KI verstehen: Welche Konsequenzen ergeben sich aus dem AI Act?
Mit dem AI Act hat die EU im Mai das weltweit erste umfassende Gesetz zur KI-Regulierung verabschiedet. Nun tritt die Verordnung am 1. August 2024 in Kraft, mit dem Ziel, die Sicherheit und Transparenz von KI-Systemen zu gewährleisten. Was dies bedeutet und welche Vorgaben und Fristen damit für Politik und Unternehmen gelten, erläutern wir hier in einem Überblick.
Der AI Act der EU soll dafür sorgen, dass KI-Anwendungen menschenzentriert und vertrauenswürdig sind und nicht missbraucht werden. Er soll zugleich den Schutz der Grundrechte vor schädlichen Auswirkungen von KI-Systemen gewährleisten sowie Wissenschaft und Wirtschaft genug Freiraum für Innovationen bei der Entwicklung von künstlicher Intelligenz ermöglichen.
Die zentralen Inhalte der Verordnung
Um diesem Spagat gerecht zu werden, verfolgt die Verordnung einen sogenannten risikobasierten Ansatz: Je höher das Risiko einer Anwendung eingeschätzt wird, desto strenger fallen auch die Vorgaben dazu aus. Dabei wird in vier Risikoklassen unterschieden: 1. niedriges, 2. begrenztes, 3. hohes und 4. inakzeptables Risiko.
Als inakzeptables Risiko gelten zum Beispiel KI-Systeme, durch deren Einsatz das Verhalten von Personen gezielt beeinflusst und manipuliert werden kann. Sie sind genauso verboten wie etwa KI-basiertes „Social Scoring“ oder Emotionserkennung am Arbeitsplatz. Hochriskante KI-Systeme – zum Beispiel in der kritischen Infrastruktur, im Gesundheits- oder Bankenwesen – müssen eine Reihe von Anforderungen erfüllen, um für den EU-Markt zugelassen zu werden.
Anwendungen mit einem geringen Risiko bekommen lediglich gewisse Transparenz- und Informationspflichten auferlegt. Zudem gilt eine Transparenzpflicht für künstlich erzeugte oder bearbeitete Inhalte (Audios, Bilder, Videos), die laut AI Act eindeutig als solche gekennzeichnet werden müssen.
Die Regelungen des Gesetzes gelten für alle KI-Systeme, die auf dem europäischen Markt angeboten werden, bzw. für alle Unternehmen, Personen oder Einrichtungen, die ein KI-System entwickeln und auf den Markt bringen. Auch Importeure, Händler und Betreiber sind davon betroffen. Verstöße gegen die Regeln sollen vor allem mit finanziellen Sanktionen geahndet werden, deren Höhe sich nach der betroffenen Risikoklasse und der Schwere des Verstoßes richtet. Zudem sind moderatere Geldbußen für KMU und Start-ups vorgesehen.
Aufsicht auf nationaler und EU-Ebene
Um die neuen Regeln weiter zu konkretisieren und durchzusetzen, wird die EU-Kommission mit dem „AI Office“ eine neue Behörde einrichten. Hinzu kommen ein daran angebundener Ausschuss mit Interessenvertretern aus Wirtschaft und Zivilgesellschaft, ein Gremium unabhängiger wissenschaftlicher Experten sowie ein AI Board mit Vertretern der EU-Mitgliedstaaten – die alle jeweils ihre Sichtweise einbringen sollen, um die konsistente und effektive Anwendung des AI Act zu gewährleisten.
Jeder EU-Mitgliedstaat muss außerdem eine nationale Aufsichtsbehörde für die Überwachung der Anwendung und Umsetzung der KI-Verordnung benennen oder einrichten. In Deutschland käme dafür die Bundesnetzagentur infrage. Allerdings gilt die Aufgabe aus Sicht von Expert:innen als komplex, da sie die Überprüfung der ordnungsgemäßen und rechtzeitigen Durchführung von Konformitätsbewertungen, die Ernennung „notifizierter Stellen“ bzw. externer Auditoren zur Durchführung externer Konformitätsbewertungen sowie die Abstimmung mit anderen nationalen Aufsichtsbehörden (z.B. für Banken, Versicherungen, Gesundheitswesen usw.) sowie mit dem AI Office umfasst.
Fristen und Handlungsbedarf für Unternehmen
Um die damit verbundenen Fragen zu klären und die Aufsichtsbehörde zu etablieren, bleiben den nationalen Gesetzgebern ab Inkrafttreten des AI Act nur noch zwölf Monate.
Die Regeln selbst werden hauptsächlich nach zwei Jahren gültig sein, einige aber auch schon früher. So gelten die Regelungen zu verbotenen KI-Praktiken bereits ab dem 2. Februar 2025. Ein halbes Jahr später werden die Verpflichtungen zu KI-Modellen mit allgemeinem Verwendungszweck anwendbar. Nach drei Jahren, also ab dem 2. August 2027, sind dann die Regelungen für bestimmte Hochrisikosysteme gültig.
Unternehmen wird trotzdem geraten, sich so früh wie möglich mit den neuen Regeln zu befassen. Denn wie die Erfahrungen mit der DSGVO zeigten, reichen einige Monate eher nicht aus, um die teilweise umfangreichen Anforderungen rechtzeitig umzusetzen. So sollten Unternehmen, die von anderen Unternehmen bereitgestellte KI-Systeme nutzen, in einem ersten Schritt eine Bestandsaufnahme dieser Systeme vornehmen und mögliche Verpflichtungen bewerten.
Besonders Anbieter von Hochrisiko-KI-Systemen sollten sich nicht allzu viel Zeit lassen. Denn der AI Act verlangt von ihnen nicht nur umfangreiche Governance-Strukturen und entsprechende Dokumentation, sondern kann auch zur Anpassung der KI-Systeme führen, damit sie die Konformitätsbewertung bestehen können und auf dem EU-Markt verbleiben dürfen.
Mehr Informationen:
Zukunft & KI: Interview mit Fabian Westerheide
KI verstehen: Update zu Kennzeichnungspflichten und zum neuen ChatGPT
KI verstehen: Sora und Co. – Welche Folgen hat der Aufstieg der Video-KI?
KI verstehen: Erste UN-Resolution zu Künstlicher Intelligenz
KI verstehen: Was ist Künstliche Intelligenz und warum wird sie reguliert?