EU KI Gesetz verstehen - Hintergrund, Vorschriften und Umsetzung

Dr. Kilian Schmidt
Dr. Kilian Schmidt ist Jurist, Co-Founder und CEO der Kertos GmbH und bringt zahlreiche Jahre Erfahrung in Datenschutz- und Legal Tech mit.
AUF EINEN BLICK
- Das EU-KI-Gesetz ist der weltweit erste umfassende Rechtsrahmen zur Regulierung von KI, der ein Gleichgewicht zwischen Innovation und den Grundrechten der EU-Bürger schaffen soll.
- Es folgt einem risikobasierten Ansatz, der KI-Systeme in vier Kategorien einteilt: minimales, begrenztes, hohes und inakzeptables Risiko, wobei strenge Regeln für hochriskante Anwendungen gelten.
- Unternehmen, die gegen das EU-KI-Gesetz verstoßen, müssen mit hohen Bußgeldern rechnen, die bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes betragen können.
- Das Gesetz trat im August 2024 in Kraft und wird innerhalb von zwei Jahren vollständig umgesetzt, wobei gestaffelte Fristen für die Einhaltung von Vorschriften gelten.
- Kertos unterstützt Unternehmen bei der Erfüllung der Compliance-Anforderungen für risikoreiche KI-Systeme und bietet Lösungen zur Sicherstellung der Einhaltung des EU-KI-Gesetzes.
Kometenhafter Aufstieg von KI birgt Risiken
In den letzten Jahren hat uns das enorme Potenzial der künstlichen Intelligenz begeistert, insbesondere durch die rasche Verbreitung großer Sprachmodelle (LLM), generativer KI und Automatisierungswerkzeuge. Der zunehmende Einsatz von KI zur Entscheidungsfindung in risikoreichen Bereichen wie Gesundheitswesen, Personalbeschaffung, Bildung und E-Commerce hat jedoch ethische, gesellschaftliche und wirtschaftliche Bedenken ausgelöst.
Die Mängel der KI, die mit der potenziellen Verletzung der Privatsphäre des Einzelnen, der verstärkten Vorurteile, den undurchsichtigen Entscheidungsprozessen und der algorithmischen Entmenschlichung einhergehen, geben Anlass zu ernsten Bedenken und machen eine Regulierung erforderlich. Die Entwicklung hat einen Wendepunkt erreicht, an dem ihre Fähigkeiten und ihre Nutzung mit ihren Auswirkungen auf die Gesellschaft abgewogen werden müssen. Die bestehenden Vorschriften boten keinen ausreichenden Schutz gegen die Anpassungsfähigkeit, die ethischen Auswirkungen und die rasante Entwicklung.
ISO 42001 Zertifizierung leicht gemacht
Bist du bereit, hunderte Stunden Zeit und jede Menge Aufwand in Datenschutz und Informationssicherheit zu sparen? Mache jetzt die Demo und finde heraus, ob Kertos die richtige Lösung für dein Unternehmen ist.
Das EU-Gesetz über künstliche Intelligenz
Das EU-KI-Gesetz, auch Gesetz über künstliche Intelligenz der Europäischen Union genannt, wurde mit dem Ziel erlassen, die Entwicklung und/oder Nutzung von KI in der EU zu regeln. Es zielt darauf ab, ein empfindliches Gleichgewicht zwischen der Innovation, die KI mit sich bringt, und den Grundrechten der Bürger der Europäischen Union herzustellen. Das EU-KI-Gesetz bildet zusammen mit dem KI-Innovationspaket und dem koordinierten Plan für KI ein konsolidiertes Paket politischer Maßnahmen, die die Entwicklung vertrauenswürdiger KI in Europa und darüber hinaus unterstützen sollen.
Es ist der erste umfassende Rechtsrahmen für KI weltweit und hat schwerwiegende Folgen für alle wichtigen Akteure in der KI-Wertschöpfungskette. Der Geltungsbereich des EU-KI-Gesetzes ist ähnlich wie der der Datenschutzgrundverordnung. Das bedeutet, dass jeder Anbieter, der sein KI-System in der EU auf den Markt bringt oder einsetzt, zur Einhaltung des Gesetzes verpflichtet ist, unabhängig davon, ob er einem Nicht-EU-Staat angehört. Solange die KI-Systeme von Nicht-EU-Unternehmen EU-Bürger betreffen, sind sie auch an die extraterritoriale Anwendung des Gesetzes gebunden.
Die wichtigsten Akteure in der KI-Wertschöpfungskette:
- Anbieter: Entwickler von KI-Systemen oder allgemeinen KI-Modellen
- Anwender: Nutzer oder Implementierer von KI-Systemen
- Importeure: Diejenigen, die KI-Systeme von außerhalb der EU auf den EU-Markt bringen
Risikobasierter Ansatz für die Regulierung
Der EU- Gesetzentwurf verfolgt einen risikobasierten Ansatz für die Regulierung. Sie kategorisiert KI-Produkte in vier Kategorien, basierend auf dem jeweiligen Risikoniveau. Die vier Risikoklassen umfassen minimales Risiko, begrenztes Risiko, hohes Risiko und inakzeptables Risiko.
Geringes Risiko
Das Gesetz erlaubt den freien Einsatz von KI-Produkten mit minimalem Risiko. Die Entwickler dieser Produkte müssen keine zusätzlichen Vorsichtsmaßnahmen treffen. Die große Mehrheit der in der EU verwendeten KI-Anwendungen fällt in diese Kategorie. Beispiele hierfür sind KI-gestützte Videospiele, Spam-Filter usw.
Begrenztes Risiko
Begrenztes Risiko bezieht sich auf KI-Systeme, bei denen die Entwickler für Transparenz sorgen müssen, indem sie offenlegen, dass die Nutzer mit der KI interagieren. Wenn Websites beispielsweise Chatbots zur Unterstützung einsetzen, müssen die Nutzer darüber informiert werden, dass sie mit einer Maschine interagieren, damit sie eine fundierte Entscheidung darüber treffen können, ob sie zurücktreten oder fortfahren möchten.
Unannehmbare Risiken
Artikel 5 stuft bestimmte KI-Technologien, die schädlich sind und gegen die Werte der EU und die Grundrechte der EU-Bürger verstoßen, als „inakzeptables Risiko“ ein. Die Verwendung, das Angebot und die Inbetriebnahme solcher Produkte sind nach dem Gesetz streng verboten. Einige Beispiele für inakzeptable Anwendungsfälle sind das ungezielte Auslesen von Gesichtsaufnahmen aus dem Internet, biometrische Identifizierungssysteme in Echtzeit und soziale Bewertungssysteme, denen es an Transparenz, Fairness oder Verantwortlichkeit fehlt, insbesondere bei Entscheidungsprozessen.
Hohes Risiko
Artikel 6 des Gesetzes bezeichnet KI-Systeme, die das Potenzial haben, die Sicherheit, die Grundrechte oder andere kritische Aspekte zu beeinträchtigen als hochriskant. Auch solche Produkte oder Sicherheitskomponenten von Produkten gelten als hochriskant und werden durch spezifische EU-Gesetze geregelt, auf die im Gesetz verwiesen wird, wie z. B. die Gesetze zur Sicherheit von Spielzeug und In-vitro-Diagnostika.
Zu den Faktoren, die ein KI-System als hochriskant einstufen, gehören die folgenden:
- KI-Systeme, die zur Bewertung von Bewerbern im Beschäftigungskontext eingesetzt werden.
- Verwaltung kritischer Infrastrukturen, die das Leben und die Gesundheit der Bürger gefährden könnten.
- Automatisierte Verwaltung von Migration, Asyl oder Grenzkontrollen.
- Bestimmung des Zugangs zu grundlegenden öffentlichen Dienstleistungen, einschließlich Systemen, die den Anspruch auf öffentliche Leistungen abfragen und Kreditwürdigkeitsprüfungen vornehmen.
- Justizielle und demokratische Systeme, die das Ergebnis von Wahlen beeinflussen sollen.
- Biometrische Identifizierungssysteme, die nicht verboten sind, mit Ausnahme von Systemen, deren einziger Zweck darin besteht, die Identität einer Person zu überprüfen.
Ausnahmen von der Hochrisikokategorie sind möglich, wenn eines oder mehrere der im Gesetz genannten Kriterien erfüllt sind, darunter:
- Eine enge verfahrenstechnische Aufgabe muss mit Hilfe von KI-Anwendungen durchgeführt werden.
- Eine richterliche oder andere unabhängige Behörde genehmigt den Einsatz der KI-Anwendung, wobei die geografische Reichweite, die durchsuchten Datenbanken und der Zeitrahmen begrenzt sind.
Anbieter von KI-Systemen mit hohem Risiko müssen sich der Konformitätsbewertung unterziehen und die unten genannten Anforderungen erfüllen:
- Überprüfung der Einhaltung der technischen Standards in Bezug auf Sicherheit, Genauigkeit, Transparenz und Rechenschaftspflicht.
- Durchführung einer internen Konformitätsbewertung oder einer Bewertung durch einen Dritten
- Sicherstellung, dass das KI-System mit den EU-Vorschriften zu Menschenrechten, Datenschutz und Sicherheit in Einklang steht.
Durchsetzung und Umsetzung
Die Nichteinhaltung verbotener AI-Praktiken kann zu Bußgeldern von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Bei Verstößen der Hochrisikokategorie können Bußgelder in Höhe von bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes verhängt werden.
Darüber hinaus kann die Irreführung der Behörden durch die Weitergabe falscher oder unvollständiger Informationen mit 7.500.000 EUR oder 1 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Für KMU und Start-ups sieht das Gesetz niedrigere Bußgelder vor, da Innovation der Schlüsselfaktor ist, der größtenteils vom sogenannten Start-up-Ökosystem ausgeht.
„Gemäß Artikel 99 Absatz 6 des EU-KI-Gesetzes beträgt jede in diesem Artikel genannte Geldbuße bis zu den in den Absätzen 3, 4 und 5 genannten Prozentsätzen oder Beträgen, je nachdem, welcher dieser Beträge niedriger ist.“
Das im Februar 2024 von der Europäischen Kommission eingerichtete Europäische Amt für geistiges Eigentum überwacht die Durchsetzung und Umsetzung des Gesetzes in den Mitgliedsstaaten. Ziel ist es, ein sicheres Umfeld für den Einsatz von KI zu schaffen, in dem KI-Technologien die Würde, die Rechte und das Vertrauen der Menschen respektieren.
Zeitplan der Umsetzung
- Der Vorschlag wurde erstmals im April 2021 vorgelegt und mehrfach diskutiert, bevor er am 21. Mai 2024 mit überwältigender Mehrheit (523 Ja-Stimmen, 46 Nein-Stimmen und 49 Abwesenheiten) angenommen wurde.
- Es trat am 1. August 2024 in Kraft und wird 2 Jahre später vollständig anwendbar sein.
- Ab dem Datum des Inkrafttretens sieht das Gesetz eine sechsmonatige Frist für die Unternehmen vor, um „unannehmbare Risiken“ auslaufen zu lassen.
- Nach 12 Monaten treten die GPAI-Vorschriften für neue GPAI-Modelle in Kraft; diejenigen, die 12 Monate vor Inkrafttreten des Gesetzes bereits auf dem Markt sind, haben ab dem Datum des Inkrafttretens 36 Monate Zeit, die Vorschriften zu erfüllen.
- Nach 24 Monaten treten die Vorschriften zur Regulierung von „Hochrisiko“-Anwendungen in Kraft.
- Nach 36 Monaten gelten die Vorschriften für KI-Systeme, bei denen es sich um Produkte oder Sicherheitsbauteile von Produkten handelt, die durch spezifische EU-Gesetze geregelt sind.
Schlussfolgerung
er Bedarf an gezielten KI-spezifischen Rechtsvorschriften ist mit der Verabschiedung des EU-KI-Gesetzes, einer lang erwarteten Verordnung, erfüllt worden. Nach ihrer Verabschiedung erregt sie weltweit unterschiedliche Aufmerksamkeit. Sie wird auch als Maßstab für die KI-Branche angesehen, ähnlich wie die Einführung der DSGVO im Jahr 2018 für den Datenschutz.
Mit Kertos kannst du damit beginnen, die Compliance-Anforderungen für risikoreiche KI-Systeme zu erfüllen. Unsere Experten bewerten dein KI-System, um das Risikoniveau zu prüfen, führen dich durch die Implementierung der notwendigen Schutzmaßnahmen und stellen die Einhaltung des EU-KI-Gesetzes sicher.