Der AI Act der EU

Die Europäische Union (EU) hat ein gemeinsames Regelwerk entwickelt, das zu einer vertrauenswürdigen KI beitragen soll: den Artificial Intelligence (AI) Act. In Kraft getreten ist dieser am 01. August 2024 und ist damit das weltweit erste Gesetz zur Regulierung von KI.

Der erste KI-Regulierungsprozess für Europa

Den Vorschlag hierzu hatte die Europäische Kommission bereits 2021 vorgelegt. Diesen haben die Mitgliedsstaaten der EU sowie Wirtschafts- und zivilgesellschaftliche Akteure 2022 kommentiert, das EU-Parlament legte im Juni 2023 seine Position zum AI Act fest. Nach den erfolgreich abgeschlossenen Trilog-Verhandlungen zwischen den EU-Institutionen wurde eine endgültige Version des AI Acts, das in Deutschland Gesetzescharakter haben wird, im Dezember 2023 beschlossen. Am 21. Mai 2024 wurde der AI Act von den 27 EU-Mitgliedsstaaten endgültig verabschiedet am 12.7.2024 im Amtsblatt der EU verkündet.

Ziel des AI Acts der EU ist es, den Einsatz von KI-Systemen sicher und vertrauenswürdig zu machen, ohne Innovationen zu hemmen. Ein ausdifferenziertes Regelwerk macht verpflichtende Vorgaben für die Entwicklung und Anwendung von risikoreichen KI-Systemen. So werden technische wie auch ethische Standards vorgeschrieben, um die Grundrechte der EU-Bürgerinnen und -Bürger zu schützen und zugleich den Wirtschaftsstandort Europa global zu stärken.

Diese Regeln gelten als der erste transnationale Versuch, KI mit verbindlichen und gemeinsam ausgehandelten Normen zu gestalten. Was bereits in vielen anderen Bereichen existiert – beispielsweise in der Medizintechnik oder der Regulierung von Impfstoffen, wird nun auch für die KI geschaffen werden: verbindliche Regeln für eine vertrauenswürdige Technik. Damit nimmt die EU eine Vorreiterrolle zugunsten der europäischen Gesellschaft und Wirtschaft ein. Durch die rechtlichen Rahmenbedingungen für KI schafft die EU nicht nur Transparenz für Nutzerinnen und Nutzer und Rechtssicherheit für Unternehmen, sondern sichert auch die technologische Souveränität des Kontinents. Im internationalen Wettbewerb können sich europäische Wertvorstellungen als Qualitätsmerkmal einer vertrauenswürdigen KI durchsetzen – Stichwort: „KI made in Europe“.

Was ist im AI Act geregelt?

Empfohlener redaktioneller Inhalt

An dieser Stelle finden Sie einen externen Inhalt von YouTube, der den Artikel ergänzt. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.

Künftig werden EU-weit einheitliche Anforderungen an KI-Systeme gelten. Gerade im Bereich der Hochrisiko-KI-Anwendungen spielen Normen und Standards dabei eine wichtige Rolle. Das Video zeigt, wie das Zusammenspiel von Gesetzgebung und Normung funktioniert (Quelle: Deutsches Institut für Normung).

Im Zentrum des AI Acts steht die Risiko- oder Kritikalitätsbewertung von KI-Systemen. Er bestimmt Regeln für KI-Systeme entsprechend ihrem Gefahrenpotenzial. Dazu werden KI-Anwendungen in vier Risikostufen klassifiziert – vom minimalen Risiko bis hin zum unannehmbaren Risiko. So gehen etwa von Systemen zur intelligenten Wartung von Industriemaschinen keinerlei Gefahren aus. Sie entsprechen der niedrigsten von vier Risikostufen und bedürfen laut EU-Verordnung keiner Regeln. Andere denkbare KI-Anwendungen bergen indessen Risiken und dürfen nur unter bestimmten Bedingungen zum Einsatz kommen. Die Verordnung gilt nicht für KI-Systeme, die für Forschung und Entwicklung eingesetzt werden oder Systeme, die ausschließlich militärischen oder verteidigungspolitischen Zwecken dienen. Sie berührt überdies auch nicht die Zuständigkeiten der Mitgliedstaaten in Bezug auf die nationale Sicherheit.

Definition von KI

Die EU-Verordnung definiert Künstliche Intelligenz in Anlehnung an die Empfehlungen der OECD. Demnach ist eine KI „ein maschinenbasiertes System, das für explizite oder implizite Ziele aus Eingaben Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert, die Auswirkungen auf physische oder virtuelle Umgebungen haben können.“

Verbot von KI-Anwendungen mit unannehmbaren Risiken

Für Hochrisiko-KI-Systeme, deren Risiken als unannehmbar eingestuft werden, gilt ein pauschales Verbot. Darunter fällt die behördliche Bewertung des sozialen Verhaltens anhand öffentlich verfügbarer Daten aus dem Internet (Social Scoring), biometrische Kategorisierung, die auf sensible Daten wie die sexuelle Orientierung oder religiöse Überzeugungen schließen lässt, KI-Systeme, die menschliches Verhalten manipulieren und solche, die die Schwachstellen von Schutzbedürftigen ausnutzen, Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen, massenhaftes, ungezieltes Auslesen von Gesichtsbildern aus dem Internet (Scraping) und teils präventive Polizeiarbeit, bei der mithilfe von KI die Wahrscheinlichkeit einer Straftat berechnet wird (Predictive Policing).

Regeln für Hochrisiko-Anwendungen

Wenn von KI-Systemen erhebliche Risiken für die Gesundheit und die Grundrechte von Personen, für Rechtsgüter oder die Umwelt ausgehen, müssen sie bestimmte Anforderungen erfüllen, um Zugang zum EU-Markt zu erhalten. Darunter fallen zum Beispiel KI-Systeme, die auf das Wahlverhalten Einfluss nehmen, die nachträgliche Auswertung von im öffentlichen Raum erfassten biometrischen Daten und viele KI-Systeme in der Medizin oder für die Justiz. Laut KI-Verordnung müssen Hersteller und Anwender von potenziellen Hochrisiko-Systemen dessen Folgen auf Umwelt und Grundrechte abschätzen, bevor das System zum Einsatz kommen kann. Hochrisiko-Systeme müssen dann einer Konformitätsbewertung unterzogen werde, bei der geprüft wird, ob die Systeme den EU-Anforderungen entsprechen. Alle Hersteller von Hochrisiko-Systemen und öffentliche Behörden, die die Systeme nutzen, müssen sich in einer EU-Datenbank registrieren.

Europäische KI-Behörde

Innerhalb der EU-Kommission soll eine KI-Behörde eingerichtet werden. Sie soll die Einhaltung der Regeln insbesondere für große Basismodelle überwachen und Normen und Testverfahren fördern. Ein gemeinsamer Ausschuss der Mitgliedsstaaten soll die Vorschriften in den Mitgliedsstaaten durchsetzen. Zudem soll es ein Beratungsforum geben, der Rückmeldungen aus Wirtschaft und Zivilgesellschaft einholt, sowie ein wissenschaftliches Gremium von Sachverständigen.

Sanktionen

Für Verstöße gegen die KI-Verordnung werden Geldbußen erhoben – entweder als Prozentsatz des weltweiten Jahresumsatzes des Unternehmens oder als festgelegter Betrag, je nachdem, welche Summe höher ist. Für kleine und mittlere Unternehmen sowie für Start-ups gibt es eine verhältnismäßige Obergrenze.

Spezielle Regeln für KI-Basismodelle

Basismodelle oder Foundation Models sind Modelle des maschinellen Lernens, die mit extrem großen Datensätzen z. B. aus dem Internet vortrainiert wurden und verschiedene Aufgaben ausführen können. Zu ihnen zählen auch die generativen KI-Sprachmodelle GPT-4 von OpenAI, Googles Gemini oder Llama von Meta. Für KI-Basismodelle gelten mit der EU-Verordnung besondere Vorschriften. So müssen Anbieter für Transparenz sorgen, indem sie technische Dokumentationen zu den angewendeten Trainings- und Testverfahren sowie zu den Trainingsdaten erstellen und nachweisen, dass sie das europäische Urheberrecht einhalten. Die KI-Verordnung unterscheidet dabei Basismodelle je nach Rechenkapazität: Sehr leistungsstarke Basismodelle unterliegen strengeren Regeln, denn von ihnen können systemische Risiken ausgehen, die sich je nach späterem Anwendungszweck weiterverbreiten. Die zusätzlichen Pflichten betreffen etwa Cybersicherheit und Energieeffizienz.

Biometrische Überwachung

Die biometrische Überwachung von Personen in Echtzeit ist weitestgehend verboten. Eine Ausnahmeregelung gilt für die Strafverfolgung: Liegt eine konkrete Gefährdung wie ein Terroranschlag vor oder eine schwere Straftat aus einer definierten Liste, dürfen die Behörden bei richterlicher Genehmigung einzelne Personen im öffentlichen Raum biometrisch identifizieren. Die nachträgliche Auswertung biometrischer im öffentlichen Raum erfasster Daten wird als Hochrisiko-Anwendung eingeordnet, ist aber grundsätzlich zulässig. Strafverfolgungsbehörden können auf diese Weise unter Einhaltung strenger Schutzvorkehrungen Straftäter ausfindig machen.

WER HAFTET, WENN KI-SYSTEME SCHÄDEN VERURSACHEN?

Die EU setzt sich nicht für Rahmenbedingungen für eine sichere und vertrauenswürdige KI ein, sondern schafft ebenso einheitliche Haftungsregeln, die gelten, wenn KI-Systeme Schäden verursachen. Insbesondere soll ein umfassender Schutz potentieller Opfer – sowohl Einzelpersonen wie auch Unternehmen – verankert werden. Konkret heißt das, dass Geschädigte vereinfacht Zugang zu rechtlichen Verfahren und möglichen Schadensersatzansprüchen haben sollen. Auch in Bezug auf die Haftungsregeln achtet der Gesetzgeber indes auf ein ausgewogenes Verhältnis von Verbraucherschutz und Innovationsförderung.

Wie wird der AI Act umgesetzt?

Die europäischen Regeln für KI sind im AI Act der EU festgehalten. Dieser hat als EU-Verordnung einen rechtlich bindenden Charakter. Konkret bedeutet dies: Der auf europäischer Ebene beschlossene AI Act hat in allen EU-Mitgliedsstaaten die selbe Gültigkeit wie ein nationales Gesetz. Eine erneute Zustimmung der jeweiligen nationalen Parlamente ist nicht notwendig.

Damit der AI Act als rechtliche EU-Verordnung umgesetzt werden kann, arbeitet die EU bereits an Normen, die die Inhalte des AI Acts für die Anwendung in der Praxis konkretisieren. So sollen rechtliche Gestaltung und technische Implementierung im besten Fall reibungslos miteinander synchronisiert werden. Um solche Normen zu erarbeiten, hat die Europäische Kommission bereits das Europäische Komitee für Normung CEN sowie das Europäische Komitee für elektrotechnische Normung CENELEC beauftragt.

Zudem hat die europäische Kommission den KI Pakt ins Leben gerufen, um Unternehmen und Organisationen dazu zu ermutigen, die Umsetzung der Maßnahmen des KI-Gesetzes vorauszuplanen.

Was ist der KI Pakt?

Bestimmte Regelungen des neuen KI-Gesetzes treten unmittelbar nach dessen Verabschiedung in Kraft. Andere, insbesondere die Anforderungen an Hochrisiko-KI-Systeme, werden erst nach einer Übergangszeit wirksam. Die Europäische Kommission unterstützt den KI-Pakt und ermutigt die Industrie, die Vorschriften des KI-Gesetzes freiwillig früher als gesetzlich vorgeschrieben umzusetzen.

Der KI Pakt wurde von der Europäischen Kommission ins Leben gerufen und beinhaltet zwei Säulen:

  • Säule eins beinhaltet die Zusammenkunft und den Austausch mit dem Netzwerk des KI-Pakts. Dabei sollen die Teilnehmenden mittels vom Amt für Künstliche Intelligenz organisierten Workshops oder anderer Zusammenkünfte eine kollaborative Gemeinschaft schaffen und ihr Wissen über bewährte Verfahren und Richtlinien teilen. Gleichzeitig fördern die Workshops ein besseres Verständnis des AI Acts.
  • Die zweite Säule beinhaltet die Erleichterung und Kommunikation von Unternehmenszusagen. Hierbei soll ein Rahmen geschaffen werden zur frühzeitigen Förderung der Umsetzung des AI Acts, indem Unternehmen ermutigt werden, Prozesse und Praktiken, die implementiert werden, proaktiv offenzulegen und Compliance zu antizipieren. Dies gilt vor allem für Unternehmen, die KI-Systeme bereitstellen. Unternehmen, die sich zu einer so genannten Engagementerklärung verpflichten, sollen regelmäßig über ihre Verpflichtungen Bericht erstatten. Diese werden vom Amt für Künstliche Intelligenz gesammelt und veröffentlicht, um Sichtbarkeit zu gewährleisten, Rechenschaft und Glaubwürdigkeit zu erhöhen und das Vertrauen in die Technologien der Organisationen, die eine Engagementerklärung abgegeben haben, zu stärken.

Der Pakt soll ein gemeinsames Verständnis des AI Acts schaffen sowie konkrete Maßnahmen zur Umsetzung der Regelungen ergreifen. Zudem soll Wissen ausgetauscht und die Sichtbarkeit und Glaubwürdigkeit der Sicherheitsvorkehrungen erhöht werden.

Ein Verhaltenskodex für Modelle für allgemeine KI

Der AI Act sieht für Anbieter von Modellen für allgemeine Künstliche Intelligenz (GPAI) einen Verhaltenskodex (Code of Practice) vor, der kritische Bereiche wie Transparenz, urheberrechtliche Vorschriften und Risikomanagement behandelt. Die Kommission hat hierzu bereits Konsultationen eingeleitet. In der EU tätige GPAI-Anbieter, Unternehmen, Vertreter der Zivilgesellschaft, Rechteinhaber und akademische ExpertInnen sind aufgefordert, ihre Ansichten und Erkenntnisse einzubringen, die in den kommenden Entwurf der Kommission für den Verhaltenskodex für GPAI-Modelle einfließen werden. Die Kommission geht davon aus, dass der Verhaltenskodex bis April 2025 fertiggestellt sein wird. Darüber hinaus werden die Rückmeldungen aus der Konsultation auch in die Arbeit des AI-Büros einfließen, das die Umsetzung und Durchsetzung der Vorschriften des AI-Gesetzes zu GPAI überwachen wird.

Das AI-Office – Ein Amt für vertrauenswürdige KI

Das cit ist das neu gegründete Europäische Amt für KI. Es wurde im Februar 2024 von der Kommission ins Leben gerufen und ist für die Überwachung der Einhaltung und Implementierung des KI-Gesetzes in den EU-Mitgliedstaaten zuständig. Es zielt darauf ab, eine Atmosphäre zu schaffen, in der KI-basierte Technologien die menschliche Würde sowie die Grundrechte achten und Vertrauen stärken. Weiterhin unterstützt das Amt die Kooperation, Neuerung und Forschung im KI-Sektor unter den verschiedenen Stakeholdern. Es beteiligt sich auch aktiv an globalen Gesprächen und Kooperationen bezüglich KI, um die Wichtigkeit einer weltweiten Harmonisierung der KI-Regulierung zu betonen. Mit diesen Initiativen strebt das Europäische KI-Amt danach, Europa als Vorreiter in der ethischen und nachhaltigen Entwicklung von KI voranzubringen.

Gezielte Förderung für KI-Start-Ups und KMU

Im Januar 2024 hat die Kommission ein Innovationspaket für KI eingeführt, um Start-ups und KMU bei der Entwicklung vertrauenswürdiger KI zu unterstützen. Die Initiative GenAI4EU und das KI-Büro waren Teil dieses Pakets. Gemeinsam werden sie zur Entwicklung neuer Anwendungsfälle und aufkommender Anwendungen in den 14 industriellen Ökosystemen Europas sowie im öffentlichen Sektor beitragen. Die Anwendungsbereiche umfassen Robotik, Gesundheit, Biotechnologie, Fertigung, Mobilität, Klima und virtuelle Welten.

Publikationen zum Thema

AI Act der Europäischen Union: Regeln für vertrauenswürdige KI

Publikation aus der Reihe: KI Kompakt

Plattform Lernende Systeme
Erschienen: Mai 2024

KI-Systeme schützen, Missbrauch verhindern

AGs IT-Sicherheit, Privacy, Recht und Ethik und Lebensfeindliche Umgebungen
AutorInnen: Beyerer, J., Müller-Quade, J. et al.
Erschienen: März 2022

Kritikalität von KI-Systemen in ihren jeweiligen Anwendungskontexten

AGs IT-Sicherheit, Privacy, Recht und Ethik und Technologische Wegbereiter und Data Science
AutorInnen: Jessica Heesen, Jörn Müller-Quade, Stefan Wrobel et al.
Erschienen: November 2021

Zertifizierung von KI-Systemen

AGs IT-Sicherheit, Privacy, Recht und Ethik und Technologische Wegbereiter und Data Science
AutorInnen: Jessica Heesen, Jörn Müller-Quade, Stefan Wrobel et al.
Erschienen: November 2020

Ethik-Briefing

Leitfaden für eine verantwortungsvolle Entwicklung und Anwendung von KI-Systemen

AG IT-Sicherheit, Privacy, Recht und Ethik
AutorInnen: Jessica Heesen et al.
Erschienen: Oktober 2020