Die EU und der AI-Act: Ein Leitfaden zu den Kerninhalten

Die EU hat den weltweit ersten Rechtsrahmen für künstliche Intelligenz (KI) auf dem europäischen Markt geschaffen.

Der Einsatz von KI kann viele Vorteile bringen: Die Verbesserung von Prognosen, die Optimierung von Prozessen und Ressourcenallokation sowie die Personalisierung von Dienstleistungen. Insbesondere in gesellschaftlich relevanten Bereichen wie Umweltschutz, europäische Wettbewerbsfähigkeit, Gesundheit, Landwirtschaft, Justiz und Strafverfolgung kann KI einen positiven Unterschied machen.

Im gleichen Atemzug bergen die neuen technischen Fortschritte auch Risiken des Missbrauchs und Nachteile für den Einzelnen und die Gesellschaft. Vor dem Hintergrund des „rasanten Wandels und möglichen Herausforderungen [der KI-Systeme] ist die EU entschlossen, einen ausgewogenen Ansatz zu erreichen“.

Was möchte die EU mit den neuen Regulierungsvorschlägen erzielen?

Die Europäische Kommission führt in Ihrem Legislativvorschlag aus, dass es Ziel sei „die technische Führungsrolle der EU auszubauen und dafür zu sorgen, dass die Europäer:innen von den im Einklang mit den Werten, Grundrechten und Prinzipien der Union entwickelten und funktionierenden neuen Technologien profitieren können“ (COM/2021/206 final S. 1).

Im Klartext: Die EU ist keineswegs gegen die Einführung von KI-Systemen auf dem europäischen Markt. Vielmehr ist sie bestrebt, Innovationsfreiheit und -förderung zu gewährleisten, die Risiken von KI-Systemen zu begrenzen und Transparenz und Vertrauen in die Nutzung für die Nutzer zu schaffen.

Welche Risiken befürchtet die EU auf dem europäischen Markt für die Nutzer durch KI-basierte Produkte und Systeme?

Zum einen will die EU durch eine einheitliche Regelung der Fragmentierung des EU-Rechts im Hinblick auf den europaweiten Einsatz von KI vorbeugen. Um einen funktionierenden Binnenmarkt für KI-Systeme zu gewährleisten, sei ein einheitlicher Rechtsrahmen unabdingbar. Würde jeder Staat seine eigenen Vorschriften erlassen, bestünde die Gefahr, dass einerseits die Nutzer keine ausreichenden Rechtsmittel gegen Eingriffe in ihre Rechte hätten und andererseits die Anbieter ihre Produkte aufgrund nationaler Vorschriften nicht oder nur eingeschränkt grenzüberschreitend vertreiben könnten. Darunter würden die Effizienz des europäischen Marktes und der individuelle Rechtsschutz leiden.

Zudem möchte man die Ethikgrundsätze, Grundrechte und Werte der EU flächendeckend schützen. Man strebt „ein hohes Niveau in Bezug auf Datenschutz, digitale Rechte und ethische Standards“ (COM/2021/206 final S. 2) mit den neuen Regulierungen an.

Die EU sieht insbesondere biometrische (Echtzeit-) Fernidentifizierungssysteme im öffentlichen Raum als überdurchschnittlich kritisch an. Diese Systeme bieten die Möglichkeit, Personen über ein externes Gerät mittels datengetriebener KI-Systeme anhand von Gesichtserkennung, Hautfarbe, Tätowierungen etc. zu identifizieren. Insbesondere im Bereich der Strafverfolgung werden solche Systeme häufig eingesetzt. Die EU erkennt das positive Potenzial solcher Systeme an, stuft sie aber als hochriskant ein und sieht besondere Regelungen für ihren Einsatz vor. Gerade vor dem Hintergrund von Rechten und Freiheiten wie Gleichbehandlung, Versammlungsfreiheit, Schutz der Privatsphäre sind solche Praktiken mit besonderen Sicherheitsmaßnahmen verbunden.

Wie möchte die EU diesen Rechtsrahmen umsetzen?

Die EU hat sich für einen risikobasierten Ansatz zur Umsetzung der Regulierung entschieden, der auch als Option 3+ bezeichnet wird. Die EU selbst beschreibt diese Umsetzung als „ein horizontales EU-Rechtsinstrument auf der Grundlage der Verhältnismäßigkeit und eines risikobasierten Ansatzes, ergänzt durch einen Verhaltenskodex für KI-Systeme, die kein hohes Risiko darstellen“ (COM/2021/206 final S. 11).

Im Klartext: Die EU teilt KI-Systeme in verschiedene Risikogruppen ein. Nur für Hochrisiko-KI-Systeme soll es einen Rechtsrahmen geben und für alle Anbieter von KI-Systemen, die kein hohes Risiko darstellen, die Möglichkeit, sich einem Verhaltenskodex zu unterwerfen. Die Anforderungen an Hochrisikosysteme werden sich auf Daten, Dokumentation, Rückverfolgbarkeit, Bereitstellung von Informationen, Transparenz, menschliche Aufsicht, Robustheit und Genauigkeit beziehen.

Wie ist das Gesetz über künstliche Intelligenz aufgebaut und was sieht es konkret vor?

Die Regelungen sehen einen risikobasierten Ansatz vor, bei dem Systeme und Produkte je nach „Gefährdungsgrad“ der KI bzw. ihres Einsatzzwecks kategorisiert werden. Daraus ergeben sich Rechte und Pflichten für die Betreiber. KI-Systeme, die Nutzerinnen und Nutzer in „unannehmbarer Weise“ gefährden, sollen verboten werden. Folgende Kategorien werden aufgeführt.

Verbotene KI-Anwendungen (mit unannehmbarem Risiko)

Verboten gelten KI-Anwendungen, wenn sie in die Privatsphäre eingreifen oder diskriminieren. Geht ein unannehmbares Risiko von einer KI-Anwendung aus, die eine Bedrohung für den Menschen darstellt, insbesondere für Kinder, werden diese unter dem AI-Act verboten.

Solches gilt für:

Biometrische Fernidentifizierungssysteme, die ermöglichen Personen in Echtzeit oder nicht bedeutend nachträglich in öffentlichen Räumen zu identifizieren.

Social-Scoring“-Systeme, durch biometrische Kategorisierung sensibler Merkmale (Geschlecht, Religion, politische Orientierung, Staatsbürgerschaft, Rasse, ethnische Zugehörigkeit, sozioökonomischen Status, Persönlichkeitsmerkmale).

Profilerstellung bei präventiver Polizeiarbeit (arbeiten mit Standortermittlung aufgrund früheren kriminellen Verhaltens, Berücksichtigung von akutem Gefahrenpotenzial).

Emotionen-Erkennungssysteme (in Bereichen der Bildung, am Arbeitsplatz, beim Grenzschutz und der Strafverfolgung).

Gesichtserkennungsdatenbanken (ungezieltes Verarbeiten von Gesichtsbildern aus dem Internet oder Überwachungsmaterial)

Kognitive Verhaltensmanipulation von Personen oder bestimmten gefährdeten Gruppen (zum Beispiel sprachgesteuertes Spielzeug, was gefährliches Verhalten bei Kindern fördert).

Hochrisiko-KI-Systeme

Geht von einer KI-Anwendung ein hohes Risiko für die Gesundheit, die Sicherheit oder die Grundrechte natürlicher Personen aus, so fällt diese Anwendung in die Hochrisikogruppe.

Solche sind:

Systemanwendungen, die in Produkte integriert werden, die den Produktsicherheitsvorschriften der EU zugeordnet werden können (Zum Beispiel: Fahrzeuge, Luftfahrt, medizinische Geräte oder Spielzeug).

Systemanwendungen, die in acht Unterkategorien fallen und einer Registrierungspflicht in der EU-Datenbank unterliegen:

• Verwaltung und Betrieb von kritischen Infrastrukturen
• Allgemeine und berufliche Bildung
• Biometrische Identifizierung und Kategorisierung von Personen
• Beschäftigung, Verwaltung der Arbeitnehmer und Zugang zur Selbstständigkeit
• Strafverfolgung
• Zugang zu wesentlich privaten und öffentlichen Leistungen
• Auslegung und Anwendung von Gesetzen
• Grenzkontrollen, Verwaltung von Migration und Asylanträgen

Generative KI-Anwendungen

Dies sind Anwendungen, die Texte, Bilder oder andere Medien erzeugen können. Diese sind gesetzlich verpflichtet,

• offenzulegen, dass die generierten Inhalte von KI erstellt wurden;
• sicherzustellen, dass die Erzeugung rechtswidriger Inhalte verhindert wird und
• die urheberrechtlich geschützten Daten, die für das KI-Training verwendet wurden, zu veröffentlichen.

KI-Anwendungen mit begrenztem Risiko

Wenn KI-Anwendungen ein minimales, vorhersehbares und begrenztes Risiko für ihre Nutzer darstellen, müssen sie nur geringe Transparenzanforderungen erfüllen. Die Nutzer müssen durch die Interaktion mit dem System in die Lage versetzt werden, informiert und selbstbestimmt zu entscheiden, ob sie die Anwendung weiter nutzen wollen. Darüber hinaus müssen die Betreiber die Nutzer darauf hinweisen, dass sie mit einer KI interagieren. Unternehmen können für eine solche Anwendung einen Verhaltenskodex aufstellen, an den sie sich halten wollen.

Durchführung und Überwachung der Regulatorien des AI-Acts

Die EU plant die Einrichtung einer EU-weiten öffentlichen Datenbank, in der sich jeder Betreiber einer Hochrisiko-KI-Anwendung registrieren muss. Diese Datenbank wird es zuständigen Behörden, Nutzern und anderen interessierten Parteien ermöglichen, zu überprüfen, ob ein bestimmtes Hochrisiko-KI-System die Anforderungen des AI-Acts erfüllt. KI-Anbieter werden verpflichtet, bei der Registrierung in der Datenbank aussagekräftige Informationen über ihre Systeme und deren Konformitätsbewertung zur Verfügung zu stellen.

Darüber hinaus werden die Betreiber verpflichtet, die zuständigen nationalen Behörden über schwerwiegende Vorfälle oder Fehlfunktionen, die eine Verletzung der Pflicht zur Wahrung der Grundrechte darstellen, sowie über Rückrufe vom Markt zu informieren. Die nationalen Behörden werden für die Untersuchung dieser Vorkommnisse zuständig sein und alle Daten an die Kommission weiterleiten, die eine entsprechende Analyse vornehmen wird.

Aktueller Stand des Gesetzgebungsverfahrens

Bereits im April 2021 hat die Europäische Kommission den ersten europäischen Rechtsrahmen für KI-Anwendungen vorgeschlagen. Am 14. Juni 2023 haben die Abgeordneten des Europäischen Parlaments ihre Verhandlungsposition zum KI-Gesetz verabschiedet. Anschließend beginnen die Verhandlungen mit den EU-Mitgliedstaaten im Europäischen Rat über die endgültige Ausgestaltung des EU AI-Acts. Gemeinsames Ziel ist es, bis Ende des Kalenderjahres 2023 eine Einigung über den AI-Act zu erzielen.