Die Europäische Union hat mit dem AI Act eine weltweit einzigartige Verordnung für Künstliche Intelligenz (KI) geschaffen. Dieser Rechtsrahmen soll sicherstellen, dass KI-Systeme sicher, transparent und vertrauenswürdig sind, während gleichzeitig Innovationen gefördert werden. Ab August 2024 treten die ersten Bestimmungen in Kraft und werden schrittweise bis 2026 vollständig anwendbar sein.
Wichtige Erkenntnisse
- Der AI Act ist der erste umfassende Rechtsrahmen für KI weltweit.
- KI-Systeme werden in drei Risikokategorien eingeteilt: unannehmbar, hoch und gering.
- Systeme mit unannehmbarem Risiko sind in der EU verboten, wie etwa Social Scoring.
- Anbieter von Hochrisiko-KI müssen strenge Auflagen erfüllen, darunter Qualitäts- und Risikomanagementsysteme.
- Transparenzpflichten gelten für alle KI-Systeme, insbesondere bei Interaktion mit Menschen oder der Erstellung von Deepfakes.
Einleitung: Warum der AI Act notwendig ist
Künstliche Intelligenz prägt unseren Alltag immer stärker. Von intelligenten Assistenten bis zu autonomen Fahrzeugen – die Technologie bietet enorme Chancen. Doch mit diesen Möglichkeiten gehen auch Risiken einher, die von der EU frühzeitig reguliert werden sollen. Der AI Act zielt darauf ab, ein Gleichgewicht zwischen technologischem Fortschritt und dem Schutz der Grundrechte und der Sicherheit der Bürger zu finden.
Die Verordnung betrifft alle Anbieter, die KI-Systeme in der EU entwickeln, auf den Markt bringen oder in Betrieb nehmen. Dies gilt unabhängig davon, wo das Unternehmen seinen Sitz hat. Auch gewerbliche Nutzer fallen unter die Regelungen. Privatpersonen profitieren direkt von den Schutzvorschriften, ohne selbst Pflichten erfüllen zu müssen.
Fakt: Weltweit erster Rechtsrahmen
Der AI Act ist die erste umfassende KI-Verordnung weltweit. Er setzt Standards, die über die EU hinaus Auswirkungen haben könnten, ähnlich wie die Datenschutz-Grundverordnung (DSGVO).
Risikobasierter Ansatz: Kategorien von KI-Systemen
Die EU-Kommission hat KI-Systeme in verschiedene Risikogruppen eingeteilt. Diese Klassifizierung bestimmt, welche Anforderungen und Regelungen für die jeweiligen Systeme gelten. Es gibt drei Hauptkategorien: unannehmbares Risiko, hohes Risiko und geringes Risiko.
Unannehmbares Risiko: Verbotene KI-Systeme
KI-Systeme, die ein unannehmbares Risiko darstellen, sind in der EU verboten. Diese Systeme gelten als Bedrohung für die Gesundheit, Sicherheit oder die Grundrechte der Menschen. Dazu gehören Praktiken, die zu Diskriminierung oder Manipulation führen können.
- Social Scoring: Systeme, die das soziale Verhalten oder Persönlichkeitsmerkmale bewerten und zu Benachteiligungen führen. Ein Beispiel wäre die Nutzung von Social-Media-Daten zur Kreditwürdigkeitsprüfung.
- Unterschwellige Beeinflussung: KI, die Menschen unbewusst manipuliert und ihnen Schaden zufügt, wie gezielte Inhalte zur Verfolgung politischer oder kommerzieller Ziele.
- Ausnutzung menschlicher Schwächen: Systeme, die die Schutzbedürftigkeit von Personen (z.B. Alter, Behinderung) ausnutzen, um ihnen Schaden zuzufügen. Ein sprachgesteuertes Spielzeug, das gefährliches Verhalten bei Kindern fördert, wäre ein solches Beispiel.
- Biometrische Echtzeit-Identifizierung in öffentlichen Räumen: Gesichtserkennung durch Überwachungskameras zur Strafverfolgung ist grundsätzlich verboten. Ausnahmen gibt es nur in engen Grenzen, etwa zur Abwehr von Terror oder zur Suche nach vermissten Kindern.
"Der AI Act verbietet KI-Systeme, die eine klare Bedrohung für unsere Grundrechte darstellen. Dies ist ein entscheidender Schritt, um Vertrauen in die Technologie zu schaffen", so ein Sprecher der EU-Kommission.
Hohes Risiko: Strenge Auflagen für bestimmte Bereiche
KI-Systeme mit hohem Risiko können erhebliche Gefahren für Gesundheit, Sicherheit oder Grundrechte bergen. Sie unterliegen daher strengen Anforderungen. Diese Systeme finden in sensiblen Bereichen Anwendung.
Anwendungsbereiche von Hochrisiko-KI
- Kritische Infrastruktur: Sicherheitssysteme im Straßenverkehr oder in der Energieversorgung (Wasser, Gas, Strom).
- Bildung und Beschäftigung: Systeme zur Bewertung von Lernergebnissen oder zur Steuerung von Lernprozessen.
- Gesundheits- und Bankwesen: Kreditvergabesysteme oder Risikobewertungen bei Versicherungen.
- Öffentliche Dienste und Sozialleistungen: Systeme zur Beurteilung von Leistungsansprüchen.
- Strafverfolgung und Justiz: Risikobewertungen für Straftaten, Lügendetektoren oder Profiling.
Anbieter solcher Hochrisiko-Systeme müssen eine sogenannte Konformitätserklärung abgeben. Damit bestätigen sie die Einhaltung der EU-Gesetze und der KI-Verordnung. Jeder Mitgliedsstaat muss dafür mindestens eine Kontroll- und Zertifizierungsstelle einrichten. Zudem sind Qualitäts- und Risikomanagementsysteme verpflichtend, um Risiken kontinuierlich zu analysieren, zu bewerten und zu minimieren – auch nach der Markteinführung eines Produkts.
Dies beinhaltet regelmäßige Tests der Systeme, die Entwicklung von Maßnahmen zur Risikobeseitigung oder -minderung sowie die Schulung gewerblicher Nutzer über potenzielle Gefahren. Die Überwachung ist ein fortlaufender Prozess, der auch nach der Inbetriebnahme eines Systems nicht endet.
Geringes Risiko: Transparenz ist entscheidend
Alle anderen KI-Systeme fallen unter die Kategorie des geringen Risikos. Dazu zählen beispielsweise Spam-Filter, Chatbots, KI in Videospielen oder Suchalgorithmen. Für diese Systeme gelten weniger strenge, aber dennoch wichtige Anforderungen, insbesondere im Bereich der Transparenz und Information.
Wenn KI-Systeme mit Menschen interagieren und mit echten Personen verwechselt werden könnten, wie in Telefon-Hotlines, muss dies offengelegt werden. Auch bei Systemen, die menschliche Emotionen erkennen und analysieren, ist Transparenz geboten. Ein weiterer wichtiger Punkt sind sogenannte "Deepfakes": Wenn Bild-, Audio- oder Videoinhalte durch KI erzeugt oder manipuliert werden und realen Personen oder Orten ähneln, muss klar gekennzeichnet werden, dass es sich um KI-generierte Inhalte handelt.
Überwachung und Sanktionen: Die Einhaltung sicherstellen
Bei Verstößen gegen die KI-Verordnung drohen Entwicklern oder Betreibern von KI-Systemen Sanktionen. Die Mitgliedsstaaten haben bis August 2025 Zeit, entsprechende Aufsichtsbehörden zur Überwachung einzurichten. In Deutschland wurde bislang noch keine spezifische Aufsichtsbehörde benannt oder ein Umsetzungsgesetz verabschiedet.
Zusätzlich wird auf EU-Ebene ein Amt für Künstliche Intelligenz geschaffen. Dieses Amt soll gemeinsam mit den nationalen Stellen die Überwachung in der gesamten EU koordinieren und sicherstellen. Dies gewährleistet einen kohärenten Ansatz und eine einheitliche Anwendung der neuen Regeln.
Zeitplan und Ausblick: Die nächsten Schritte des AI Act
Der AI Act ist am 1. August 2024 in Kraft getreten. Die vollständige Anwendbarkeit erfolgt jedoch schrittweise über einen Zeitraum von zwei Jahren. Einige Bestimmungen treten früher in Kraft als andere:
- 6 Monate nach Inkrafttreten (Februar 2025): Das Verbot für KI-Systeme mit unannehmbarem Risiko tritt in Kraft. Diese Systeme dürfen dann nicht mehr verwendet werden.
- 12 Monate nach Inkrafttreten (August 2025): Die Regelungen für KI-Systeme mit allgemeinem Verwendungszweck, wie etwa große Sprachmodelle (z.B. ChatGPT), werden anwendbar.
- 2 Jahre nach Inkrafttreten (August 2026): Alle anderen Regeln des AI Act treten vollständig in Kraft.
- 36 Monate nach Inkrafttreten (August 2027): Für einige Hochrisiko-KI-Systeme, die bereits anderen EU-Regeln unterliegen, gibt es eine längere Übergangsfrist.
Die EU-Kommission wird jährlich prüfen, ob Anpassungen an der Kategorisierung der KI-Systeme oder den Regelungen notwendig sind. Dies soll sicherstellen, dass die Verordnung mit der rasanten technischen Entwicklung und neuen Anwendungsgebieten der KI Schritt halten kann.
Der AI Act ist ein wegweisendes Gesetz, das die Entwicklung und den Einsatz von Künstlicher Intelligenz in Europa maßgeblich beeinflussen wird. Er sendet ein klares Signal, dass Innovation und Schutz der Bürger Hand in Hand gehen müssen.
