Inhaltsverzeichnis
- Welche Ziele verfolgt der AI Act?
- Risiko-Klassifizierung von KI-Systemen
- Was bedeutet der AI Act für generative Künstliche Intelligenz wie ChatGPT?
- Auswirkungen auf und Herausforderungen für Unternehmen
- Staatliche Institution: KI-Aufsichtsbehörde
- Fazit – Next Steps AI Act
Welche Ziele verfolgt der AI Act?
Die Initiative, die letztendlich zum AI Act führte wurde bereits 2021 durch die EU-Kommission eingebracht – ein Jahr bevor ChatGPT die Verwendung von K.I. salonfähig und einer breiteren Interessengruppe zugänglich machte.
Definition
Der AI Act ist ein gesetzlicher Rahmen, der darauf abzielt, die Nutzung von KI-Systemen in der Europäischen Union zu regulieren. Er klassifiziert KI-Anwendungen nach ihrem Risikograd und legt entsprechende Anforderungen fest, um Risiken zu minimieren und den Schutz der Grundrechte zu gewährleisten. Er unterstreicht dadurch die Bedeutung von Transparenz, Sicherheit und Verantwortlichkeit im Umgang mit KI-Technologien.
Gleichzeitig formuliert der AI Act folgende Kernanforderungen an K.I.-Systeme:
- Sie sollen sicher sein,
- müssen transparent arbeiten,
- nicht diskriminieren und
- umweltfreundlich sein.
K.I.-Selbstkontrolle dürfe dabei nicht das Maß aller Dinge darstellen, sondern ganz im Gegenteil, es benötige Menschen, die eine Kontrollfunktion übernähmen – so der Gesetzestext der KI-Verordnung. Wobei sich hier die Frage stellt, wie dies bei größeren Datenmengen (Big Data) zu bewerkstelligen wäre.
Veranstaltungsempfehlung
Welche Pflichten auf die Betroffenen des AI Acts jetzt zukommen, erfahren Sie in der 90-minütigen Kurzschulung „EU AI Act: Anforderungen, Auswirkungen und Chancen“. Jetzt anmelden!
Risiko-Klassifizierung von KI-Systemen
Eine der Kernkomponenten des AI Acts ist die Klassifizierung von KI-Systemen basierend auf ihrem potenziellen Risiko für die Wirtschaft und Gesellschaft:
- Unbedenkliche KI: KI-Systeme, die als geringfügig risikobehaftet eingestuft werden, unterliegen minimalen regulatorischen Anforderungen.
- Risiko-KI: Systeme, die bestimmte Risiken bergen, müssen spezifische Transparenz- und Informationspflichten erfüllen.
- Hochrisiko-KI: Für KI-Anwendungen, die ein hohes Risiko darstellen, gelten strenge Vorschriften, einschließlich strenger Prüfungs- und Zertifizierungsprozesse (KRITIS). Unter diese fallen alle K.I.-Systeme, die potenziell die Sicherheit der Grundrechte einschränkt: Das gilt z.B. für alle Produkte, die unter die EU Product Safety Legislation (2001/05/EC) fallen und eine Künstliche Intelligenz Komponente beinhalten.
→ Auch betroffen sind alle K.I.-Anwendungen, die in folgenden Bereichen Anwendung finden:
- Kritische Infrastruktur (KRITIS)
- Erziehungssektor
- Arbeitsleben („Employment, worker management and acess to self-employment“)
- Unterhaltungsbranche, Digitale staatliche Dienste
- Strafverfolgung
- Migration
- Rechtsberatung
- Verbotene KI: Bestimmte Anwendungen, die als unvereinbar mit den Werten der EU angesehen werden, sind gänzlich untersagt, z.B.: Intelligente Gesichtserkennungssysteme, die in anderen Regionen der Welt für Social-Scoring verwendet werden, kognitive Verhaltensmanipulation (sprachgesteuert Anwendungen, die besonders vulnerable Gruppen betreffen).
→ Bei letztem Punkt gibt es aber qua Gesetz Ausnahmen: So soll es der Polizei und den Sicherheitsbehörden zu Strafverfolgung möglich sein, auf Gesichtserkennungsprogramme zurückzugreifen.
Wichtig: Grundsätzlich werden alle K.I.-Anwendungen vor Markteintritt bewertet, bei hochriskanten Systemen findet eine kontinuierliche Überwachung und Prüfung über den gesamten Produktlebenszyklus statt. Gleichzeitig soll es den Endverbrauchern/Nutzern jederzeit möglich sein, Beschwerde bei staatlichen Anlaufstellen einzureichen und somit direkt an der Regulierung entsprechender K.I.-Tools mitzuwirken.
Was bedeutet der AI Act für Generative Künstliche Intelligenz, wie ChatGPT?
Zwar nicht als Höchstrisiko, sondern als „Normalrisiko“ eingestuft, unterliegen die meisten generativen K.I.-Systeme – wie auch ChatGPT – einer Transparenz- und Informationspflicht. Gleichzeitig müssen besonders Large Language Models sich europäischem Urheberrecht beugen.
→ Drei Schlüsselkomponenten sollen Plagiate vermeiden:
- Kennzeichnung jedes gänzlich durch K.I. generierten Inhalts
- Die KI muss so gestaltet sein, dass es nicht zur Erstellung von illegalen Inhalten kommt.
- Veröffentlichungsverzeichnis von urheberrechtlich geschützten Daten, falls diese zum Training verwendet wurden.
→ Seien es Bilder, Audiodaten oder Videos – sie alle müssen, falls sie durch K.I. generiert oder im Nachgang modifiziert wurden, entsprechend gekennzeichnet werden.
Auswirkungen auf und Herausforderungen für Unternehmen
Mit Blick auf die z.T. verhältnismäßig hohen Sanktionen (bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Vorjahresumsatzes bei Verwendung verbotener KI-Anwendungen oder der Ausübung verbotener K.I.-Praktiken) müssen Unternehmen künftig mehr in KI-Compliance investieren.
Zwar wird der hier genannte Fall weniger häufig vorkommen als beispielsweise Verstöße gegen die Transparenz- oder Informationspflicht, die nur mit bis zu 7,5 Mio. Euro oder 1 Prozent des Jahresumsatzes geahndet werden könnten. Auch bleibt die Frage, inwiefern Endverbraucher/Nutzer, die eine entsprechend risikobehaftete KI-Anwendung verwenden, zusätzlich belangt werden könnten. Damit derartige Fragestellungen nicht erst im Problemfall auftreten und zu kostspieligen Komplikationen führen, können sowohl KI-Unternehmen als auch Unternehmen, die KI-Tools in ihre Workflows integriert haben, sich durch folgende Maßnahmen absichern:
- Compliance: Unternehmen müssen sicherstellen, dass ihre KI-Systeme den Anforderungen des AI Acts entsprechen. Dies kann umfangreiche Anpassungen bestehender Systeme erfordern.
- Frühzeitige Investition: Die Einhaltung der Vorschriften kann erhebliche Investitionen in Technologie, Schulung und Zertifizierung nach sich ziehen.
Chancen durch KI-Konformität
- Vertrauensbildung: Durch die Einhaltung des AI Acts und entsprechender Kommunikation können Unternehmen das Vertrauen ihrer Kunden stärken und sich als verantwortungsbewusste Akteure am Markt positionieren.
- Marktvorteile: Unternehmen, die frühzeitig bestimmte Compliance-Standards erreichen, können sich Wettbewerbsvorteile sichern und als Vorreiter in ihrer Branche gelten.
- Förderung „ethischer KI“: Der AI Act bietet eine Chance, ethische Überlegungen in den Mittelpunkt der Produktentwicklung zu stellen, was langfristig zu nachhaltigeren und gesellschaftlich akzeptierten Lösungen führen kann.
→ Für Corporate-KI-Nutzer wird es bei der derzeitigen Formulierung des AI Acts erstmal nur zu einer Bestandaufnahme der verwendeten KI-Lösungen kommen – was eine eigene Risikoeinschätzung beinhalten sollte.
Staatliche Institution: KI-Aufsichtsbehörde
Die K.I.-Verordnung plant eine staatlich-institutionelle Regulierung, deren Etablierung und Ausgestaltung jedem Mitgliedstaat zur Pflicht wird. Als organisationales Element soll jeweils eine nationale Aufsichtsbehörde eingeführt werden. Deren Aufgabe wird es sein, die Anwendung des AI Acts zu überwachen und die Umsetzung zu gewährleisten.
→ Alle nationalen Aufsichtsbehörden werden Teil des EU-Ausschusses „Künstliche Intelligenz“ (AI Office) sein.
Fazit – next steps
Der AI Act markiert einen entscheidenden Moment in der Evolution der KI-Technologie und ihrer Anwendung im Geschäftsumfeld. Für Unternehmen bietet er sowohl Herausforderungen als auch Chancen. Diejenigen, die es verstehen, sich anzupassen und die Prinzipien des AI Acts in ihre Strategien und Operationen zu integrieren, werden nicht nur regulatorische Hürden überwinden, sondern können wirtschaftlich davon profitieren.
Nach der Verabschiedung des europäischen K.I. Gesetzes wird nun im April 2024 der Gesetzestext in alle Amtssprachen der EU übertragen und eine formelle Zustimmung der Mitgliedstaaten eingeholt. Vermutlich wird der AI Act zwischen Mai, Juni, Juli 2024 im Amtsblatt der EU veröffentlicht und tritt 20 Tage später offiziell in Kraft.
Den Mitgliedsstaaten obliegt in der Folge eine 24-monatige Umsetzungsfrist, wobei einzelne Bestandteile des AI Acts bereits vorher greifen:
- 6-Monate nach Veröffentlichung sind alle K.I.-Systeme, die unakzeptable Risiken bergen, verboten.
- Die Regulierung allgemein genutzter K.I.-Anwendung (darunter fallen auch ChatGPT und Co.) bezgl. Transparenz und Informationspflicht ist 12-Monate nach Veröffentlichung rechtskräftig.
- Höchstrisiko-Systeme haben eine Karenzphase von bis zu 36 Monaten.
Quellen: https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02001L0095-20100101, https://www.lto.de/recht/nachrichten/n/kuenstliche-intelligenz-ki-eu-parlament-risiken/, https://www.tagesschau.de/ausland/eu-parlament-ki-gesetz-100.html, https://www.zdf.de/nachrichten/politik/ausland/ai-act-ki-eu-parlament-gesetz-100.html