AI Act: EU verabschiedet KI-Verordnung
Nach Einigung auf eine finale Fassung im Dezember 2023 wurde nun die KI-Verordnung (AI Act) der Europäischen Union verabschiedet. Nach dem Europäischen Parlament erteilte der Rat der Europäischen Union am 21. Mai 2024 seine Zustimmung. Die weltweit erste Gesetzesregelung für Künstliche Intelligenz schafft Vorgaben zum Schutz der öffentlichen und privaten Sicherheit und Wahrung der Grundrechte.
Der AI Act im Überblick
In einem früheren Artikel haben wir bereits einen ausführlichen Blick auf die KI-Verordnung geworfen. Die Verordnung verfolgt einen risikobasierten Ansatz. Der Umfang an Vorgaben orientiert sich also daran, welches Risiko ein KI-System für das öffentliche und private Leben darstellt. Es werden vier Risikostufen unterschieden:
- Unannehmbares Risiko (Art. 5): Diese KI-Systeme stellen eine Bedrohung für Menschen dar und verletzen die Grundwerte der Europäischen Union (z. B. Social Scoring, Emotionserkennung am Arbeitsplatz/in Bildungseinrichtungen). Sie sind verboten und dürfen in der EU nicht angeboten oder genutzt werden.
- Hohes Risiko (Art. 6-27): Diese KI-Systeme kommen in sicherheits- und grundrechtssensiblen Bereichen zum Einsatz (z. B. Energieversorgung, medizinische Geräte, juristische Prozesse). Deshalb ist vor dem Einsatz ein präventives Risikomanagement verpflichtend.
- Spezifisches Risiko (Art. 50): Diese Systeme sind für die Interaktion mit Menschen gemacht (Chat-Bots, Telefon-Hotlines, Text- o. Bildgenerierung). Zwar geht von ihnen keine direkte Gefahr aus, doch besondere Transparenzpflichten müssen deutlich machen, dass mit einer Maschine kommuniziert wird.
- Minimales Risiko (Art. 4, 95): Die Mehrheit der heute genutzten KI-Systeme stellt gar kein oder ein geringes Risiko da (z. B. Spam-Filter, Suchalgorithmen). Anbieter dieser KI-Modelle sollen Schulungen und einen Code of Conduct einführen.
Auf EU-Ebene wird künftig das neue Amt für Künstliche Intelligenz (AI Office) die Einhaltung der Verordnung überwachen und koordinieren. Auf staatlicher Ebene unterliegt die Überwachung der jeweiligen Marktaufsichtsbehörde.
Bei Verstößen müssen Unternehmen mit Geldbußen bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes rechnen. Des Weiteren sind Klagen von Wettbewerbern oder Schadenersatzansprüche von Betroffenen möglich.
Compliance-Anforderungen für Hochrisiko-Systeme und große KI-Systeme
Für die Entwicklung und Nutzung von Hochrisiko-KI-Systemen gelten künftig neue Compliance-Vorschriften. Diese sind in zwei Anhängen zu Produkten und spezifischen Anwendungsfällen aufgeführt und umfassen u. a.:
- dass über den gesamten Lebenszyklus des KI-Systems hinweg Risikobewertung und Marktüberwachungsmaßnahmen vorgenommen werden.
- dass die Datenqualität und –zuverlässigkeit sichergestellt wird, um eine Verzerrung der Ergebnisse zu vermeiden und repräsentative Ergebnisse zu garantieren.
- dass eine technische Dokumentation und Nutzungshinweise zur Zweckbestimmung und ordnungsgemäßer Verwendung des KI-Systems erstellt werden.
- dass menschlicher Aufsicht über die KI, automatischem Logging und Fehleranalyse eingeführt wird.
- dass die Cybersicherheit des KI-Systems sichergestellt ist.
- dass eine Konformitätsbewertung mit EU-Konformitätserklärung durchgeführt wird.
- dass bestimmte Hochrisiko-KI-Systemen in einer EU-Datenbank registriert
Für große KI-Systeme mit allgemeinem Verwendungszweck (engl. general purpose AI), die etwa die Grundlage für ChatGPT bilden, wurden ähnliche Vorgaben eingeführt.
Änderungen gegenüber der finalen Fassung von Dezember 2023
Zwischen der finalen Fassung und der endgültigen Zustimmung durch Rat und Parlament wurden Änderungen an der Definition von Künstlicher Intelligenz, den Anwendungsbereichen der Hochrisiko-Pflichten sowie bei inhaltlichen und sprachlichen Formulierungen vorgenommen.
- Mit einer Anpassung in Art. 2 Abs. 12 der KI-Verordnung sind Open-Source-KI-Systeme von der KI-Verordnung künftig ausgeschlossen. Da bei Open-Source-Projekten oft keine klaren Herstellerverhältnisse bestehen, war die KI-Verordnung für solche Produkte immer wieder als unzureichend kritisiert worden.
- Die Zuständigkeiten des AI Offices werden ausgeweitet. Nach einer Definitionsänderung ist das Amt nun auch klar für die Aufsicht über general purpose AI zuständig. Bei der KI-Nutzung durch EU-Organe wird der European Data Protection Supervisor für die Überwachung zuständig sein.
- Das Verbot von KI-Praktiken zur unterschwelligen Beeinflussung wurde angepasst. Statt einer tatsächlichen oder wahrscheinlichen Gefahr für Personen oder Personengruppen ist nun die hinreichende Wahrscheinlichkeit eines Schadenseintritts ausreichend.
- Die Konformitätsvermutung bei der Beachtung von harmonisierten Normen gilt auch für general purpose AI. Diese war zuvor nur für Hochrisiko-KI-Systeme vorgesehen gewesen.
- Änderungen in Anhang III zu Hochrisiko-KI-Systemen klären die Anwendungsbereiche der Pflichten. Bei den Anwendungen im Bildungswesen wurden alle Bildungsstufen erfasst. Der Einsatz von Lügendetektoren und vergleichbaren Geräten auf KI-Grundlage im Bereich von Migration und Grenzkontrollen unterliegt auch dann strengeren Vorgaben, wenn der Einsatz durch Dritte im Auftrag von öffentlichen Behörden oder EU-Institutionen erfolgt.
Übergangsfristen der KI-Verordnung
Die KI-Verordnung tritt zwanzig Tage nach der Veröffentlichung im Amtsblatt in Kraft. Nach der Übersetzung wird sie voraussichtlich Ende Juni 2024 veröffentlicht werden.
Die Gültigkeit erfolgt je nach Risikograd schrittweise. Das Verbot von KI-Systemen mit unannehmbarem Risiko und die damit verbundene Einstellung wird sechs Monate nach Inkrafttreten gültig. Für Systeme mit spezifischem und minimalem Risiko gilt eine Übergangsfrist von 24 Monaten. Für die Compliance-Pflichten von Hochrisiko-KI-Systemen gilt eine Übergangsfrist von 36 Monaten.
Weitere Artikel zum Thema
ISO/IEC 42001: Erste Norm für KI-Managementsysteme
Links und Quellen
Noerr: KI-Verordnung (AI Act) final verabschiedet: https://www.noerr.com/de/insights/ki-verordnung-ai-act-final-verabschiedet, 19.06.2024
