KI-Regulierung in Europa: Der EU AI Act erklärt
Neben dem Digital Services Act (DSA), Digital Markets Act (DMA), und dem Data Act stellen die Regulierungen zum Einsatz von künstlicher Intelligenz, der AI Act, einen weiteren und einen entscheidenden Schritt hin zu einer harmonisierten Regulierung digitaler Dienste in Europa dar.
Dieses Gesetzgebungsbündel soll gemeinsam eine europäischen Digitalstrategie verkörpern, um Innovation zu fördern, Verbraucherrechte zu stärken und eine sicherere digitale Umgebung zu schaffen. Hier ein erster Überblick von RA Michael Terhaag über die neue EU-Verordnung.
Die Europäische Union hat mit dem AI Act einen ersten Schritt in die Regulierung künstlicher Intelligenz (KI) unternommen. Diese Regelwerk soll den Einsatz von KI-Systemen innerhalb der EU zu standardisieren und reglementieren. Innovation soll gefördert zu fördern, während gleichzeitig Risiken für die Bürgerinnen und Bürger minimiert werden. Im Folgenden finden Sie eine Zusammenfassung der Schlüsselaspekte des AI Acts.
Der AI Act zielt darauf ab, ein Gleichgewicht zwischen der Förderung künstlicher Intelligenz und dem Schutz der Grundrechte der EU-Bürgerinnen und -Bürger zu finden. Er gilt für Anbieter, die KI-Systeme in der EU auf den Markt bringen oder in Betrieb nehmen, sowie für Anwender von KI-Systemen innerhalb der EU.
Risikobasierte Kategorisierung
Ein Kernstück des AI Acts ist die Einführung eines risikobasierten Ansatzes. KI-Systeme werden in vier Risikokategorien eingeteilt:
- Unannehmbares Risiko (zB. Systeme, die eine soziale Bewertung (Social Scoring) durchführen, welche Bürgerinnen und Bürger diskriminieren könnten)
- Hohes Risiko (KI-Anwendungen im Gesundheitswesen oder im Personalwesen, die über lebensverändernde oder lebenswichtige Entscheidungen wie Diagnosen oder Einstellungen bestimmen)
- Begrenztes Risiko (zB. Chatbots, die eine gewisse Transparenz benötigen, um Nutzern klarzumachen, dass sie mit einer KI interagieren) und
- Minimales Risiko (KI-Systeme in Videospielen oder Spamfilter, die geringe bis keine direkten Auswirkungen auf die Grundrechte oder Sicherheit der Nutzer haben).
Für jede Kategorie gelten spezifische Anforderungen und Regulierungsmechanismen. KI-Systeme mit unannehmbarem Risiko, wie etwa sozialen Scoring-Systemen, die zu Diskriminierung führen könnten, sind verboten. Systeme, die als hochriskant eingestuft werden, darunter solche, die in kritischen Infrastrukturen wie Krankenhäusern oder auch im Bildungsbereich eingesetzt werden, müssen strenge Anforderungen an Transparenz, Sicherheit und Datenschutz erfüllen.
Transparenz und Datenqualität
Wie der DSA legt auch der AI Act großen Wert auf Transparenz - hier ist darüberhinaus die Qualität der verwendeten Daten wichtig. Anbieter müssen sicherstellen, dass ihre KI-Systeme nachvollziehbar und dass die verwendeten Trainingsdaten frei von Vorurteilen sind, um Diskriminierung zu vermeiden. Dies umfasst auch die Pflicht zur Bereitstellung von klaren Informationen über die Funktionsweise der KI-Systeme für die Endnutzer.
Aufsichtsbehörden und Sanktionen
Die Durchsetzung des AI Acts wird durch nationale Aufsichtsbehörden sichergestellt, die die Einhaltung der Vorschriften überwachen und bei Verstößen Sanktionen verhängen können. Beim DSA soll beispielsweise die Bundesnetzagentur zuständig sein - für den AI Atc könnte auch das Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Betracht kommen. Nationale Regelungen hierzu sind bislang nicht beschlossen. Vielen die die sagen, die Regelungen würden durch keinen befolgt, sei auch hier der Hinweis gegeben, dass zu den möglichen Strafen Bußgelder von bis zu 6% des weltweiten Jahresumsatzes eines Unternehmens gehören, was schnell in die Millionen gehen kannn. bei den die Ernsthaftigkeit unterstreicht, mit der die EU die Regulierung von KI-Systemen angeht.
Wann tritt der AI Act in Kraft?
Die Veröffentlichung des Entwurfs des AI Acts durch die Europäische Kommission war bereits im Jahr 2021, der Gesetzgebungsprozess ist bislang (Stand März 2024) noch nicht abgeschlossen, wobei die Mitgliedstaaten den endgültigen Textentwurf des Gesetzes bereits bestätigt haben. Die Verabschiedung des AI Acts durch das Europäische Parlament steht noch aus, der Verfasser rechnet aber schon damit, dass das Gesetz noch in 2024 offiziell verabschiedet werden könnte. 20 Tage nach der Veröffentlichung im Amtsblatt der EU trit der AI dann in Kraft, mit den angesprochenen Übergangs- und Umsetzungsfristen. Die detaillierten Regelungen für generelle KI-Modelle werden also voraussichtlich erst ab 2025 gelten, während der Großteil der übrigen Regeln in der Regel erst zwei Jahre nach der Veröffentlichung des Gesetzes Anwendung finden wird.
Fazit
Die EU macht weiter Ernst mit der Harmonisierung der Digitalen Dienste in Europa. Mit dem AI Act zur Regulierung von Künstlicher Intelligenz und em maßgeblich risikobasierten Ansatz scheint die die EU die sprichwörtliche Quadratur des Kreises anzustreben, wenn man Innovation fördern will, gleichzeitig aber die Sicherheit und die Grundrechte der Bürgerinnen und Bürger maximal zu schützen. Für Unternehmen, die KI-Systeme entwickeln oder einsetzen, ist es entscheidend, sich frühzeitig mit den Anforderungen des AI Acts vertraut zu machen und sich auf dessen Inkrafttreten vorzubereiten.
Das könnte Sie auch interessieren
„Das Internet, wie wir es kannten“ - Editorial von Michael Terhaag von in der Kommunikation & Recht - K&R (4/2023)
RA Terhaag live im ZDF-Interview zum Digital Service Akt und dem Digitale Dienste Gesetz: DSA und DDG - neues Recht für alle Digitale Dienste