Mit dem AI Act hat die Europäische Union (EU) das weltweit erste umfassende Gesetz zur Regelung von künstlicher Intelligenz (KI) beschlossen. Die Bestimmungen setzen einheitliche Regeln für den KI-Markt in sämtlichen EU-Mitgliedsstaaten fest. Auf diese Weise möchte die EU gewährleisten, dass KI immer im Einklang mit den Werten, Grundrechten und Prinzipien der Europäischen Union entwickelt und angewendet wird. Der AI Act verfolgt einen doppelten Anspruch: Innovationen fördern und gleichzeitig Rechtssicherheit bieten. Wesentliches Ziel des Gesetzes ist es, ein hohes Schutzniveau für Grundrechte, Sicherheit, Gesundheit und Umweltschutz vor potenziell schädlichen Auswirkungen von KI-Systemen zu gewährleisten.
Sie möchten wissen, warum Sie generative KI in Ihre Geschäftsprozesse integrieren sollten?
Wer ist vom AI Act betroffen?
Das Gesetz wirkt sich auf nahezu alle Unternehmen aus, die in der EU tätig sind. Denn die Bestimmungen beziehen sich nicht nur auf die Anbieter von KI-Systemen, sondern sind auch für die Nutzer solcher Systeme verbindlich. Die Regelungen gelten immer dann, wenn KI-basierte Systeme innerhalb der EU Anwendung finden – unabhängig davon, wo die Betreiber ihren Sitz haben.
Daher müssen Unternehmen sich nun auf mittelfristige Sicht genauer mit den Anforderungen auseinandersetzen, insbesondere wenn bereits erste Anwendungsfälle verprobt oder gar bereits produktiv eingesetzt werden. Ansonsten drohen vermeidbare Risiken, Mehraufwände und Zusatzinvestitionen, die langfristig gar rechtliche Konsequenzen verhindern können.
Um sich bereits jetzt bestmöglich auf den AI Act vorzubereiten, sollten Unternehmen ihre KI-Nutzungsfälle gemäß der im AI Act definierten Risikoklassen katalogisieren und kategorisieren. Dies erleichtert die Ermittlung der jeweils damit verbundenen gesetzlichen Verpflichtungen. So gelingt eine systematische Risikoidentifizierung und -minimierung. Auf die Nutzung von Anwendungen, die der AI Act künftig verbietet, sollte so schnell wie möglich verzichtet werden, da das Verbot bereits sechs Monate nach dem Inkrafttreten des AI Act wirksam wird (siehe Abschnitt „Ab wann hat der AI Act Gültigkeit?“).
Webinar: Einführung von künstlicher Intelligenz in die Unternehmenspraxis
Welche Bestimmungen enthält der AI Act?
Der Einsatz von künstlicher Intelligenz geht mit sozialen und ökologischen Vorteilen einher und kann Unternehmen sowie der europäischen Wirtschaft insgesamt entscheidende Wettbewerbsvorteile verschaffen. Gerade bei Themen mit großen Auswirkungen auf das Gemeinwohl – etwa Klimawandel, Umwelt und Gesundheit – sowie für den öffentlichen Sektor und die Bereiche Finanzen, Mobilität und Landwirtschaft erweisen sich wirksame KI-Maßnahmen als besonders förderlich. Wesentliche Resultate sind präzisere Vorhersagen, verbesserte Abläufe, optimierte Ressourcennutzung und personalisierte Dienstleistungen.
Um potenzielle Gefahren zu minimieren oder vollständig auszuschalten, die mit der KI-Nutzung verbunden sind, legt der AI Act strenge Regeln für den Einsatz von KI fest. Welche Auflagen KI-Systeme im Einzelnen erfüllen müssen, hängt vor allem von ihrer Risikoklasse ab. Der AI Act legt vier unterschiedliche Risikoklassen fest:
-
Inakzeptables Risiko
-
Hohes Risiko
-
Begrenztes Risiko
-
Niedriges Risiko
Es gilt: Je größer das potenzielle Risiko bei der Verwendung eines KI-Systems ist, desto umfangreicher sind die damit verbundenen rechtlichen Anforderungen. Anwendungen, die nicht ausdrücklich verboten sind und nicht als risikoreich gelten, bleiben weitgehend unreguliert. Dieser Blogbeitrag kann lediglich einen groben Überblick über die Bestimmungen des AI Act geben. Die ausführlichen Details und etwaige Sonderregelungen sollten direkt im Gesetzestext nachgeschlagen werden.
Inakzeptables Risiko
KI-Systeme, die als eindeutige Bedrohung für die Sicherheit, die Rechte oder den Lebensunterhalt von Menschen angesehen werden, verbietet der AI Act. Dazu gehören beispielsweise Systeme, die im großen Stil Gesichtserkennung im öffentlichen Raum betreiben (für Strafverfolgungsbehörden gibt es Ausnahmen), Technologien zur Erkennung von Emotionen am Arbeitsplatz und in der Bildung sowie der Aufbau eines Social-Scoring-Systems, wie es beispielsweise in China etabliert ist. Das Verbot erstreckt sich insbesondere auch auf Praktiken mit dem Potenzial, Personen jenseits ihres Bewusstseins zu manipulieren, und auf die negative Beeinflussung des Verhaltens besonders gefährdeter Gruppen wie Kinder und Menschen mit Behinderung.
Hohes Risiko
Hochriskante KI-Anwendungen müssen strenge Auflagen erfüllen – hinsichtlich der verwendeten Daten, der Sicherheit, der Funktionsweise, der Dokumentation sowie des Qualitäts- und Risikomanagements. Unter anderem muss sichergestellt werden, dass die Trainingsdaten bestimmte Gruppen nicht benachteiligen. Zudem müssen Entscheidungen von KI-Systemen immer durch Menschen überwacht werden. Die Anbieter von hochriskanten KI-Systemen sind verpflichtet, eine Konformitätsbewertung durchzuführen und eine Konformitätserklärung abzugeben.
Begrenztes Risiko
Ein begrenztes Risiko weisen laut der Definition im AI Act KI-Systeme auf, die mit Menschen interagieren. Typisches Beispiel sind Chatbots. Wer solche Anwendungen anbietet, obliegt einer Transparenzpflicht: Eine natürliche Person muss darüber informiert werden, dass sie gerade mit einem KI-System interagiert. Zudem ist eine technische Dokumentation der Trainingsdaten und Testverfahren vorgeschrieben. Ebenso muss die Einhaltung des geltenden Urheberrechts nachgewiesen werden.
Niedriges Risiko
In die Klasse „Niedriges Risiko“ werden diejenigen KI-Systeme eingestuft, die sich keiner der anderen Risikokategorien zuordnen lassen. Das Spektrum der Anwendungen reicht von Spam-Filtern bis zu Systemen für die vorausschauende Wartung von Maschinen. Solche KI-Anwendungen müssen keine rechtlichen Anforderungen erfüllen. Allerdings haben Unternehmen die Möglichkeit, freiwillige Verhaltensregeln für diese Art von KI-Systemen zu definieren und anzuwenden.
Sonderregeln für General Purpose AI (GPAI)
Neben den verschiedenen Risikoklassen definiert der AI Act auch konkrete Regelungen für sogenannte General Purpose AI (GPAI), also KI-Modelle mit allgemeinem Verwendungszweck. Dabei handelt es sich um KI-Systeme, die für verschiedene Zwecke eingesetzt werden können und zum Beispiel Inhalte wie Texte oder Bilder generieren – als selbständige Systeme oder als integrativer Bestandteil anderer Systeme.
GPAI-Modelle gelten grundsätzlich als Modelle mit begrenztem Risiko und müssen dementsprechend die geltenden Transparenzpflichten erfüllen. Darüber hinaus führt der AI Act die Kategorie „GPAI-Modelle mit systemischem Risiko“ ein. Sie umfasst GPAI-Modelle mit einer hohen Wirkungsmöglichkeit, gemessen am kumulierten Rechenaufwand für das Training. Für sie kommen weitere Verpflichtungen bezüglich der Risikosteuerung und der Cyber-Sicherheit hinzu.
Was legt der AI Act darüber hinaus fest?
Der AI Act sieht die Einrichtung einer eigenen KI-Behörde innerhalb der Europäischen Kommission vor, welche die Einhaltung der Regeln überwachen soll. Auf nationaler Ebene sorgen die jeweils zuständigen Behörden dafür, dass die Bestimmungen befolgt werden. Sie kommen regelmäßig in einem EU-Ausschuss zusammen, um eine einheitliche Interpretation des Gesetzes in den Mitgliedsstaaten sicherzustellen. Die Verbraucher haben das Recht, sich bei den Behörden über einen unangemessenen Einsatz von KI durch Unternehmen zu beschweren.
Die Mitgliedsstaaten sind verpflichtet, sogenannte Reallabore (Regulatory Sandboxes) einzurichten, in denen Anbieter KI-Innovationen entwicklungsbegleitend testen können. Das Gesetz soll die Voraussetzungen dafür schaffen, dass deutsche und europäische Unternehmen und Start-ups auf Augenhöhe mit den starken internationalen Playern im Bereich der künstlichen Intelligenz agieren können.
Wie werden Verstöße gegen den AI Act geahndet?
Bei Verstößen gegen die Bestimmungen des AI Act drohen empfindliche Strafen. Bei einem Einsatz von in der EU verbotenen KI-Systemen („Inakzeptables Risiko“) sind Geldbußen in Höhe von 7 % des weltweiten Jahresumsatzes oder bis zu 35 Millionen Euro vorgesehen. Unternehmen, die ihren gesetzlichen Verpflichtungen nicht nachkommen, müssen mit bis zu 3 % ihres Umsatzes oder 15 Millionen Euro Strafe rechnen. Wer inkorrekte Informationen über sein KI-Modell liefert, wird mit einer Geldbuße in Höhe von 1,5 % des Umsatzes bzw. 7,5 Millionen Euro belegt. Für Start-ups und mittelständische Unternehmen sind geringere Strafen geplant.
Ab wann hat der AI Act Gültigkeit?
Das Europäische Parlament hat den AI Act am 13. März 2024 verabschiedet. Die formelle Zustimmung durch den Europäischen Rat, der sich aus den Staats- und Regierungschefs der 27 EU-Mitgliedsstaaten zusammensetzt, steht noch aus. Anschließend wird der AI Act im EU-Amtsblatt veröffentlicht und tritt 20 Tage später offiziell in Kraft.
Für die meisten Bestimmungen gilt eine Übergangszeit von 24 Monaten, bis sie verbindlich werden. Einige Vorschriften finden jedoch bereits früher Anwendung: Das Verbot von KI-Systemen mit inakzeptablem Risiko gilt bereits sechs Monaten nach Inkrafttreten des AI Act und die Regelungen zu KI-Modellen mit allgemeinem Verwendungszweck greifen nach zwölf Monaten. Aufgrund dieses Zeitfensters sind Unternehmen gut beraten, sich so früh wie möglich mit den Inhalten des AI Acts auseinanderzusetzen – und mit den Pflichten, die sich daraus für sie ergeben.