in der Strafverfolgung, werden strenge Sicherheitsanforderungen auferlegt, ohne Einhaltung derer sie nicht auf dem EU-Markt in Umlauf gebracht werden dürfen. Zu diesen Anforderungen zählen unter anderem das Risikomanagement, menschliche Überwachung und Qualität der Trainingsdaten.
Ein Kernpunkt der Verordnung ist außerdem Transparenz. Menschen soll stets bewusst sein, wann sie es mit KI zu tun haben. KI-generierte Bilder und Texte müssen ebenfalls künftig als solche gekennzeichnet sein. Zudem regelt die Verordnung den Umgang mit KI-Basismodellen wie ChatGPT, die die Grundlage für viele generative KI-Anwendungen bilden. Derartige Systeme sind zunächst nicht für einen bestimmten Zweck gedacht, könnten jedoch später in ein Hochrisiko-System integriert werden. Aus diesem Grund gelten für solche Modelle nun basierend auf ihrer Rechenkapazität unterschiedlich strenge Vorschriften zu Transparenz, Cybersicherheit und Energieeffizienz.
„Die KI-Verordnung ist eine Pionierin: Sie stellt den weltweit ersten Versuch dar, die Sicherheit von KI-Systemen ex ante zu gewährleisten“, so Ruth Janal, Professorin für Recht an der Universität Bayreuth und Mitglied der Arbeitsgruppe IT-Sicherheit, Privacy, Recht und Ethik der Plattform Lernende Systeme. Sie erklärt weiter, dass die Klassifizierung eines KI-Systems als solches durchaus komplex ist. Per Definition handelt es sich dabei um Systeme mit unterschiedlichen Ausprägungen von Autonomie, die nicht ausschließlich anhand von Menschen erstellter Regeln operieren. Wissens- oder regelbasierte Anwendungen sollen dennoch laut den Erwägungsgründen unter den Einfluss der Verordnung fallen. „Die Konkretisierung und Anwendung auf konkrete Grenzfälle bleiben der Rechtsprechung überlassen“, sagt Janal.
Kritik am AI Act
Die Unsicherheiten in der Definition von KI wird von einigen Stimmen kritisiert. Gleiches gilt für die Anwendung des Gesetzes, so könnten beispielsweise unterschiedliche Prüfmechanismen, ob ein KI-System dem Gesetz entspricht, den Wettbewerb verzerren. Zudem hegen einige Kritiker die Sorge, dass der AI Act aufgrund hoher Kosten für die Einhaltung der Vorschriften KI-Innovationen hemmen könnte, insbesondere in mittelständischen Unternehmen.
20 Tage nach seiner Veröffentlichung im EU-Amtsblatt tritt der AI Act in Kraft. Die Verbote greifen dann nach sechs Monaten, die gesamte Verordnung ist jedoch erst in zwei Jahren anwendbar. Die Mitgliedsländer sind aktuell dabei, harmonisierte europäische Normen zu erarbeiten, die regeln, wie die Verordnung in verschiedenen Anwendungsfeldern genau umgesetzt werden kann. Diese werden eine einheitliche Gültigkeit in allen EU-Ländern besitzen. Um die Verordnung auf nationaler Ebene umzusetzen, richtet darüber hinaus jeder Mitgliedsstaat mindestens eine autorisierte Prüfstelle sowie eine Marktüberwachungsbehörde ein.