Der Artificial Intelligence Act der EU (EU AI Act) ist das erste umfassende KI-Gesetz weltweit. Die EU will mithilfe dieser Grundlage bessere rechtliche Bedingungen für die Entwicklung und Nutzung von KI-Technologie ermöglichen.
Bereits im April 2021 wurde ein Gesetzesentwurf von der Europäischen Kommission im Rahmen der EU-Digitalstrategie vorgeschlagen. Dieser diente als Verhandlungsgrundlage zwischen EU-Parlament und EU-Rat. Nachdem der EU-Rat seine Version vorgelegt hatte, einigten sich im Juni dieses Jahres die Mitglieder des EU-Parlaments auf eine gemeinsame Position. Dann folgten die sogenannten Trilog-Verhandlungen der drei Institutionen, Parlament, Rat und Kommission. Mit der erreichten Einigung gibt es noch keinen finalen Gesetzestext, es dauert noch bis das Gesetz verabschiedet wird.
Risikostufen bestimmen Regulierungsgrad
Die Verordnung basiert auf einem risikobasierten Ansatz. Hierfür wurden vier Risikostufen festgelegt: Inakzeptables Risiko (für KI-Systeme, die eine eindeutige Bedrohung für die Sicherheit von Menschen darstellen), hohes Risiko (KI-Systeme, die Bereiche wie den Verkehr, die Bildung, die Sicherheit oder demokratische Prozesse gefährden können), begrenztes Risiko (beispielsweise bei Chatbots, die sich schwer von einem Menschen unterscheiden lassen) und minimales oder kein Risiko (wie KI-fähige Videospiele oder Spamfilter). Während also KI-Systeme, die das höchste Risiko darstellen, ganz verboten werden sollen, hängt bei den anderen die Stärke der Regulierung von der Risikostufe ab. Die Regulierungen umfassen transparente Einsichten sowie regelmäßige Bewertungen vor und während der Inbetriebnahme.
Ein entscheidender Faktor für die Einstufung ist die Rechenleistung. Ein umstrittener Punkt, denn auch kleinere Modelle können höhere Leistungen bewirken, ohne dabei gleichzeitig die damit verbundenen Risiken zu minimieren.
Pflichten für Basismodelle wie ChatGPT
Die großen Sprachmodelle wie Open AIs ChatGPT lassen sich nicht so einfach in die Risikostufen einordnen. Denn ChatGPT ist ein sogenanntes General purpose AI (GPAI), eine KI, die multifunktional eingesetzt werden kann. Sie kann beispielsweise in Software eingebaut werden. Das birgt eigene Risiken, die durch eine Transparenzpflicht minimiert werden sollen. Aber auch Cybersicherheitstest müssen vorgenommen werden.
KI zur Gesichtserkennung
Es soll keine biometrische Massenüberwachung geben. Eine grundsätzliche biometrische Identifizierung ist in bestimmten Fällen möglich. Das gilt zum einen bei Personen, die wegen schwerer Verbrechen gesucht werden, und zum anderen auch in Zusammenhang mit schweren Straftaten wie beispielsweise einem Terroranschlag. Vor allem Deutschland hatte sich gegen die biometrische Überwachung eingesetzt. Auch Systeme, die Gesichter aus öffentlich verfügbaren Daten auslesen, sollen verboten werden genauso wie KI-Software, die versucht, Emotionen von Menschen am Arbeitsplatz oder Bildungseinrichtungen zu erkennen.
Social Scoring
Social Scoring soll für Regierungen und Privatunternehmen verboten werden. Dabei geht es um den Einsatz von biometrischen Kategorisierungssystemen, die Merkmale wie sozioökonomischer Status, sexuelle Orientierung oder religiöse Überzeugungen zur Beurteilung der Vertrauenswürdigkeit heranziehen.
KI-Trainingsdaten offenlegen
Wenn KI-Firmen künftig Daten nutzen, um ihre Systeme zu trainieren, müssen sie in einer „detaillierten“ Übersicht transparent machen, welche Werke sie verwendet haben. Damit soll es Kreativen erleichtert werden, zu erkennen, ob sie ihr Urheberrecht einklagen können. Ein Auskunftsrecht für Urheber soll es aber nicht geben. Und was genau „detailliert“ genau bedeutet, ist auch nicht klar. Das gilt ebenfalls für mögliche Vergütungsansprüche
Wer überwacht das KI-Gesetz?
Es wird eine neue EU-Behörde geben, die für alle Länder überprüft, ob die Standards eingehalten werden. Ein beratendes Forum, das sogenannte „AI advisory board“ soll im regelmäßigen Austausch mit Interessengruppen stehen und ein Expertengremium bei der Durchsetzung der Regulierungen beraten.
