Die weiteren Schritte zur Umsetzung des AI Act
„Die Verordnung wird nun von Rechts- und Sprachsachverständigen abschließend überprüft. Sie dürfte noch vor Ende der Wahlperiode im Rahmen des sogenannten Berichtigungsverfahrens angenommen werden. Auch muss der Rat die neuen Vorschriften noch förmlich annehmen. Die Verordnung tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft und ist – bis auf einige Ausnahmen – 24 Monate nach ihrem Inkrafttreten uneingeschränkt anwendbar. Die Ausnahmen sind Verbote sogenannter „verbotener Praktiken“, die bereits sechs Monate nach Inkrafttreten gelten, Verhaltenskodizes (sie gelten neun Monate nach Inkrafttreten), Regeln für künstliche Intelligenz mit allgemeinem Verwendungszweck, einschließlich Governance, (zwölf Monate nach Inkrafttreten) und Verpflichtungen für Hochrisikosysteme (36 Monate nach Inkrafttreten)“, erklärt das Europäische Parlament. Was kompliziert klingt, ist eigentlich ganz einfach. Nun sind die Mitgliedsstaaten der EU in der Pflicht, ihre individuell angepassten Gesetzesvarianten zu entwickeln und in die eigene Gesetzgebung – den Vorgaben der EU folgend – zu integrieren.
Kritik an Deutschland, verbunden mit klaren Forderungen
Und hier könnte es erneut „lustig“ werden. „Man sagt, das beste Argument für die Regulierung ist, dass sie in ganz Europa gilt“, erklärte Daniel Abbou, Geschäftsführer beim KI Bundesverband, um sofort nachzuschieben: „Leider sehen wir schon wieder Tendenzen, dass Deutschland es zu 120 Prozent genau nimmt.“ Ein Positionspapier des Verbandes bringt die zentralen Forderungen auf den Punkt. Auch der Bitkom sieht im Übergang von europäischem Grundrahmen zu nationalem Gesetz die größte Herausforderung bzw. Gefahr: „Der AI Act gibt einen EU-weiten Regulierungsrahmen für Künstliche Intelligenz vor, lässt aber viele entscheidende Fragen offen. Für Deutschland muss es jetzt um eine rechtssichere und innovationsfreundliche Umsetzung gehen. Die Bundesregierung darf nicht die Fehler der Datenschutz-Grundverordnung wiederholen und das nationale Regulierungskorsett so eng schnüren, dass den Unternehmen der Freiraum für Innovationen fehlt. Ziel muss sein, die Voraussetzungen dafür zu schaffen, dass deutsche Unternehmen und Startups auf Augenhöhe mit den starken internationalen Playern der Künstlichen Intelligenz kommen können.“
Geht das Gesetz zu weit oder nicht weit genug?
„Auf Augenhöhe“ ist die entscheidende Floskel. Denn die Konkurrenz in Asien und Nordamerika ist den meisten europäischen Playern – Ausnahmen wie ALEPH ALPHA – AI for Enterprises and Governments bestätigen die Regel – bereits jetzt um einiges voraus. Ob die hier angestrebte innereuropäische Regulierung in diesem Umfeld tatsächlich förderlich ist, speziell mit Blick auf die notwendige Bürokratie und damit steigende Arbeits- sowie Nachweisaufwände, bleibt abzuwarten. Andere Nationen, speziell China und die USA, gehen hier weitaus unbedarfter und risikofreudiger zu Werke. Viele Dinge, die hier längst möglich sind bzw. von staatlichen Playern ohne Skrupel ausgenutzt werden, sollen in Europa verboten werden. Gerade bestimmte Formen der Gesichtserkennung, die Emotionen von Arbeitnehmenden auswerten oder ein sogenanntes „Social Scoring“ ermöglichen, werden zurecht in Europa verboten. China setzt diese Technologie längst ein, um seine Bürger im öffentlichen Raum zu überwachen und ihr Verhalten mit einem sozialen Punktesystem zu bewerten. „Korrektes Verhalten“ erleichtert zum Beispiel die Suche nach einem Studienplatz oder die Bewilligung eines Kredites. Und dennoch geht das europäische Regelwerk Verbraucherschutz- und Menschenrechtsorganisationen in diesen kritischen Punkten nicht weit genug. Das KI-Gesetz könnte, trotz aller Einschränkungen, einer neuen Form der Massenüberwachung und Vorratsdatenspeicherung den Weg ebnen, wird gemutmaßt. Hier ändern auch Strafen von bis zu 35 Millionen Euro beziehungsweise von sieben Prozent des Jahresumsatzes nichts, wenn die Verordnung Schlupflöcher und rechtliche Unklarheiten mit sich bringt. Auch an dieser Stelle sei nochmals das Positionspapier des KI Bundeverband empfohlen.
Was reguliert der AI Act eigentlich?
Viele Regulierungen und Ansätze des AI Acts bieten noch immer Interpretations- oder sogar Angriffspotenzial. Ein Artikel von Netzpolitik beschäftigt sich mit den gravierendsten. Aber auch die Einteilung der KI-Systeme nach Risikogruppen ist längst nicht so eindeutig und klar abgegrenzt, wie es auf den ersten Blick erscheinen mag. Denn was genau macht ein KI-System aus, dessen Risiko als unannehmbar, hoch, begrenzt oder gering eingeschätzt wird? Oder wie beeinflusst die Weiterentwicklung von Systeme deren Einstufung?
Hier die kurzen Erläuterungen zu den aktuell vorgesehenen Gruppierungen:
Geringes Risiko
Grundsätzlich müssen Anwendungen, die sich auf der untersten Risikostufe befinden, wenig fürchten. Dies gilt u.a. für Spamfilter in E-Mail-Postfächern oder KI-Anwendungen in Videospielen. Auf freiwilliger Basis können sich Unternehmen, die derartige Systeme einsetzen, jedoch zu zusätzlichen Verhaltenskodizes für diese KI-Systeme verpflichten.
Begrenztes Risiko
Zu KI-Anwendungen mit begrenztem Risiko gehören Systeme wie ChatGPT, Bard, Midjourney, DallE und Co. Um ihre Nutzer, aber auch jene, die nur die Ergebnisse dieser KI-Tools erleben, nicht zu täuschen oder in die Irre zu führen, müssen die Anwendungen und erzeugten Texte, Bilder, Videos usw. künftig eindeutig darüber informieren, dass es sich bei ihnen um Leistungen einer Künstliche Intelligenz und nicht eines Menschen handelt.
Hohes Risiko
Ein hohes Risiko geht laut AI-Act von solchen Anwendungen aus, die das Wohlbefinden der Allgemeinheit erheblich beeinträchtigen können. Das gilt etwa für KI-Systeme, die in den Bereichen kritische Infrastruktur, Gesundheit oder Justiz zum Einsatz kommen. Künstliche Intelligenzen können hier Existenzen oder sogar Leben in Gefahr bringen. KI-Systeme, die als risikoreich eingestuft werden, müssen strenge Anforderungen erfüllen, darunter Systeme zur Risikominderung, eine hohe Qualität der Datensätze, die Protokollierung von Aktivitäten, eine ausführliche Dokumentation, klare Benutzerinformationen, menschliche Aufsicht und ein hohes Maß an Robustheit, Genauigkeit und Cybersicherheit. Die Europäische Kommission schätzt, dass fünf bis 15 Prozent aller KI-Anwendungen von den strengeren Auflagen betroffen sein werden.
Unannehmbares Risiko
KI-Systeme, die eine eindeutige Bedrohung für die Grundrechte der Menschen darstellen, werden verboten. Dazu gehören KI-Systeme oder -Anwendungen, die das menschliche Verhalten manipulieren, um den freien Willen des Nutzers zu umgehen, wie z. B. Spielzeug mit Sprachassistenz, das gefährliches Verhalten von Minderjährigen fördert, oder Systeme, die ein „Social Scoring“ durch Regierungen oder Unternehmen ermöglichen, sowie bestimmte Anwendungen der vorausschauenden Polizeiarbeit. Darüber hinaus werden einige Anwendungen biometrischer Systeme verboten, z. B. Systeme zur Erkennung von Emotionen am Arbeitsplatz und einige Systeme zur Kategorisierung von Personen oder zur biometrischen Fernidentifizierung in Echtzeit zu Strafverfolgungszwecken in öffentlich zugänglichen Räumen (mit eng begrenzten Ausnahmen).
Fazit
Seit 2021 arbeitet die Europäische Union an der Regulierung Künstlicher Intelligenzen. Im Dezember 2023 erzielten die verschiedenen Instanzen der EU – das Europäische Parlament, der Rat der Europäischen Union sowie die Europäische Kommission – endlich Einigkeit. Im März 2024 wurde der AI Act nun formal verabschiedet. Als erstes Gesetz seiner Art weltweit reguliert der AI Act die Entwicklung und den Einsatz von KI-Systemen. Je nach Art des Systems und dessen Einsatzmöglichkeiten unterteilt es diese Systeme in vier Risikogruppen, die jeweils mehr oder weniger konkrete bürokratische und regulatorische Voraussetzungen erfüllen müssen. Dies geht bis hin zum Verbot von Systemen, die ein unannehmbares Risiko für Gesellschaft, Staat und Staatenverbund darstellen. Welche Wirkung der AI Act entfaltet, hängt schlussendlich von Mitgliedsstaaten ab und wie diese die Vorgaben des AI Acts in die eigene Gesetzgebung integrieren. Die Fehler der Vergangenheit, z.B. bei der Umsetzung der DSGVO, dürfen hier nicht wiederholt werden. Gelingt dies und einigen sich die Mitgliedsstaaten auf einheitliche Regelungen und Umsetzungen, kann der AI Act eine Vorbildwirkung für weite Teile der Welt entfalten. Doch gerade kleinen und mittleren Unternehmen wird die KI-Entwicklung mit diesem Gesetz nicht einfacher gemacht. Gerade die bürokratische Nachweispflicht und technologische Regulierungen werden einen erheblichen personellen, finanziellen und zeitlichen Mehraufwand mit sich bringen. Welche Auswirkungen dieser auf die Wirtschaftlichkeit und damit die Vermarktbarkeit der in der EU entwickelten Systeme hat, wird sich in den kommenden Jahren zeigen. Die Befürchtung bleibt, dass sich die Schere zwischen KI-Unternehmen in Asien, den USA und Europa immer weiter öffnet.
– – – – –
Weiterführende Links
👉 Informationsseite der EU zum AI Act
👉 Podcast der EU zum europäischen AI Act
Foto: pixabay
