Die EU-Mitgliedstaaten haben mit dem AI Act das weltweit erste Gesetz zur Regulierung von KI verabschiedet. Die wichtigsten Regelungen auf einen Blick.
AI Act erste KI-Gesetz weltweit
Der Rat der 27 EU-Mitgliedstaaten hat am 21. Mai 2024 den AI Act als einheitlichen Rahmen für den Einsatz von Künstlicher Intelligenz in der Europäischen Union verabschiedet. Damit ist der AI Act das weltweit erste umfassende Regelwerk für Künstliche Intelligenz.
„Mit dem AI Act hat die EU nun ein starkes Fundament für die Regulierung von Künstlicher Intelligenz, das Vertrauen und Akzeptanz in die Technologie schafft und Innovationen ‚made in Europe‘ ermöglicht“, erklärt die Bundesregierung in einer Mitteilung.
Der AI Act schreibt vor, dass KI-Anwendungen nicht missbraucht werden dürfen. Auch der Schutz der Grundrechte muss gewährleistet sein. Andererseits brauchen Wissenschaft und Wirtschaft Freiraum für Innovationen. Deshalb verfolgt der AI Act einen sogenannten „risikobasierten Ansatz“. Das bedeutet: Je höher das Risiko einer Anwendung eingeschätzt wird, desto strenger sind die Vorgaben.
AI Act kennt vier Risikogruppen
Der AI Act teilt daher KI-Anwendungen in vier Risikogruppen ein:
- inakzeptables Risiko
- hohes Risiko
- begrenztes Risiko
- geringes oder kein Risiko.
Anwendungen der niedrigsten Risikostufe können ohne Einschränkungen betrieben werden. Beispiele hierfür sind Spam-Filter in E-Mail-Postfächern oder KI-Anwendungen in Videospielen oder Unterhaltungselektronik.
Verbotene KI-Anwendungen
Ein nicht akzeptables Risiko stellen beispielsweise KI-Systeme dar, die dazu eingesetzt werden können, das Verhalten von Menschen gezielt zu beeinflussen und sie zu manipulieren. Sie sind ebenso verboten wie KI-gestütztes „Social Scoring“, also die Vergabe von Punkten für erwünschtes Verhalten.
Die neuen Regelungen verbieten auch bestimmte KI-Anwendungen, die die Rechte der Bürgerinnen und Bürger gefährden. Dazu zählen unter anderem die biometrische Kategorisierung anhand sensibler Merkmale und das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungskameras für Gesichtserkennungsdatenbanken. Auch Gesichtserkennungssysteme am Arbeitsplatz und in Schulen sind künftig verboten.
Verpflichtungen für KI-Hochrisikosysteme
Auch für andere KI-Systeme mit hohem Risiko sind bestimmte Verpflichtungen vorgesehen, da sie eine erhebliche Gefahr für Gesundheit, Sicherheit, Grundrechte, Umwelt, Demokratie und Rechtsstaatlichkeit darstellen können.
Als Hochrisikosysteme gelten unter anderem KI-Systeme, die in den Bereichen kritische Infrastruktur, allgemeine und berufliche Bildung oder Beschäftigung eingesetzt werden. Als hochriskant gelten auch KI-Systeme, die für grundlegende private und öffentliche Dienstleistungen eingesetzt werden, z. B. im Gesundheits- oder Bankwesen, in bestimmten Bereichen der Strafverfolgung sowie im Zusammenhang mit Migration und Grenzschutz, Justiz und demokratischen Prozessen (z. B. zur Beeinflussung von Wahlen).
Für solche KI-Systeme mit hohem Risiko besteht eine Registrierungspflicht (Art. 49 AI Act).
Darüber hinaus haben EU-Bürger künftig das Recht, sich über Entscheidungen zu beschweren, die auf der Grundlage von KI-Systemen mit hohem Risiko getroffen wurden und ihre Rechte beeinträchtigen.
Transparenzpflicht für KI-Anwendungen
Es besteht auch eine Transparenzpflicht. Künstlich erzeugte oder bearbeitete Inhalte (Audio, Bild, Video) müssen eindeutig als solche gekennzeichnet werden.
Darüber hinaus müssen allgemein nutzbare KI-Systeme und die Modelle, auf denen sie basieren, bestimmte Transparenzanforderungen erfüllen. Dazu gehören die Einhaltung des EU-Urheberrechts und die Veröffentlichung detaillierter Zusammenfassungen der für das Training verwendeten Inhalte.
Für leistungsfähigere Modelle, die systemische Risiken bergen können, gelten künftig zusätzliche Anforderungen: So müssen Modellbewertungen durchgeführt und systemische Risiken bewertet und gemindert werden. Darüber hinaus besteht eine Meldepflicht für Vorfälle.
Sanktionen gegen Unternehmen bei Verstößen
Verstöße können sanktioniert werden (Art. 99 Ai-Act). Je nach Schwere des Verstoßes können Bußgelder von bis zu 35 Millionen Euro oder bis zu 7 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden – je nachdem, welcher Betrag höher ist.
Die EU-Mitgliedstaaten müssen den AI Act nun in nationales Recht umsetzen.