Europäisches Parlament verabschiedet das erste KI-Gesetz

Einführung einer vertrauenswürdigen Künstlichen Intelligenz (KI) fördern

Mit dem Artificial Intelligence Act (AI Act) legt die Europäische Union als weltweiter Vorreiter feste Regeln für die Entwicklung und Nutzung von Künstlicher Intelligenz (KI) fest. Das KI-Gesetz soll allen Bürgern und Unternehmen in der EU mithilfe „harmonisierter Vorschriften für das Inverkehrbringen, die Inbetriebnahme und die Nutzung von Systemen der KI“ Sicherheit sowie Schutz von Grundrechten und ethischen Grundsätzen gewährleisten.

Bislang wird für die Regulierung von KI im europäischen Raum die Datenschutz-Grundverordnung (DSGVO) genutzt.

Ein langer Weg

Die ersten Überlegungen zum KI-Gesetz starteten bereits im April 2021. Vorgelegt wurde der erste Vorschlag damals von der Europäischen Kommission.¹ Fast drei Jahre später steht das Gesetz kurz vor dem Inkrafttreten. Nach einigen grundlegenden Änderungen und Abstimmungen hat das Europäische Parlament am 13. März 2024 über den AI Act abgestimmt und diesen angenommen.

KI-Gesetz – Einordnung in Risikoklassen

KI-Modelle, die im europäischen Raum auf den Markt kommen sollen, müssen von der Behörde für Marktüberwachung geprüft, bewertet und in eine entsprechende Risikoklasse eingeteilt werden. Je nach Risikoklasse unterliegen sie unterschiedlichen, fest definierten Anforderunge und Auflagen. Je höher das Risiko, desto strenger die Auflagen.

Dabei wird in vier Klassen unterschieden:

inakzeptables Risiko
hohes Risiko
begrenztes Risiko
minimales Risiko

Stellt ein KI-System ein inakzeptables Risiko dar, z.B. bei Verstößen gegen die etischen Grundsätzen der EU, ist es für die Anwendung in der europäischen Union verboten. Dies gilt z.B. für das „Social Scoring“.² Dabei werden biometrische Daten natürlicher Personen gesammelt und nach Verhaltenskategorien eingeteilt, je nach politischer oder religiöser Ausrichtung, sexueller Orientierung, Rasse und Hautfarbe oder dem Verhalten.³

Aufgehoben wird dieses Verbot allerdings in Bezug auf Strafverfolgung. Hierbei ist im KI-Gesetz vermerkt, dass biometrischen Daten aus öffentlich zugänglichen Räumen genutzt werden können, um konkrete Personen, die im Zusammenhang mit einer schweren Straftat stehen (z.B. Entführung oder Handel mit Menschen), zu identifizieren.³

Eine Einstufung als hochriskant stellt für Unternehmen laut KI-Gesetz besondere Anforderungen dar: Werden Anwendungen als dieses eingestuft, muss ein umfassendes Qualitäts- und Risikomanagement eingerichtet werden, um Vorgänge, Datenqualitäten und Transparenz dokumentieren und nachweisen zu können.⁴

KI-Systeme, die kein erhebliches Risiko für die Gesundheit, die Sicherheit oder die Grundrechte darstellen, werden als nicht hochriskant eingestuft. Hierzu zählen z.B. Systeme, die eine eng verfahrenstechnische Aufgabe ausführen, Ergebnisse von vorher menschlich ausgeführten Tätigkeiten verbessern oder Entscheidungsmuster oder Abweichungen von früheren Entscheidungsmustern erkennen.⁵

Transparenzverpflichtung

Das KI-Gesetz verpflichtet die Anwender und Nutzer von KI-Systemen, erstellte Bild- Audio- oder Videoinhalte, die mithilfe von Künstlicher Intelligenz generiert oder manipuliert wurden, entsprechend als diese zu „kennzeichnen und ihren künstlichen Ursprung offen(zu)legen“. Somit soll verhindert werden, dass „Deep Fakes“ als authentische Inhalte wahrgenommen werden.⁶

Status Quo des KI-Gesetz

Um die Durchführung des Gesetzes zu unterstützen, wurde bereits am 21. Februar 2024 das Europäische Büro für Künstliche Intelligenz (Europäisches AI-Büro) eingerichtet.⁷ Es ist unter anderem befugt, allgemein KI-Modelle zu bewerten, Informationen von den Anbietern einzuholen und Sanktionen zu verhängen, wenn die Regeln des KI-Gesetzes nicht eingehalten werden.⁸

Die nächsten Schritte

Der Text des KI-Gesetz wird aktuell förmlich angenommen und für die einzelnen Mitgliedsländer der EU übersetzt.
Das Gesetz tritt 20 Tage nach der Veröffentlichung im Amtsblatt der Europäischen Union in Kraft und muss binnen zwei Jahren uneingeschränkt angewendet sein.⁹