EU AI-Act: Gestaltung einer sicheren KI-Zukunft
Dr. Kilian Schmidt
Dr. Kilian Schmidt ist Jurist, Co-Founder und CEO der Kertos GmbH und bringt zahlreiche Jahre Erfahrung in Datenschutz- und Legal Tech mit.
AUF EINEN BLICK
- Der EU AI Act ist das erste umfassende Regelwerk zur Regulierung von KI weltweit und adressiert ethische sowie gesellschaftliche Herausforderungen
- Ein risikobasierter Ansatz kategorisiert KI-Systeme in vier Risikostufen und legt strenge Vorgaben für hochriskante Anwendungen fest
- Mit extraterritorialer Reichweite und hohen Sanktionen wird sichergestellt, dass alle Anbieter die Vorgaben einhalten
- Schrittweise Umsetzung ab 2024 zur Förderung sicherer und transparenter KI-Systeme in Europa
KI im Spannungsfeld: Warum klare Regeln für verantwortungsvolle Nutzung nötig sind
In den letzten Jahren sind wir zunehmend begeistert vom enormen Potenzial der künstlichen Intelligenz (KI), insbesondere durch die schnelle Verbreitung von Large Language Models (LLMs), generativer KI und Automatisierungstools. Doch die zunehmende Nutzung von KI für Entscheidungen in risikoreichen Bereichen wie Gesundheitswesen, Personalwesen, Bildung und E-Commerce hat ethische, gesellschaftliche und wirtschaftliche Bedenken aufgeworfen.
Die Schwächen der KI – mögliche Eingriffe in die Privatsphäre von Individuen, verstärkte Vorurteile, intransparente Entscheidungsprozesse und algorithmische Dehumanisierung – zeigen, wie dringend eine Regulierung erforderlich ist. KI hat einen Punkt erreicht, an dem ihre Fähigkeiten und Nutzung in Einklang mit den Auswirkungen auf die Gesellschaft gebracht werden müssen. Die bisherigen Vorschriften boten nicht genügend Schutz gegen ihre adaptive Kapazität, ethische Implikationen und schnellen Fortschritte.
EU AI-Act leicht gemacht
Bist du bereit, hunderte Stunden Zeit und jede Menge Aufwand in Datenschutz und Informationssicherheit zu sparen? Mache jetzt die Demo und finde heraus, ob Kertos die richtige Lösung für dein Unternehmen ist.
Der EU AI-Act
Der EU AI Act, auch als Künstliche-Intelligenz-Gesetz der Europäischen Union bekannt, wurde eingeführt, um die Entwicklung und Nutzung von KI in der EU zu regeln. Ziel ist es, ein ausgewogenes Verhältnis zwischen der durch KI gebotenen Innovation und den Grundrechten der EU-Bürger herzustellen. Der EU AI Act bildet zusammen mit dem KI-Innovationspaket und dem Koordinierten Plan für KI ein Maßnahmenpaket, das die Entwicklung vertrauenswürdiger KI in Europa und darüber hinaus unterstützt.
Dies ist das erste umfassende rechtliche Rahmenwerk für KI weltweit und hat weitreichende Auswirkungen auf alle wichtigen Akteure entlang der KI-Wertschöpfungskette. Der Geltungsbereich des EU AI Act ähnelt dem der DSGVO. Das bedeutet, dass jeder Anbieter, der sein KI-System in der EU auf den Markt bringt oder nutzt, zur Einhaltung des Gesetzes verpflichtet ist, unabhängig davon, ob er in einem Nicht-EU-Staat ansässig ist. Auch Nicht-EU-Unternehmen, deren KI-Systeme EU-Bürger betreffen, unterliegen dem extraterritorialen Anwendungsbereich des Gesetzes.
Wichtige Akteure in der KI-Wertschöpfungskette:
- Anbieter: Entwickler von KI-Systemen oder General Purpose AI (GPAI)-Modellen
- Nutzer: Anwender oder Implementierer von KI-Systemen
- Importeure: Unternehmen, die KI-Systeme aus Nicht-EU-Ländern in die EU importieren
Risikobasierter Regulierungsansatz
Der EU AI Act verfolgt einen risikobasierten Ansatz und kategorisiert KI-Produkte in vier Risikoklassen: minimales Risiko, begrenztes Risiko, hohes Risiko und unannehmbares Risiko.
Minimales Risiko
Der Act erlaubt die uneingeschränkte Nutzung von KI-Produkten mit minimalem Risiko, ohne dass Entwickler zusätzliche Vorkehrungen treffen müssen. Die meisten KI-Anwendungen in der EU fallen in diese Kategorie, z. B. KI-gestützte Videospiele und Spamfilter.
Begrenztes Risiko
Begrenztes Risiko umfasst KI-Systeme, bei denen Entwickler sicherstellen müssen, dass Transparenz gewährleistet ist, indem Nutzer darüber informiert werden, dass sie mit einer KI interagieren. Ein Beispiel hierfür sind Chatbots, bei denen Webseiten Nutzern mitteilen müssen, dass sie mit einer Maschine kommunizieren, damit diese eine informierte Entscheidung treffen können.
Unannehmbares Risiko
Artikel 5 kategorisiert bestimmte KI-Technologien, die EU-Werte und die Grundrechte der Bürger verletzen, als „unannehmbares Risiko“. Die Nutzung, das Inverkehrbringen und die Bereitstellung solcher Produkte sind strikt verboten. Beispiele für unannehmbare Anwendungen sind das massenhafte Scraping von Gesichtsbildern aus dem Internet, biometrische Identifikationssysteme in Echtzeit und intransparente soziale Bewertungssysteme.
Hohes Risiko
Artikel 6 des Gesetzes kennzeichnet KI-Systeme, die die Sicherheit, Grundrechte oder andere kritische Aspekte negativ beeinflussen können, als hochriskant. Zu den Kriterien, die ein KI-System als hochriskant klassifizieren, gehören:
- KI-Systeme zur Bewertung von Bewerbern im Beschäftigungskontext,
- Verwaltung kritischer Infrastrukturen, die das Leben und die Gesundheit der Bürger gefährden können,
- Automatisierte Verwaltung von Migration, Asyl oder Grenzkontrolle,
- Bestimmung des Zugangs zu wichtigen öffentlichen Dienstleistungen, einschließlich der Bewertung von Anspruch auf Sozialleistungen und Kreditwürdigkeit,
- Systeme in justiziellen und demokratischen Bereichen, die Wahlergebnisse beeinflussen sollen,
- Biometrische Identifikationssysteme, die nicht verboten sind, jedoch ausschließlich zur Identitätsprüfung dienen.
Von den Anbietern hochriskanter KI-Systeme wird erwartet, dass sie eine Konformitätsbewertung durchführen und den folgenden Anforderungen entsprechen:
- Sicherstellen, dass das KI-System mit EU-Vorschriften zu Menschenrechten, Datenschutz und Sicherheit übereinstimmt,
- Durchführung einer internen Konformitätsbewertung oder eines Drittanbieter-Audits,
- Nachweis der Einhaltung technischer Standards hinsichtlich Sicherheit, Genauigkeit, Transparenz und Rechenschaftspflicht.
Durchsetzung und Umsetzung
Die Nichteinhaltung verbotener KI-Praktiken kann zu Geldstrafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Bei Verstößen im Bereich hochriskanter Anwendungen können Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes verhängt werden.
Darüber hinaus kann die Weitergabe falscher oder unvollständiger Informationen an Behörden zu einer Strafe von bis zu 7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes führen. Für KMU und Start-ups setzt das Gesetz niedrigere Bußgelder fest und fördert Innovationen, insbesondere aus dem Start-up-Ökosystem.
Gemäß Artikel 99 Absatz 6 des EU AI Act gilt, dass jede in diesem Artikel genannte Geldbuße bis zu den in den Absätzen 3, 4 und 5 genannten Prozentsätzen oder Beträgen reichen kann, wobei jeweils der niedrigere Betrag maßgeblich ist.
Im Februar 2024 wurde vom Europäischen Parlament das Europäische KI-Büro eingerichtet, das die Durchsetzung und Umsetzung des Gesetzes in den Mitgliedstaaten überwacht. Es soll ein sicheres Umfeld für Menschen schaffen, in dem KI-Technologien ihre Würde, Rechte und das Vertrauen respektieren.
Zeitplan der Umsetzung
Der Gesetzesentwurf wurde erstmals im April 2021 vorgelegt, durchlief mehrere Diskussionen und wurde am 21. Mai 2024 mit überwältigender Mehrheit (523 Stimmen dafür, 46 dagegen, 49 Enthaltungen) verabschiedet.
Das Gesetz trat am 1. August 2024 in Kraft und wird 24 Monate später vollständig anwendbar sein.
Ab dem Inkrafttreten gilt eine sechsmonatige Frist, in der Unternehmen Anwendungen mit „unannehmbarem Risiko“ einstellen müssen.
Nach 12 Monaten gelten die Regeln für GPAI für neue Modelle; bereits auf dem Markt befindliche GPAI-Modelle haben ab dem Inkrafttreten 36 Monate Zeit zur Einhaltung.
Nach 24 Monaten treten die Regeln zur Regulierung hochriskanter Anwendungen in Kraft.
Nach 36 Monaten gelten die Vorschriften für KI-Systeme, die Produkte oder Sicherheitskomponenten von Produkten sind, die unter spezifische EU-Gesetze fallen.
Fazit
Mit der Verabschiedung des EU AI Act wurde der Bedarf an gezielter, KI-spezifischer Gesetzgebung erfüllt. Es zieht weltweit viel Aufmerksamkeit auf sich und wird als Benchmark für die KI-Branche betrachtet – ähnlich wie die DSGVO im Jahr 2018 für den Datenschutz.
Mit Kertos kannst du die Konformitätsanforderungen für hochriskante KI-Systeme erfüllen. Unsere Experten prüfen dein KI-System auf Risikostufen, begleiten dich bei der Implementierung der notwendigen Schutzmaßnahmen und sorgen für die Einhaltung des EU AI Act.