Zwei Jahre hat es vom Entwurf bis zum Gesetz gedauert, jetzt sind die Verhandlungen beendet: Mit dem AI Act stellt die EU Regeln für den Einsatz von Künstlicher Intelligenz auf und leistet damit Pionierarbeit.
Wir erklären, was der AI Act genau ist und was das neue Gesetz zur KI-Regulation für Unternehmen bedeutet.
Vom Nutzen und Missbrauch der KI
Man könnte sagen, dass das Jahr 2023 im Zeichen der Chancen stand, die Künstliche Intelligenz für Gesellschaft im Allgemeinen und die Wirtschaft im Besonderen zu bieten hat. Dadurch, dass sich ChatGPT in der breiten Masse durchgesetzt hat und in der Folge unzählige KI-Tools auf den Markt strömten, haben sich viele Unternehmen daran gemacht, den praktischen Nutzen dieser neuen Technologien zu erproben. Dabei hat sich herausgestellt, dass KI-Tools tatsächlich ein enormes Potenzial haben, um die Effizienz zu steigern, Kosten zu senken und die Kundenzufriedenheit zu erhöhen.
Aber wie so häufig liegen auch bei dieser großen technischen Innovation Nutzen und Missbrauch sehr eng nebeneinander. Denn: KI lässt sich nicht nur mit gute Absichten einsetzen, sondern auch mit negativen Absichten. KI-Angriffe sind hier nur eines von vielen Beispielen. Die Warnungen vor den potenziellen Risiken von KI-Systemen lassen sich daher auch nicht so einfach beiseite schieben.
Aus diesem Grund hat die Europäische Kommission einen Vorschlag für eine Verordnung zur Regulierung von Künstlicher Intelligenz erarbeitet: den AI Act. Nach zähen Verhandlungen ist es am 8. Dezember 2023 zu einer Einigung gekommen, am 13. März 2024 hat das EU-Parlament den AI Act als weltweit erstes KI-Gesetz beschlossen.
Was ist der AI Act?
Der AI Act (auch: Artificial Intelligence Act; AIA) ist ein Vorschlag der Europäischen Kommission für eine Regulierung von Künstlicher Intelligenz (KI) im Rahmen der EU-Digitalstrategie. Vorgelegt wurde er im April 2021, nach mehr als zwei Jahre ist es am 8. Dezember 2023 zu einer Einigung zwischen dem Europaparlament und Unterhändlern der EU-Mitgliedsstaaten gekommen.
Damit sind die sogenannten Trilog-Verhandlungen zwischen Rat, Parlament und Kommission der EU beendet worden. Inzwischen – genauer gesagt am 13. März 2024 – hat das EU-Parlament das Gesetz beschlossen. Was noch fehlt, ist das Votum der EU-Staaten, das für Ende April erwartet wird, aber nur noch als reine Formsache gilt.
Das wesentliche Ziel des EU-AI-Acts ist es, den Einsatz von Künstlicher Intelligenz in Europa zu regeln und sicherzustellen, dass sie sicher, menschenrechtskonform und demokratisch ist. Auf der Basis eines risikobasierten Ansatzes soll ein sicherer und vertrauensbildender Rechtsrahmen entstehen. Laut EU-Binnenmarkt-Kommissar Thierry Breton schafft das erste KI-Gesetz weltweit eine Balance zwischen Sicherheit, Innovation und dem Respekt gegenüber den Grundrechten und Werten in der Europäischen Union.
Einstufung von KI-Anwendungen in Risikogruppen
Nach dem AI Act sollen KI-Anwendungen in vier Risikoklassen eingeteilt werden. Je nach der potenziellen Gefährdung müssen die Anbieter der jeweiligen Anwendung verschiedene Vorgaben erfüllen. Die Einteilung sieht dabei wie folgt aus:
- Low Risk / risikoarme Systeme:
In diese Kategorie fällt der Großteil der KI-Anwendungen. Es gelten hier keine Anforderungen oder nur minimale Transparenzanforderungen. Nutzer sollen beispielsweise darauf hingewiesen werden, wenn sie mit einer KI interagieren. - Limited Risk / Begrenzt riskante Systeme:
Hierunter fallen beispielsweise KI-Basismodelle wie das Sprach-Basismodell GPT-4, auf dem ChatGPT basiert. Die Anbieter von Anwendungen in dieser Kategorie müssen bestimmte Transparenz- und Kennzeichnungspflichten erfüllen. Auch die technische Dokumentation und Einhaltung der EU-Urheberrechtsbestimmungen sind erforderlich. Konkret müssen Anbieter generativer KI offenlegen, dass Inhalte KI-generiert wurden; sie müssen ihr Modell so gestalten, dass es keinen illegalen Inhalt generiert; und sie müssen Auskunft geben, welche (urheberrechtlich geschützten) Daten zum Training ihrer Modelle verwendet wurden. - High Risk / Hochrisiko-Systeme:
Betroffen sind KI-Systeme, die die Sicherheit oder Grundrechte negativ beeinflussen könnten. Die Anbieter müssen deutlich strengere Sicherheitsanforderungen erfüllen, unter anderem in Bezug auf Nachvollziehbarkeit, Risikomanagement oder Cybersecurity. Darunter fallen KI-Systeme, die in Produkten verwendet werden, die unter die EU-Produktsicherheitsgesetzgebung fallen (etwa Spielzeug, Luftfahrt, Kraftfahrzeuge, Medizinprodukte und Aufzüge). Auch KI-Systeme, die in den folgenden Bereichen zum Einsatz kommen, zählen als hoch riskant:- Klassifizierung und Identifizierung von Personen auf der Grundlage biometrischer Merkmale
- Verwaltung und Betrieb kritischer Infrastruktur
- Bildung und berufliche Aus- und Weiterbildung
- Beschäftigung, Mitarbeiterverwaltung und Zugang zur Selbstständigkeit
- Zugang zu und Nutzung von wesentlichen privaten und öffentlichen Dienstleistungen und Leistungen
- Rechtspflege
- Management von Migration, Asyl und Grenzkontrolle
- Unterstützung bei der Rechtsauslegung und Rechtsanwendung
- Unacceptable Risk / Systeme mit unannehmbarem Risiko:
Anwendungen dieser Kategorie werden als Bedrohung angesehen und und sind daher nach dem AI Act vollkommen verboten. Beispiele sind sogenannte Social-Scoring-Systeme, die Menschen auf der Grundlage ihres Verhaltens, ihres sozioökonomischen Status oder ihrer persönlichen Merkmale einordnen, oder auch Echtzeit- und Fernidentifikationssysteme auf Basis biometrischer Daten wie der Gesichtserkennung. Es gibt allerdings Ausnahmen: Beispielsweise können biometrische Identifizierungssysteme, bei denen die Identifizierung nach einer erheblichen Verzögerung erfolgt, zur Verfolgung von schweren Straftaten zugelassen sein, jedoch nur nach gerichtlicher Genehmigung.
Durch die strengen Vorschriften für KI-Systeme mit hohem und unzulässigem Risiko soll der AI Act die Sicherheit und die Grundrechte der Menschen schützen. Dass die KI-Basismodelle ebenfalls unter diese Regulierung fallen, war ein besonderer Streitpunkt in den Verhandlungen.
Resonanz auf AI Act im Kurzüberblick
Die Verhandlungen waren von einer ganz speziellen Problematik geprägt – nämlich der Herausforderung, genau den richtigen Grad zwischen einer Überregulierung und einer Unterregulierung zu treffen. Dabei stehen sich, kurz gefasst, zwei Positionen gegenüber: Die eine Seite drängt auf eine sichere und vertrauenswürdige KI, die den Werten der EU entspricht und transparent ist; die andere Seite befürchtet, dass eine zu stark KI-Regulation den technischen Fortschritt und die Innovationskraft behindert.
Dementsprechend fällt die Resonanz auf den AI Act in Deutschland sehr unterschiedlich aus. Der TÜV-Verband beispielsweise lobt die Pionierarbeit der EU und begrüßt, dass der AI Act mit seinem risikobasierten Ansatz die Sicherheit erhöht und Innovationen schützt. Die Tatsache, dass auch KI-Basismodelle von der Regelung betroffen ist, schaffe Vertrauen für die Nutzer und erhöhe die Rechtssicherheit für professionelle Anwender, die auf Basis von „General Purpose AI“ eigene KI-Anwendungen entwickeln.
Demgegenüber steht zum Beispiel der Branchenverband bitkom: In einer Mitteilung heißt es, dass der nach den Trilog-Verhandlungen geschlossene Kompromiss bei der Regulierung generativer KI über das Ziel hinausschieße und tief in die Technologie eingreife. Der Verband zeigt sich skeptisch, wie die Umsetzung in der Praxis letztlich aussehen wird.
Wen betrifft der AI Act?
Wer von dem AI Act konkret betroffen ist, wird in Artikel 2 des neuen KI-Gesetzes erläutert. Daraus geht hervor, dass das europäische KI-Gesetz für folgende Personen und Organisationen gelten wird:
- Anbieter: Alle juristischen Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System entwickeln oder entwickeln lassen und in der EU anbieten oder in Verkehr bringen beziehungsweise betreiben.
- Nutzer: Alle natürlichen Personen, die in der EU ein KI-System nutzen.
Die KI-Verordnung gilt übrigens auch dann, wenn sich Anbieter oder Nutzer in einem Drittland befinden, die KI aber innerhalb der EU eingesetzt wird. Hier kommt das sogenannte Marktortprinzip zum Einsatz, das bereits aus der europäischen Datenschutzgrundverordnung (DSGVO) bekannt ist.
Wann tritt der AI Act in Kraft?
Bislang (Stand: 14. März 2023) gibt es noch kein konkretes Datum dafür, wann der AI Act in Kraft treten wird. Nachdem die Trilog-Verhandlungen am 8. Dezember 2023 zu ihrem Ende gekommen sind, mussten noch einige bereits abgesprochene Änderungen in den Gesetzesentwurf eingearbeitet werden. Das EU-Parlament hat der endgültigen Fassung des KI-Gesetzes am 13. März 2024 offiziell zugestimmt. Nun müssen noch die EU-Staaten ihre Zustimmung geben, was Ende April 2024 sein könnte.
In Kraft treten würde der AI Act dann zwei Jahre nach der Verabschiedung der endgültigen Fassung – also höchstwahrscheinlich im Jahr 2026. Manche Quellen sprechen davon, dass erste Teile des Gesetzes schrittweise auch schon früher zur Umsetzung kommen könnten.
AI Act: erste Umsetzungstipps für Unternehmen
Was der AI Act für Unternehmen konkret in der Umsetzung bedeutet, lässt sich noch nicht im Detail sagen. Wir haben aber fünf Tipps erstellt, mit denen Unternehmen als Nutzer und/oder Anbieter von KI-Systemen den Anforderungen des AI Acts bereits jetzt begegnen können:
- Durchführung von Risikobewertungen:
Unternehmen sollten eine Risikobewertung durchführen, um festzustellen, ob ihre KI-Systeme und Anwendungen ein hohes Risiko darstellen. Die Risikobewertung sollte auch die Art der Daten, die das System verwendet, und die Art der Entscheidungen, die es trifft, berücksichtigen. - Einhaltung von Transparenz-, Dokumentations- und Informationspflichten:
Unternehmen sollten sicherstellen, dass sie die Transparenz-, Dokumentations- und Informationspflichten des AI Act erfüllen. Dazu gehört auch die Erstellung von Dokumentationen, die die Funktionsweise des KI-Systems beschreiben, sowie die Bereitstellung von Informationen über die Art der Daten, die das System verwendet, und die Art der Entscheidungen, die es trifft. - Einrichtung von internen Kontrollsystemen:
Unternehmen sollten interne Kontrollsysteme einrichten, um sicherzustellen, dass ihre KI-Systeme und Anwendungen den Anforderungen des AI Act entsprechen. Dazu gehört auch die Einrichtung von Verfahren zur Überwachung der KI-Systeme und Anwendungen, um sicherzustellen, dass sie ordnungsgemäß funktionieren. - Einrichtung von Governance-Systemen:
Unternehmen sollten Governance-Systeme einrichten, um sicherzustellen, dass sie eine angemessene Kontrolle über ihre KI-Systeme ausüben. Dazu gehört auch die Einrichtung von Verfahren zur Überwachung der KI-Systeme und Anwendungen, um sicherzustellen, dass sie ordnungsgemäß funktionieren. - Schulung von Mitarbeitern:
Unternehmen sollten ihre Mitarbeiter schulen und sicherzustellen, dass sie die Anforderungen des AI Acts verstehen und in der Lage sind, sie umzusetzen. Dazu gehört auch die Schulung von Mitarbeitern, die für die Entwicklung und Implementierung von KI-Systemen und Anwendungen verantwortlich sind.
Grundsätzlich gilt, dass Unternehmen trotz der neuen Gesetzgebung nicht die Motivation verlieren sollten, sich mit den Innovationen, die KI bieten kann, auseinanderzusetzen. Es wird sich zeigen, wie sich eine Balance zwischen Risikomanagement und Förderung von Innovation finden lässt.
IT-Experten haben Entwicklungen im Blick
Bürokratische Fessel oder weltweites Vorbild? Nach Inkrafttreten des AI Acts wird sich herausstellen, in welche der beiden Kategorien die neue Gesetzgebung tatsächlich fallen wird. Bis dahin werden aber sicherlich noch viele Fragen zur konkreten Umsetzung zu klären sein. Wir können Ihnen versichern: Die Experten aus dem IT-SERVICE.NETWORK behalten die Entwicklungen rund um Künstliche Intelligenz im Allgemeinen und den AI Act im Besonderen im Blick. Ihr Wissen teilen sie natürlich auch gern mit ihren Unternehmenskunden.
Ihr Unternehmen benötigt Unterstützung bei den ersten Schritten in die Welt der Künstlichen Intelligenz? Sie möchten damit beginnen, KI-Tools einzusetzen, fragen sich aber, wie es um den Datenschutz bestellt ist? Wir verweisen Sie gern an die IT-Systemhäuser in unserem Netzwerk: Gern stehen sie Ihnen unterstützend zur Seite. Nutzen Sie am besten direkt unsere Dienstleistersuche, um ein passendes IT-Systemhaus in Ihrer Nähe zu finden!
Weiterführende Informationen:
EU Parlament, EU Parlament, EU-Parlament, EU-Parlament, EU-Parlament, EU-Parlament, BigData-Insider, WirtschaftsWoche, bitkom, TÜV-Verband, heise, IT-BUSINESS, tagesschau, Handelsblatt, WirtschaftsWoche, LinkedIn, LinkedIn, Tagesschau, it-daily
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung