Einigung auf KI-Gesetz

Die EU hat sich auf das weltweit erste KI-Gesetz geeinigt. Nach zwei Jahren der Verhandlung einigten sich die europäischen Gesetzgeber, das EU-Parlament und der Europa-Rat am 08. Dezember auf eine finale Fassung. Das KI-Gesetz (engl. AI Act) soll sowohl die öffentliche Sicherheit und die Rechte Einzelner als auch technische und gesellschaftliche Innovationen absichern. Zusätzlich soll eine neue Behörde die EU-weite Einhaltung des Gesetzes überwachen.

Der Umfang des KI-Gesetzes

Das Gesetz trifft eine technologieneutrale, einheitliche Definition für KI (Artikel 3 Nr. 1 AIA). Künftig bezeichnet Künstliche Intelligenz „eine Software, die mit [bestimmten][…] Techniken und Konzepten entwickelt worden ist und im Hinblick auf die Erreichung von Zielen, die von Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren.“

Die genauen Softwaresysteme werden in Anhang I aufgeführt und umfassen

• Konzepte des maschinellen Lernens einschließlich des beaufsichtigten, unbeaufsichtigten und bestärkenden Lernens unter Verwendung vielfältiger Methoden, einschließlich des „Deep Learnings“ (Abbildung eines neuronalen Netzwerkes),
• Logik- und wissensgestützte Konzepte einschließlich induktiver (logischer) Programmierung, Wissensgrundlagen, Inferenz- und Deduktionsmaschinen, (symbolischer) Schlussfolgerungs- und Expertensysteme (Maschinenlernen durch logische Verknüpfung),
• statistische Ansätze, Bayessche Schätz-, Such- und Optimierungsmethoden.

Durch diese Regelung soll das Gesetz möglichst flexibel und übersichtlich auf die technische Entwicklung reagieren können.

Die neuen Vorschriften sollen Transparenz entlang der Wertschöpfungskette garantieren. Kritische Einsatzbereiche von KI werden sicherer gestaltet. Konkrete Verhaltenskodizes für die jeweiligen Systeme werden von der EU-Kommission gemeinsam mit der Industrie, der Wissenschaft, der Zivilgesellschaft und anderen Interessengruppen erarbeitet.

Risikobasierter Ansatz für KI-Gesetz

KI-Systeme sollen durch Menschen statt durch Automatisierung überwacht werden, um schädliche Ergebnisse zu verhindern. Das Maß der Regulierung hängt dabei vom Risiko des jeweiligen Systems ab. Dieser risikobasierte Ansatz unterscheidet zwischen

• KI-Systeme ohne besonderes Risiko,
• KI-Systeme mit mittlerem Risiko,
• Hochrisiko-KI-Systeme,
• KI-Systeme mit unannehmbarem Risiko.

Kein besonderes oder niedriges Risiko

Unter Anwendungen mit minimalem bis keinem Risiko fallen etwa KI-gestützte Empfehlungssysteme oder Spam-Filter, da diese kein oder kaum ein Risiko für die Rechte oder die Sicherheit Einzelner darstellen. Die große Mehrheit der KI-Systeme fällt in diese Kategorie. Systeme mit niedrigem Risiko erhalten einen Freipass und es gibt keine Verpflichtungen. Anbieter können jedoch freiwillige Verhaltenskodizes befolgen.

Mittleres Risiko – Spezifische Transparenz

Für Systeme mit mittlerem Risiko gelten künftig in erster Linie Informationspflichten. Nutzer sollen sich unmissverständlich bewusst sein, dass sie mit einer Maschine interagieren, z. B. beim Einsatz eines Chatbots wie ChatGPT. KI-generierte Inhalte (Audio, Video, Text und Bild) müssen sowohl erkennbar für Menschen als auch in einem maschinenlesbaren Format als künstlich erzeugt oder manipuliert gekennzeichnet werden.

Hochrisiko-KI-Systeme und kritische Infrastruktur

Hochrisiko-KI-Systeme kommen z. B. in autonomen Fahrzeugen oder medizinischen Geräten zum Einsatz und haben so direkten Einfluss auf die Gesundheit, Sicherheit oder die Grundrechte Einzelner. Aus diesem Grund gelten strenge Anforderungen wie ein Risikomanagement, qualitativ hochwertige Datensätze, die Protokollierung von Aktivitäten, eine ausführliche Technische Dokumentation, klare Benutzerinformationen, kontinuierliche menschliche Aufsicht und ein hohes Maß an Robustheit, Genauigkeit und Cybersicherheit. Zusätzlich gelten Regelungen für Trainings-, Validierungs- und Testdatensätze für die KI sowie klare Transparenzbestimmungen.

In der Praxis finden sich Hochrisiko-KI-Systeme in kritischen Infrastrukturen wie Wasser- und Energieversorgung, beim Betrieb medizinischer Geräte, in der Verarbeitung von persönlichen Daten (z. B. Bewerbungsportale) sowie bei juristischen und demokratischen Prozessen.

Um als Hochrisiko-KI-Systeme eingestuft zu werden, müssen zwei Bedingungen erfüllt sein (Artikel 6 AIA):

1. Das KI-System selbst oder als Sicherheitskomponente eines Produktes fällt unter eine der in Anhang II AIA aufgezählten Vorschriften (z. B. Maschinenrichtlinie 2006/42/EG, Funkanlagenrichtlinie 2014/53/EU, usw.).
2. Das KI-System selbst oder als Sicherheitskomponente eines Produktes muss einer Konformitätsbewertung durch Dritte nach Anhang II AIA (Art. 6 Abs. 1 b) AIA den Vorschriften unterzogen werden.

In Anhang III AIA aufgeführte Systeme werden generell als Hochrisiko-Systeme eingestuft. Dabei handelt es sich etwa um biometrische Identifizierungs-, Kategorisierungs- und Emotionserkennungssysteme (z. B. Gesichtserkennung).

Unannehmbares Risiko

KI-Systeme, die eine Bedrohung für Menschen darstellen und die Grundwerte der EU verletzen, gelten als ein unannehmbares Risiko und werden verboten (Absatz 5.2.2. AIA). Diese sind

• Systeme und Anwendungen zur kognitiven Verhaltensmanipulation von Personen oder bestimmten gefährdeten Gruppen (z. B. Spielzeug mit Sprachassistenz, das gefährliches Verhalten von Minderjährigen fördert),
• „Social Scoring“-Anwendungen durch Regierungen oder Unternehmen,
• anlasslose biometrische Echtzeit-Fernidentifizierungssysteme, zum Beispiel Gesichtserkennung (mit gerichtlicher Genehmigung bei der Ermittlung schwerer Straftaten nachträglich möglich).

Neues Office für Künstliche Intelligenz

Für eine einheitliche Einhaltung und Koordination der neuen Vorschriften auf EU-Ebene wird das Amt für Künstliche Intelligenz (AI-Office) eingerichtet. Die Behörde soll als weltweit erste ihrer Art ein internationaler Bezugspunkt werden. Zusätzlich soll ein unabhängiges wissenschaftliches Gremium Warnungen zu systemischen Risiken herausgeben und zur Klassifizierung von KI-Modellen beitragen.

Auf nationaler Ebene unterliegt die Umsetzung und Kontrolle des AI-Acts der jeweiligen Marktaufsichtsbehörde. Alle KI-Systeme, auch solche mit niedrigem Risiko, müssen bewertet werden. Die Bewertungen führen die Anwender selbst durch. Bei Nichteinhalten der Vorschriften müssen Unternehmen mit einer Geldstrafe rechnen.

KI-Pakt für die Übergangszeit

Sobald das Gesetz vom Europäischen Parlament und Europäischen Rat formell genehmigt wurde, tritt eine Übergangsfrist bis zur vollen Anwendung in Kraft. Für diese Übergangszeit will die EU-Kommission einen KI-Pakt („AI-pact“) gründen. In dessen Rahmen sollen KI-Entwickler und Experten aus der ganzen Welt zusammenarbeiten, um die wichtigsten Verpflichtungen des KI-Gesetzes bereits vor Ablauf der gesetzlichen Fristen auf freiwilliger Basis umzusetzen. Hintergrund ist der rasche technische Fortschritt bei der Einführung generativer und universeller KI-Systeme, der aus Sicht der Kommission akute Maßnahmen notwendig macht.

Weitere Artikel zum Thema

VDE-AR-E 2842-61: Erste Komplettregelung für KI

Zweite Normungsroadmap Künstliche Intelligenz erschienen

Links und Quellen

Europa.eu: Historischer Moment: Politische Einigung zwischen EU-Parlament und Rat auf KI-Gesetz: https://germany.representation.ec.europa.eu/news/historischer-moment-politische-einigung-zwischen-eu-parlament-und-rat-auf-ki-gesetz-2023-12-09_de, 13.12.2023

Europa.eu: KI-Gesetz: erste Regulierung der künstlichen Intelligenz: https://www.europarl.europa.eu/news/de/headlines/society/20230601STO93804/ki-gesetz-erste-regulierung-der-kunstlichen-intelligenz, 13.12.2023

Europa.eu: KI-Pakt: https://digital-strategy.ec.europa.eu/de/policies/ai-pact, 12.12.2023

EUR-Lex: Vorschlag KI-Gesetz: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A52021PC0206, 13.12.2023

Mittelstand-Digital Zentrum Chemnitz: Hochrisiko KI-Systeme und wo sie geregelt sind: https://digitalzentrum-chemnitz.de/wissen/hochrisiko-ki-systeme/, 13.12.2023