KI-Gesetz: Erste Regulierung der Künstlichen Intelligenz
Als Teil ihrer digitalen Strategie will die EU künstliche Intelligenz (KI) regulieren, um bessere Bedingungen für die Entwicklung und Nutzung dieser innovativen Technologie zu schaffen. KI kann viele Vorteile mit sich bringen, zum Beispiel eine bessere Gesundheitsfürsorge, einen sichereren und saubereren Verkehr, eine effizientere Fertigung sowie eine billigere und nachhaltigere Energieversorgung.
Die neuen Regeln zielen darauf ab, Grundrechte, Demokratie und Rechtsstaatlichkeit sowie ökologische Nachhaltigkeit vor Hochrisiko-KI-Systemen zu schützen. Gleichzeitig sollen sie Innovationen ankurbeln und dafür sorgen, dass die EU in diesem Bereich eine Führungsrolle einnimmt. Die Verordnung legt bestimmte Verpflichtungen für KI-Systeme fest, abhängig von den jeweiligen möglichen Risiken und Auswirkungen.
EU verabschiedet wegweisende Regeln:
- Garantien für künstliche Intelligenz mit allgemeinem Verwendungszweck
- Beschränkung der Nutzung von biometrischen Fernidentifizierungssystemen durch Strafverfolgungsbehörden
- Verbot des Einsatzes von KI, um soziales Verhalten zu bewerten, Menschen zu beeinflussen oder ihre Schwächen auszunutzen
- Verbraucherrecht auf Einreichen von Beschwerden und auf aussagekräftige Erklärungen
Verbotene Anwendungen
Die neuen Vorschriften verbieten bestimmte KI-Anwendungen, die die Rechte der Bürgerinnen und Bürger bedrohen. Dazu zählen unter anderem die biometrische Kategorisierung auf der Grundlage sensibler Merkmale und das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungskameras für Gesichtserkennungsdatenbanken.
Ebenfalls verboten sind künftig Emotionserkennungssysteme am Arbeitsplatz und in Schulen sowie das Bewerten von sozialem Verhalten mit KI. Auch vorausschauende Polizeiarbeit, die einzig auf der Profilerstellung oder der Bewertung von Merkmalen einer Person beruht, und der Einsatz von künstlicher Intelligenz, um das Verhalten von Menschen zu beeinflussen oder ihre Schwächen auszunutzen, ist nach den neuen Regeln nicht erlaubt.
Ausnahmen für Strafverfolgungsbehörden
Grundsätzlich ist die Nutzung von biometrischen Fernidentifizierungssystemen durch Strafverfolgungsbehörden verboten. Es gibt jedoch bestimmte ausführlich beschriebene und eng abgegrenzte Ausnahmefälle.
Fernidentifizierung in Echtzeit ist nur dann erlaubt, wenn strenge Sicherheitsbestimmungen eingehalten werden – unter anderem gibt es zeitliche und räumliche Beschränkungen, und es muss vorab eine spezielle behördliche oder gerichtliche Genehmigung eingeholt werden. Entsprechende Systeme dürfen beispielsweise genutzt werden, um gezielt nach einer vermissten Person zu suchen oder einen Terroranschlag zu verhindern.
Der Einsatz von KI-Systemen zur nachträglichen Fernidentifizierung gilt als hochriskant. Hierfür ist eine gerichtliche Genehmigung nötig, die mit einer Straftat in Verbindung stehen muss.
Verpflichtungen für Hochrisiko-KI-Systeme
Auch für andere Hochrisiko-KI-Systeme sind bestimmte Verpflichtungen vorgesehen, denn sie können eine erhebliche Gefahr für Gesundheit, Sicherheit, Grundrechte, die Umwelt, Demokratie und den Rechtsstaat darstellen.
- Als hochriskant werden unter anderem KI-Systeme eingestuft, die in den Bereichen kritische Infrastruktur, allgemeine und berufliche Bildung oder Beschäftigung eingesetzt werden. Auch KI-Systeme, die für grundlegende private und öffentliche Dienstleistungen – etwa im Gesundheits- oder Bankwesen –, in bestimmten Bereichen der Strafverfolgung sowie im Zusammenhang mit Migration und Grenzmanagement, Justiz und demokratischen Prozessen (zum Beispiel zur Beeinflussung von Wahlen) genutzt werden, gelten als hochriskant.
- Solche Systeme müssen Risiken bewerten und verringern, Nutzungsprotokolle führen, transparent und genau sein und von Menschen beaufsichtigt werden. Die Bevölkerung hat künftig das Recht, Beschwerden über KI-Systeme einzureichen und Entscheidungen erklärt zu bekommen, die auf der Grundlage hochriskanter KI-Systeme getroffen wurden und ihre Rechte beeinträchtigen.
Hochrisiko-KI-Systeme gemäß Artikel 6 Absatz 2 des KI Acts
Als Hochrisiko-KI-Systeme gemäß Artikel 6 Absatz 2 gelten KI-Systeme in den folgenden Bereichen:
-
Biometrische Identifizierung und Kategorisierung natürlicher Personen:
- Echtzeit- und nachträgliche biometrische Fernidentifizierung
-
Verwaltung und Betrieb kritischer Infrastrukturen:
- Sicherheitskomponenten im Straßenverkehr und in der Wasser-, Gas-, Wärme- und Stromversorgung.
-
Allgemeine und berufliche Bildung:
- Entscheidungen über Zugang oder Zuweisung zu Bildungseinrichtungen.
- Bewertung von Schülern und Teilnehmern an Zulassungstests.
-
Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit:
- Einstellung, Auswahl, Beförderung, Kündigung und Leistungsbewertung von Mitarbeitern.
-
Zugänglichkeit und Inanspruchnahme grundlegender privater und öffentlicher Dienste und Leistungen:
- Beurteilung des Anspruchs auf öffentliche Unterstützungsleistungen.
- Kreditwürdigkeitsprüfung und Kreditpunktebewertung.
- Einsatzpriorisierung von Not- und Rettungsdiensten.
-
Strafverfolgung:
- Risikobewertungen, Lügendetektoren, Ermittlung des emotionalen Zustands.
- Aufdeckung von Deepfakes und Bewertung der Verlässlichkeit von Beweismitteln.
- Vorhersage von Straftaten und Erstellung von Profilen.
- Kriminalanalyse durch die Suche in großen Datensätzen.
-
Migration, Asyl und Grenzkontrolle:
- Lügendetektoren und Ermittlung des emotionalen Zustands.
- Bewertung von Sicherheits-, Einwanderungs- und Gesundheitsrisiken.
- Überprüfung der Echtheit von Reisedokumenten.
- Unterstützung bei der Prüfung von Asyl- und Visumanträgen.
-
Rechtspflege und demokratische Prozesse:
- Unterstützung bei der Ermittlung und Auslegung von Sachverhalten und Rechtsvorschriften.
Transparenzanforderungen
Generative Foundation-Modelle wie ChatGPT werden nicht als risikoreich eingestuft, müssen aber Transparenzanforderungen und das EU-Urheberrecht erfüllen:
- Offenlegung, dass der Inhalt durch KI generiert wurde.
- Gestaltung des Modells, um zu verhindern, dass es illegale Inhalte erzeugt.
- Veröffentlichung von Zusammenfassungen urheberrechtlich geschützter Daten, die für das Training verwendet wurden.
KI-Systeme mit allgemeinem Verwendungszweck und die Modelle, auf denen sie beruhen, müssen bestimmte Transparenzanforderungen erfüllen, darunter die Einhaltung des EU-Urheberrechts und die Veröffentlichung detaillierter Zusammenfassungen der für das Training verwendeten Inhalte. Für die leistungsfähigeren Modelle, die systemische Risiken bergen könnten, gelten künftig zusätzliche Anforderungen – etwa müssen Modellbewertungen durchgeführt, systemische Risiken bewertet und gemindert und Vorfälle gemeldet werden.
Inhalte, die mit Hilfe von KI erzeugt oder verändert wurden – Bilder, Audio- oder Videodateien (z.B. Deepfakes) – müssen eindeutig als KI-generiert gekennzeichnet werden, damit die Nutzer wissen, wenn sie auf solche Inhalte stoßen.
EU-KONFORMITÄTSERKLÄRUNG
Die EU-Konformitätserklärung gemäß Artikel 48 enthält alle folgenden Angaben:
- Name und Art des KI-Systems und etwaige zusätzliche eindeutige Angaben, die die Identifizierung und Rückverfolgbarkeit des KI-Systems ermöglichen;
- Name und Anschrift des Anbieters und gegebenenfalls seines Bevollmächtigten:
- Erklärung darüber, dass der Anbieter die alleinige Verantwortung für die Ausstellung der EU-Konformitätserklärung trägt;
- Versicherung, dass das betreffende KI-System der vorliegenden Verordnung sowie gegebenenfalls weiteren einschlägigen Rechtsvorschriften der Union, in denen die Ausstellung einer EU-Konformitätserklärung vorgesehen ist, entspricht;
- Verweise auf die verwendeten einschlägigen harmonisierten Normen oder sonstigen gemeinsamen Spezifikationen, für die die Konformität erklärt wird;
- gegebenenfalls Name und Kennnummer der notifizierten Stelle, Beschreibung des durchgeführten Konformitätsbewertungsverfahrens und Kennnummer der ausgestellten Bescheinigung;
- Ort und Datum der Ausstellung der Erklärung, Name und Funktion des Unterzeichners sowie Angabe, für wen und in wessen Namen diese Person unterzeichnet hat, Unterschrift.
Maßnahmen zur Förderung von Innovationen und KMU
In den Mitgliedstaaten müssen Reallabore eingerichtet und Tests unter realen Bedingungen durchgeführt werden. Diese müssen für kleine und mittlere Unternehmen sowie für Start-ups zugänglich sein, damit sie innovative KI-Systeme entwickeln und trainieren können, bevor sie auf den Markt kommen.
Nächste Schritte
Im März 2024 verabschiedete das Parlament das Gesetz über künstliche Intelligenz. Es wird 24 Monate nach seinem Inkrafttreten in vollem Umfang anwendbar sein. Einige Teile werden jedoch schon früher anwendbar sein:
- Das Verbot von KI-Systemen, die unannehmbare Risiken darstellen, wird sechs Monate nach Inkrafttreten gelten.
- Die Verhaltenskodizes werden neun Monate nach Inkrafttreten gelten.
- Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck, die den Transparenzanforderungen genügen müssen, gelten zwölf Monate nach Inkrafttreten.
- Systeme mit hohem Risiko werden mehr Zeit haben, um die Anforderungen zu erfüllen; die sie betreffenden Verpflichtungen werden 36 Monate nach dem Inkrafttreten gelten.