Der EU AI Act - die KI-Verordnung der Europäischen Union zur Regulierung von künstlicher Intelligenz

von Alexander Lewisch

Resilienz
Quelle: Foto von Dušan Cvetanović: https://www.pexels.com/de-de/foto/blau-bewegung-flagge-europaische-union-12541596/

Die Digitalisierung und vor allem der Einsatz neuer Systeme mit Künstlicher Intelligenz (KI) schreiten schnell voran und stellt die gesamte Gesellschaft vor neue Herausforderungen. Neben den weitreichenden Möglichkeiten, die neue KI-Technologien bieten, birgt der damit verbundene technologische Wandel aber auch erhebliche Risiken und einige Ungewissheiten. Aus diesem Grund hat die Europäische Kommission am 21. April 2021 einen Vorschlag zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz in der Europäischen Union veröffentlicht.

Der EU AI Act[1] - 3 Jahre zwischen Vorschlag und Einigung

Drei Jahre nach der Veröffentlichung des Kommissionsvorschlags konnten das Europäische Parlament und der Europäische Rat am 21. Mai 2024 eine Einigung über den EU AI Act (AI ist die Abkürzung für “Artificial Intelligence”), eine Verordnung zur Regulierung von künstlicher Intelligenz in der Europäischen Union, erzielen. Der EU AI Act ist somit das erste umfassende Regelwerk (113 Artikel) für künstliche Intelligenz weltweit. Die EU will damit eine rechtliche Grundlage für die Entwicklung und den Einsatz von KI schaffen, um mögliche Risiken zu minimieren und daraus folgende Schäden abzuwenden. Der Rechtsrahmen hat aber nicht nur eine Vereinheitlichung der Rechtsvorschriften zum Ziel, sondern soll auch das Fundament für die Entfaltung der neuen Technologie sein, um Investitionen, Innovationen und kreative Lösungen im Bereich der KI zu fördern.

Struktur des EU AI Acts[3]

Kapitel I: Allgemeine Bestimmungen

Kapitel II: Verbotene Praktiken der künstlichen Intelligenz

Kapitel III: Hochriskantes KI-System

Kapitel IV: Transparenzverpflichtungen für Anbieter und Betreiber von bestimmten KI-Systemen und GPAI-Modellen

Kapitel V: AI-Modelle für allgemeine Zwecke

Kapitel VI: Maßnahmen zur Unterstützung der Innovation

Kapitel VII: Governance

Kapitel VIII: EU-Datenbank für hochriskante KI-Systeme

Kapitel IX: Überwachung nach dem Inverkehrbringen, Informationsaustausch, Marktüberwachung

Kapitel X: Verhaltenskodizes und Leitlinien

Kapitel XI: Befugnisübertragungen und Ausschussverfahren

Kapitel XII: Vertraulichkeit und Sanktionen

Kapitel XIII: Schlussbestimmungen

Anhang I: Liste der Harmonisierungsrechtsvorschriften der Union

Anhang II: Liste der Straftatbestände

Anhang III: Hochriskante AI-Systeme

Anhang IV: Technische Dokumentation

Anhang V: EU-Konformitätserklärung

Anhang VI: Konformitätsbewertungsverfahren auf der Grundlage der internen Kontrolle

Anhang VII: Konformität aufgrund der Bewertung des Qualitätsmanagementsystems und der Bewertung der technischen Dokumentation

Anhang VIII: Informationen, die bei der Registrierung von AI-Systemen mit hohem Risiko vorzulegen sind (Artikel 49)

Anhang IX: Informationen, die bei der Registrierung von AI-Systemen mit hohem Risiko vorzulegen sind (Anhang III / Artikel 60)

Anhang X: Rechtsvorschriften der Union über IT-Großsysteme im Raum der Freiheit, der Sicherheit und des Rechts

Anhang XI: Technische Unterlagen gemäß Artikel 53 Absatz 1a

Anhang XII: Transparenzinformationen gemäß Artikel 53 Absatz 1b

Anhang XIII: Kriterien für die Bestimmung von AI-Modellen für allgemeine Zwecke mit systemischem Risiko

Was ist eine Verordnung?

In der EU ist eine Verordnung ein Rechtsakt, der in den Mitgliedstaaten unmittelbare Geltung hat und nicht erst wie eine Richtlinie durch innerstaatliche Gesetze umgesetzt werden muss[2]

Im AI Act versucht die EU, sowohl die Interessen von Unternehmen und staatlichen Behörden, die KI-Systeme innerhalb der EU anbieten und einsetzen, als auch die Grundrechte und Interessen der EU-Bürger und EU-Bürgerinnen, die mit KI-basierten Anwendungen in Berührung kommen, zu berücksichtigen und in Einklang zu bringen.

Gemäß Artikel 2 des AI Acts gelten die Regelungen für alle innerhalb der EU, unabhängig vom Sitz des Betreibers oder dem Ort, wo die KI-basierten Systeme hergestellt oder betrieben werden. Außerdem gelten die Regeln nicht für Systeme, die in der EU entwickelt wurden, aber außerhalb der EU zum Einsatz kommen. Die Verordnung hat keine Gültigkeit für:

  • KI-Systeme, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie z.B. die Zuständigkeiten der einzelnen Mitgliedstaaten im Bereich der nationalen Sicherheit
  • KI-Systeme, wenn diese ausschließlich für militärische, verteidigungspolitische oder nationale Sicherheitszwecke angewendet, betrieben bzw. verändert oder unverändert genutzt werden
  • KI-Systeme, die von ausländischen Behörden oder internationalen Organisationen für die Strafverfolgung und die justizielle Zusammenarbeit eingesetzt werden, sofern sie nicht gegen die Rechte des Einzelnen verstoßen
  • KI-Systeme, die für wissenschaftliche Forschung und Entwicklung eingesetzt werden
  • KI-Systeme, die noch gar nicht auf dem Markt sind
  • Einzelpersonen, die KI-Systeme für persönliche, nicht berufliche Aktivitäten nutzen
  • sowie für KI-Systeme, die unter Open-Source-Lizenzen veröffentlicht werden, außer sie sind hochriskant oder fallen daher unter bestimmte Einschränkungen oder Schutzbestimmungen der Verordnung.[4]

Abbildung: (Quelle: Foto von Igor Omilaev auf Unsplash)

Ein risikobasierter Ansatz zur Bewertung von KI-Systemen

Den Kern der KI-Verordnung bildet die Klassifizierung der KI-Systeme nach Risikoklassen. Dieser risikobasierte Ansatz bewertet die KI-Systeme nach ihrem Risiko für die Sicherheit, Gesundheit und Grundrechte von Menschen. Dabei werden im AI Act vier Risikostufen definiert und voneinander abgegrenzt.[5]

Stufe 1: KI-Verbote - unannehmbares Risiko

In Artikel 5 des zweiten Kapitels werden KI-Systeme aufgezählt, die gemäß der Verordnung ein unannehmbares Risiko darstellen und daher verboten sind. Dazu zählen KI-Systeme, die

  • unterschwellige, manipulative oder täuschende Techniken einsetzen, um Entscheidungen bzw. das Verhalten von Personen gezielt zu manipulieren, wodurch mit hoher Wahrscheinlichkeit ein erheblicher Schaden für die Betroffenen entstehen kann.
  • Schwächen von Personen oder ganzen Personengruppen (z.B. Alter, Behinderungen, sozioökonomische Verhältnisse) nutzen, um ein bestimmtes Verhalten zu bewirken und die daraus entstandenen Schäden bewusst in Kauf nehmen.
  • biometrische Kategorisierungssysteme beinhalten, die Rückschlüsse auf sensible Merkmale wie Rasse, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse/philosophische Überzeugungen oder sexuelle Ausrichtung zulassen. Ausgenommen sind rechtmäßig erworbene biometrische Datensätze wie z.B. Bilder oder die Kategorisierung biometrischer Daten durch die Strafverfolgungsbehörden.
  • zur nachteiligen Bewertung oder Klassifizierung von Personen oder Personengruppen nach Sozialverhalten oder persönlichen Eigenschaften eingesetzt werden.
  • die zur Risikobewertung dienen, um Profile zu erstellen, ob und wie wahrscheinlich natürliche Personen Straftaten begehen werden.
  • die Datenbanken zur Gesichtserkennung aus dem Internet oder aus Aufnahmen der Videoüberwachung erstellen oder erweitern.
  • zum Zweck eingerichtet werden, um Emotionen am Arbeitsplatz oder in Bildungseinrichtungen ableiten zu können, ausgenommen sie werden bewusst aus medizinischen oder Sicherheitsgründen eingesetzt.
  • zum Zweck der Strafverfolgung eine biometrische Fernidentifizierung in Echtzeit in öffentlich zugänglichen Räumen verwenden. Dies gilt nicht für bestimmte Tatbestände, wie die Suche nach vermissten Personen, Entführungsopfern, Opfer von Menschenhandel oder sexueller Ausbeutung, die Verhinderung einer erheblichen und unmittelbaren Bedrohung des Lebens oder eines vorhersehbaren terroristischen Angriffs sowie die Identifizierung von Verdächtigen bei schweren Straftaten.

Stufe 2: KI-Systeme mit hohem Risiko

Die Einstufung von KI-Systemen mit hohem Risiko nimmt einen beträchtlichen Teil der Verordnung ein. Abgesehen von den Artikel 6 bis 27 in den Abschnitten 1 bis 3 des dritten Kapitels, bezieht sich der Anhang I auf die Harmonisierungsrechtsvorschriften der Union, die in Artikel 6 festsetzt, unter welchen Bedingungen ein KI-System mit hohem Risiko eingestuft wird. In Anhang III werden AI-System mit hohem Risiko im Sinne des Artikel 6 Absatz 2 aufgezählt. Demnach sind hochriskante AI-Systeme, wenn sie zu den Bereichen Biometrie, kritische Infrastrukturen, allgemeine und berufliche Bildung, Beschäftigung, Beschäftigung, Arbeitnehmermanagement, Zugang zur Selbstständigkeit, Dienstleistungen, Strafverfolgung, Migration und Justiz zählen. Auch werden Fälle der biometrischen Identitätsprüfung, zur Aufdeckung von Finanzbetrug oder zur Organisation politischer Kampagnen als Ausnahme, genannt.

Für als hoch riskant eingestufte KI-Systeme müssen die Anbieter und Betreiber, gemäß den Artikeln 8 bis 17, umfangreiche Verpflichtungen hinsichtlich Risikomanagement, Daten- und Datenverwaltung, technische Dokumentation, Transparenz, Protokollierung, menschliche Überwachung, Konformitätsbewertung und Cybersicherheit erfüllen. In Folge hat im Zusammenhang mit KI-Systemen zusätzlich auch immer eine Bewertung der Auswirkungen auf  die Grundrechte zu erfolgen.

Stufe 3: KI-Systeme mit spezifischem Risiko und besonderen Transparenzpflichten

Eine weitere Risikoklassifizierung betrifft Anbieter bestimmter KI-Systeme und GPAI-Modelle (GPAI steht für General Purpose AI), die in Artikel 50 zur Transparenz verpflichtet werden und ihre Nutzer über Interaktionen mit KI-Systemen informieren müssen, wie z.B. bei Chatbots oder Deepfakes. Dazu zählen auch biometrische Systeme, sofern sie nicht unter die verbotenen Systeme fallen.

In Artikel 53 enthält der AI Act spezielle Regeln für die Entwicklung und den Einsatz von GPAI-Modellen. Die Anbieter und Entwickler dieser KI-Modelle sind verpflichtet, detaillierte Aufzeichnungen über die Entwicklung und die Tests ihrer KI zu führen. Diese Informationen müssen mit anderen Unternehmen geteilt werden, die diese nutzen wollen. Ausgenommen von dieser Regelung sind KI-Modelle, die quelloffen sind, außer sie stellen ein systemisches Risiko dar. Die Anbieter von GPAI-Modellen verpflichten sich außerdem zur Zusammenarbeit mit der Kommission und den zuständigen nationalen Behörden.

General Purpose AI (GPAI)[6]

Ein GPAI-Modell ist ein KI-Modell, auch wenn es mit einer großen Datenmenge unter Verwendung von Selbstüberwachung in großem Maßstab trainiert wurde, das eine signifikante Allgemeinheit aufweist und in der Lage ist, ein breites Spektrum unterschiedlicher Aufgaben kompetent auszuführen, unabhängig davon, wie das Modell auf den Markt gebracht wird, und das in eine Vielzahl von nachgelagerten Systemen oder Anwendungen integriert werden kann.

Ein GPAI-System ist ein KI-System, das auf einem allgemeinen KI-Modell basiert, das für eine Vielzahl von Zwecken eingesetzt werden kann, sowohl zur direkten Verwendung als auch zur Integration in andere KI-Systeme.

Stufe 4: KI-Systeme mit minimalem Risiko

Die große Mehrheit der KI-Systeme fällt in die vierte Stufe mit dem geringsten Risiko. Diese KI-Anwendungen sind bisher nahezu unreguliert. Hierzu zählen beispielsweise KI-gestützte Videospiele oder Spam-Filter. Anbieter dieser Systeme können sich freiwillig zu Verhaltenskodizes bekennen.

Fristen für das Inkrafttreten der AI Act-Bestimmungen gemäß Artikel 113.7

  • Juni-Juli 2024: Der EU Ai Act wird im Amtsblatt der EU veröffentlicht
  • 20 Tage später nach Veröffentlichung tritt die Verordnung in Kraft
  • 6 Monate später finden Kapitel I und Kapitel II (Verbote von AI) Anwendung
  • 12 Monate später gelten die Kapitel III, Kapitel V, Kapitel VII, Kapitel VII, Kapitel XII
  • 24 Monate später treten die meisten übrigen Bestimmungen in Geltung
  • 36 Monate später gelten Artikel 6 Absatz 1 und die entsprechenden Verpflichtungen

Bei Verstößen drohen Unternehmen empfindliche Geldbußen[8]:

  • Die Bußgelder würden zwischen 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für Verstöße gegen verbotene AI-Anwendungen, 15 Mio. EUR oder 3 % für Verstöße gegen andere Verpflichtungen, und 7,5 Mio. EUR oder 1,5 % für die Übermittlung falscher Informationen liegen.
  • Für KMU und Start-ups sollen bei Verstößen gegen die Verordnung verhältnismäßige Obergrenzen für Bußgelder vorgesehen werden.

Quo Vadis - Künstliche Intelligenz in der EU?

Ähnlich der DSGVO (Datenschutz-Grundverordnung) hat die Europäische Union mit dem EU AI Act wieder ein umfassendes Regelwerk geschaffen, um den Einsatz künstlicher Intelligenz zu regulieren. Die EU möchte damit der rasanten Entwicklung auf dem Gebiet der KI Rechnung tragen und den möglichen Nachteilen und Risiken zuvorkommen und Gefahren entschlossen entgegenwirken. Die getroffenen Beschlüsse sind aber nur der Beginn vieler weiterer Maßnahmen, die aufgrund der künftigen Entwicklungen und damit verbundenen Herausforderungen gesetzt werden müssen. Während die einen über die Initiative der EU zur Regulierung der KI bei gleichzeitigem Schutz der Grundrechte erleichtert und zufrieden sind, sehen andere in der Verordnung ein bereits überholtes Regelwerk, das sich zum Nachteil im globalen Wettbewerb, vor allem mit den USA und China, entwickeln könnte. Trotzdem gehen sowohl Datenschützer und Grundrechtsexperten als auch Vertretern der Wirtschaft die Bestimmungen aus ihrer Sicht nicht weit genug bzw. zu weit. Beide Seiten zweifeln an der Zukunftsfähigkeit der bestehenden Verordnung. Besonders kritisch werden die Fristen gesehen, weil die meisten Regeln erst 2026 in Kraft treten werden. Dies wird dazu führen, dass aufgrund der schnellen Entwicklungen auf dem Gebiet der KI, eine Vielzahl der Regeln schon wieder überholt sein wird.

Die Praxis wird weisen, wo mögliche Schlupflöcher in den Bestimmungen liegen, ob die Risiken hinsichtlich der Wahrung von Grundrechten wirklich minimiert werden können, welche Auswirkungen die Verordnung für Anbieter und Betreiber von KI-Systemen haben werden und wie sich die Rolle Europas im globalen Wettbewerb entwickeln wird.

Quellen und weiterführende Informationen:

[1] Europäische Kommission: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union. COM(2021) 206 final 2021/0106 (COD), Brüssel, den 21.4.2021. In: https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0019.02/DOC_1&format=PDF

[2] Bundeskanzleramt Österreich: https://www.oesterreich.gv.at/lexicon/V/Seite.990040.html

[3,4] EU Artificial Intelligence Act: https://artificialintelligenceact.eu/de/AI Act-explorer/

[5,8] LexisNexis Verlag: Einigung beim EU AI ACT: So soll künstliche Intelligenz reguliert werden. In: https://www.lexisnexis.at/blog-post/einigung-beim-eu-ai-act-so-soll-kuenstliche-intelligenz-reguliert-werden/

[6] EU Artificial Intelligence Act: https://artificialintelligenceact.eu/de/high-level-summary/

[7] EU Artificial Intelligence Act: https://artificialintelligenceact.eu/de/entwicklungen

SEQIS News RSS
Aktuelle Beiträge
Der ultimative Leitfaden für Remote Software Testing
Gefahr im Verzug: Wie unzureichende Tests Ihre Kundenbeziehungen gefährden
Gefahr im Verzug: Die 5 größten Risiken bei unterlassenen Software-Tests
Budgetkiller: Die unsichtbaren Kosten ineffizienter Software-Tests
Warum Ihre Software-Projekte ständig hinter dem Zeitplan liegen
Newsletter

Um neue Beiträge per E-Mail zu erhalten, hier die E-Mail-Adresse eingeben.

Newsletter abonnieren

Unsere Begriffswelt
Unsere Autoren

Informieren Sie sich über unsere Autoren und erfahren Sie mehr über unsere Spezialisten und ihre Fachbereiche:

Zu den Autoren

Sie haben eine Frage?
  • Blog

    • Zurück

    Zum Seitenanfang navigieren