Die EU hat sich am 8. Dezember in Brüssel bei der KI-Verordnung / AI Act auf einen gemeinsamen Rahmen für Künstliche Intelligenz geeinigt. Dieser sieht bindende EU-weite Regeln für KI-Modelle vor. Der AI Act unterscheidet dabei zwischen unterschiedlich komplexen KI-Modellen und führt Regeln und Verbote für bestimmte Anwendungsbereiche ein.
Wir zeigen euch, was der AI Act beinhaltet und was das für KI-Unternehmen und Nutzer bedeutet. Außerdem fangen wir erste Meinungen aus der Netzwelt zum Gesetzesentwurf ein. Dieser stößt aktuell nämlich auch auf einige Kritik.
Verbotene Anwendungen
Um sicher zu gehen, dass KI nicht die Rechte der Bürger und die Werte der Demokratie bedroht, wurden mehrere Anwendungsbereiche für Künstliche Intelligenz verboten. Dazu gehören laut Europäischem Parlament:
- Systeme zur biometrischen Kategorisierung, die sensible Merkmale verwenden, wie etwa politische oder religiöse Überzeugungen, sexuelle Orientierung oder Rasse.
- Das ungezielte Sammeln von Gesichtsbildern über Internet oder Videoüberwachungen um Gesichtserkennungsdatenbanken anzulegen
- Emotionserkennung an Arbeitsplätzen und in Bildungseinrichtungen
- KI-Nutzung für Social Scoring-Anwendung, wie es sie etwa in China gibt.
- KI-Systeme, die menschliches Verhalten manipulieren oder Schwächen von Menschen – etwa durch Alter, Behinderung oder ihrer wirtschaftlichen Situation – ausnutzen.
Allerdings gibt es bei diesen Verboten auch Ausnahmen. Diese betreffen insbesondere biometrische Identifizierung um terroristische Bedrohung oder Verbrechen aufzuklären oder zu verhindern.
Hochrisiko-Systeme
Für KI-Systeme, deren Nutzung einen größeren Einfluss haben und entsprechend höhere Risiken mit sich bringen, gelten verschärfte Regeln. Zu diesen Systemen zählen Anwendungen in kritischer Infrastruktur, Bildung, Mobilität, Finanzen oder der Medizin. Auch die Komplexität der Trainingsdaten ist ausschlaggebend , ob ein KI-Modell als Hochrisiko-System eingestuft wird.
Welche Anforderung Hochrisiko-Systeme im speziellen erfüllen müssen wurde allerdings noch nicht spezifiziert.
KI-Systeme mit minimalem Risiko
Die meisten Systeme werden in die Kategorie „minimalen Risikos“ fallen. Dazu zählen unter anderem KI-gestützte Empfehlungen oder Spam-Filter. Diese Systeme werden von den strengeren Pflichten der Hochrisiko-Systeme befreit, da sie kein oder nur ein geringes Risiko für Sicherheit und Rechte der EU-Bürger aufweisen. Unternehmen können jedoch freiwillig bestimmte Richtlinien erfüllen. Allgemeinere Basismodelle wie ChatGPT müssen ihre Prozesse allerdings transparent machen. Gerade für sehr leistungsstarke Modelle können dabei zusätzliche verbindliche Verpflichtungen entstehen in Hinblick auf Risiko-Management, Modellbewertungen oder Tests. Dadurch sollen systemische Risiken minimiert werden.
Für kleine und mittelgroße Unternehmen sollen außerdem regulatorische Sandboxes und Real-World-Testing entstehen, die von nationalen Behörden eingerichtet werden.
Was bedeutet der AI Act für Nutzer und Anbieter?
Der neue Gesetzesrahmen dient in erster Linie dazu, die Nutzer vor missbräuchlicher KI-Nutzung zu schützen. Zugleich geht es aber auch um den Schutz geistigen Eigentums und mehr Transparenz der KI-Modelle.
Für Unternehmen bedeutet das natürlich besondere Anforderungen im europäischen Raum. Diese müssen sich bald entscheiden, ob sie mit den bald strengsten Regeln für KI-Modelle konform gehen oder den europäischen Markt auslassen. Schließlich befinden sich die KI-Modelle aktuell selbst noch in einer starken Entwicklungsphasen, in der zu große Einschränkungen ein Wettbewerbsnachteil bedeuten können. Allerdings hat unser Test von DALL-E 3 gezeigt, dass manche KI-Modelle bereits Filter einsetzen, die teils sogar noch zu scharf jedes potentiell gefährliche Gewässer umschiffen.
Ob der AI Act die Attraktivität der EU für KI-Startups beeinflusst ist auch noch ungewiss. Prinzipiell greift die strengere Regulierung erst für größere Systeme oder sensiblere Anwendungsbereiche.
Wer hat das beschlossen und ab wann gilt es?
Bei den Verhandlungen am 8. Dezember handelte es sich um eine Trilog-Verhandlung von Europäischem Parlament, dem Rat der Europäischen Union und der Europäischen Kommission. In der 36-stündigen Verhandlung wurde sich auf einen gemeinsamen Kompromiss geeinigt. Die Verordnung soll bereits im Frühjahr 2024 in Kraft treten.
- Nach 6 Monaten gelten beschlossene Verbote
- Nach 12 Monaten greifen Regeln zur Transparenz von KI-Modellen.
- Nach 24 gelten alle beschlossenen Regeln
Das neue AI Office in Brüssel stellt die Koordination auf europäischer Ebene sicher und überwacht die Umsetzung und Durchsetzung der neuen Regeln. Sie etabliert sich damit weltweit als erste Stelle für verbindliche Regeln für Künstliche Intelligenz. Ein wissenschaftlicher Ausschuss unabhängiger Experten nimmt zudem eine zentrale Rolle ein, um etwa Warnungen vor systemischen Risiken oder Einschätzungen zur Klassifizierung von Modellen herauszugeben.
Erste Meinungen aus dem Netz
Dr. Bernhard Rohleder, Hauptgeschäftsführer des Branchenverbandes Bitcom
Bitkom, der Branchenverband der deutschen Informations- und Telekommunikationsbranche, nahm direkt nach Ende der Verhandlungen Stellung zum Kompromiss:
Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder eröffnet seine Stellungnahme kritisch: „„Die Einigung zum AI Act ist ein politischer Schaufenster-Erfolg zu Lasten von Wirtschaft und Gesellschaft. Der gestern Nacht erzielte Kompromiss schießt insbesondere bei der Regulierung generativer KI über das Ziel hinaus und greift tief in die Technologie ein. Die EU bindet damit den Unternehmen einen regulatorischen Klotz ans Bein. Das Risiko ist groß, dass europäische Unternehmen durch nicht praxistaugliche Vorhaben der rasanten technologischen Entwicklung künftig nicht folgen können.“
Grundlegend sieht er allerdings auch nicht alle Aspekte negativ: „Europa hat die Chance, eine Vorreiterrolle bei der ethischen und verantwortungsvollen Entwicklung von KI einzunehmen. Aber dies erfordert auch eine unbürokratische und gut strukturierte Umsetzung des Rechtsakts.“ Gerade die Herausforderungen der Umsetzung macht er zudem deutlich: „Die große Herausforderung wird sein, die nächtliche Einigung als nächstes in praxistaugliche Regeln zu überführen, die eine Grundlage für den verantwortungsvollen Umgang mit KI schafft. Die Gefahr, dass wir Anwendung und Entwicklung von KI aus Europa verhindern, statt zu ermöglichen, besteht nach wie vor.“
Hier geht es zum kompletten Statement.
Ursula Pachl, Deputy Director General of the European Consumer Organisation (BEUC)
Die Stellvertretende Generaldirektorin der European Consumer Organisation (BEUC) sieht im Beschluss eher ein Hofieren der Unternehmen. Ihr gehen die Regeln in manchen Bereichen nicht weit genug:
„Verbraucher haben zu Recht Bedenken hinsichtlich der Macht und Reichweite der künstlichen Intelligenz und wie sie zu Manipulation und Diskriminierung führen kann, doch das AI-Gesetz geht diesen Bedenken nicht ausreichend nach. Zu viele Angelegenheiten wurden unzureichend reguliert, und es wird zu stark auf das Wohlwollen der Unternehmen gesetzt, sich selbst zu regulieren.“ Weiter kritisiert Pachl, dass virtuelle Assistenten oder KI-gesteuerte Spielzeuge nicht unter die Hochrisikosysteme fallen. Auch für Systeme wie ChatGPT oder Bard hätte sie sich deutlichere Leitplanken gewünscht.
Positiv erwähnt Ursula Pachl: „Es gibt jedoch einige wichtige Bestimmungen, die es Verbrauchern ermöglichen, Maßnahmen zu ergreifen, wenn sie unfair behandelt wurden oder Schaden erlitten haben. Zum Beispiel können sie vor Gericht gehen, wenn ein KI-System Massenschäden verursacht hat. Es ist auch positiv zu vermerken, dass die äußerst ungerechte und willkürliche Praxis des sozialen Bewertungssystems nicht erlaubt sein wird, während KI in der Versicherung als Hochrisiko eingestuft wird, was zusätzliche Anforderungen mit sich bringt.“ Entscheidend sieht sie, „dass die Behörden sicherstellen, dass diese Gesetzgebung ordnungsgemäß durchgesetzt wird, um die Verbraucher so weit wie möglich zu schützen.“
Hier geht es zum kompletten Statement.
Falk Steiner von heise.de
Beim Kommentar der IT-Nachrichtenseite heise.de wird vor allem eine generelle Schwammigkeit der Beschlüsse kritisiert. Dabei geht es unter anderem darum, dass KI-Systeme indirekt bereits Gesetzen unterliegen, die womöglich sogar strenger sind: „Denn Systeme künstlicher Intelligenz unterfallen bereits heute umfassender Regulierung. Sie sind Software, die auf Datenbanken trainiert ist. Und dafür gibt es jede Menge Recht, das eigentlich zu beachten wäre. Und der AI Act schafft hier möglicherweise mehr neue Erlaubnis als Verbote. Vieles wäre nach jetzigem Stand verboten, was mit der KI-Verordnung jetzt qua Gesetz unter gewissen Umständen zulässig sein soll.“
Insbesondere kritisiert Steiner, dass der Beschluss keine einsatzrelevanten Fragen beantwortet: „Denn ein wesentlicher Part blieb bei der KI-Verordnung fast komplett außen vor: Wer garantiert eigentlich die Zulässigkeit des Einsatzes? Der AI Act regelt das nur vordergründig, praktisch ist keine einzige einsatzrelevante Frage mit ihm abschließend beantwortet. Es gibt bereits jetzt große Probleme mit der Tokenisierung von Inhalten, bei der möglicherweise gegen das Urheberrecht verstoßen wurde. Gleiches gilt für die Nutzung von personenbezogenen Daten aus öffentlichen Quellen.“
Im Kommentar geht es ebenso um die Haftung beim KI-Einsatz: „Dürfen einsetzende Unternehmen sich gutgläubig darauf verlassen, dass das KI-Modell sauber gefüttert wurde? Und wie schaut es überhaupt mit der praktischen Umsetzung des auch nach dem AI Act weiterhin gültigen Verbots automatisierter Entscheidungen gemäß der Datenschutzgrundverordnung aus? Wer haftet im Fall der Fälle? Ist ein KI-Einsatz versicherbar – und zu welchem Preis?“ Steiner weist darauf hin, dass die begleitend vorgesehene KI-Haftungsrichtlinie frühestens 2025 verabschiedet wird. Große Teile des AI Acts sind bis dahin bereits in Kraft getreten.
Image by noah9000 via Adobe Stock.
Artikel per E-Mail verschicken