AI Act: Einigung bei Regeln für künstliche Intelligenz

Ein risikobasierter Ansatz für künstliche Intelligenz

Der Vorschlag enthält Regelungen für die Anwendung von KI, die unter anderem davon abhängen, welches Risiko damit jeweils einhergeht (siehe auch AI Act: Zwischen Notwendigkeit und Überregulierung). Der ursprüngliche Vorschlag sah unterschiedliche Risikoabstufungen vor: unannehmbares Risiko, hohes Risiko, geringes Risiko und minimales Risiko.

Der aktuelle Einigungsvorschlag für die KI-Verordnung (KI-VO) sieht Regeln für KI-Modelle mit hoher Auswirkung auf allgemeine Zwecke, die in Zukunft systemische Risiken verursachen können, vor. Und ebenso für KI-Systeme mit hohem Risiko.

So können KI-Systeme mit hohem Risiko für den EU-Markt zugelassen werden. Diese müssen aber einer Reihe von Anforderungen entsprechen und bestimmte Verpflichtungen erfüllen. Diese Anforderungen wurden im Einigungsprozess angepasst. Dabei kann es sich beispielsweise um die Qualität der Daten handeln oder die technische Dokumentation handeln, die von kleinen und mittleren Unternehmen erstellt werden müssen. Damit müssen diese nachweisen, dass ihre KI-Lösungen mit hohem Risiko den Anforderungen entsprechen.

Für Basismodell wurden spezifische Regeln vereinbart. Also für typische, große Systeme, die in der Lage sind, ein breites Spektrum unterschiedlicher Aufgaben zu erledigen. Dabei geht es beispielsweise um die Erzeugung von Texten, Bildern, Videos oder Übersetzungen, oder auch Erzeugung von Programmiercode. All diese Modelle müssen bestimmte Transparenzanforderungen erfüllen, bevor sie auf den EU-Markt kommen dürfen. Eine strengere Regelung wird für „hochwirksame“ Systeme festgelegt. Hier sind Modelle gemeint, die mit großen Datenmengen trainiert werden und deren Komplexität, Fähigkeiten und Leistungen über dem Durchschnitt liegt und die systemische Risiken entlang der Wertschöpfungskette verursachen können.

Für KI-Systeme, die nur ein begrenztes Risiko darstellen, soll es nur überschaubare Transparenzverpflichtungen geben. So beispielsweise die Angabe, dass ein bestimmter Inhalt von einer KI generiert wurde. Dies soll es dem Anwender erlauben über die weitere Nutzung fundierte Entscheidungen zu treffen.

Bestimmte KI-Systeme werden in der EU verboten werden, weil die Risiken in einigen Anwendungen von KI als inakzeptabel eingestuft werden. So wird nach der aktuellen Einigung die kognitive Verhaltensmanipulation, die ungezielte Erfassung von Gesichtsbildern aus dem Internet oder aus Überwachungskameras dazuzählen. Ebenso die Erkennung von Emotionen am Arbeitsplatz oder in Bildungseinrichtungen, das soziale Scoring und die biometrische Kategorisierung zur Ableitung sensibler Daten wie der sexuellen Orientierung oder religiöser Überzeugungen sowie einige Fälle der vorausschauenden Polizeiarbeit für Einzelpersonen.

Aber der Einigungsvorschlag beinhaltet auch Änderungen in Bezug auf Ausnahmen. So ist jetzt ein Notfallverfahren enthalten. Dieses ermöglicht es Strafverfolgungsbehörden, in dringenden Fällen ein KI-Tool mit hohem Risiko einzusetzen, das die Konformitätsbewertungsverfahren nicht bestanden hat. Man habe jedoch Mechanismus eingeführt, der sicherstellen soll, dass die Grundrechte vor Missbrauch durch KI-Systeme geschützt werden.

Verantwortung und Rollen bei der KI

Der Kompromissvorschlag beschäftigt sich auch mit der Verteilung von Verantwortlichkeiten und Rollen der Akteure innerhalb der komplexen Wertschöpfungsketten. Dies bezieht sich insbesondere auf Anwender und Anbieter von KI-Systemen. Darüber hinaus werden die Zuständigkeiten geklärt im Hinblick auf die KI-Verordnung (KI-VO) und anderer Rechtsvorschriften und Verordnungen wie beispielsweise der EU-Datenschutz-Grundverordnung (DSGVO). So gibt es ja gerade beim Datenschutz noch Unklarheiten, siehe auch „Wer für den Datenschutz bei KI verantwortlich sein soll“.

Bußgelder bei Verstößen gegen den AI Act (KI-Verordnung)

Der Kompromissvorschlag sieht ebenfalls Bußgelder für Verstöße gegen den AI Act vor. Diese wurden als Prozentsatz des weltweiten Jahresumsatzes des betreffenden Unternehmens im vorangegangenen Geschäftsjahr oder eines im Voraus bestimmten Betrags festgelegt. Das kennt man so auch bereits von der Datenschutz-Grundverordnung (DSGVO). So bei Verstößen im Hinblick auf die verbotenen KI-Anwendungen 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes vorgesehen. Bei Verstößen gegen die Verpflichtungen des AI Act sieht der Vorschlag 15 Millionen Euro oder drei Prozent des Jahresumsatzes vor. Für die Erteilung falscher Informationen gibt der Kompromiss 7,5 Millionen Euro oder 1,5 Prozent vor. In der vorläufigen Einigung sollen jedoch verhältnismäßige Obergrenzen für kleine und mittlere Unternehmen sowie Startups vorgesehen werden, wenn diese gegen Bestimmungen des AI Acts verstoßen. Der Vorschlag beinhaltet zudem ein überarbeitetes System der Kontrolle mit einigen Durchsetzungsbefugnissen auf EU-Ebene

Wie es mit dem AI Act weitergeht

Nach der aktuellen Einigung auf einen Vorschlag, wird in den kommenden Wochen auf technische Ebene weitergearbeitet. Dabei sollen die Einzelheiten der neuen Verordnung fertiggestellt werden. Wenn diese Arbeiten abgeschlossen sind, wird den Vertretern der Mitgliedsstaaten der Kompromiss zur Billigung vorgelegt. Final muss der Text von den beiden Organen bestätigt werden, bevor er von den Mitgesetzgebern förmlich angenommen wird.

Die vorläufige Einigung sieht vor, dass das KI-Gesetz zwei Jahre nach seinem Inkrafttreten unmittelbar wirksam sein soll, ganz ähnlich wie das bei der Datenschutz-Grundverordnung der Fall war. Für bestimmte Regelungen werden einige Ausnahmen vorgesehen sein.