© Tara Winstead, Pexels

KI-Regulierung in der EU: Der AI Act und seine Auswirkungen auf Organisationen

Zuletzt aktualisiert am 14. März 2024

In der rasant fortschreitenden Welt der Künstlichen Intelligenz (KI) bzw. Artificial Intelligence (AI) hat die Europäische Union einen bedeutenden Schritt gemacht, um die Entwicklungen und Anwendungen von KI-Systemen zu regulieren. Am 13. März 2024 hat das Parlament dem AI Act zugestimmt.

Das Ziel der EU ist es, die Entwicklung und Nutzung sicherer und vertrauenswürdiger KI-Systeme zu fördern und gleichzeitig Risiken für die Grundrechte und Freiheiten von Individuen zu minimieren – insbesondere in Bezug auf Datenschutz, Nichtdiskriminierung und Privatsphäre.

Doch was genau steckt hinter dem AI Act? Und wie wirkt er sich auf Organisationen aus? Wir haben den risikobasierten Ansatz, die wichtigsten Regelungen und die Auswirkungen auf Organisationen zusammengefasst. 

Hintergrund

Niemand weiß genau, wie gefährlich KI tatsächlich ist. Allgemein wird sie als sehr mächtig eingeschätzt. Einige Expert:innen sind sogar der Meinung, dass die Minimierung von Risiken, die durch KI ausgehen, eine globale Priorität neben anderen Risiken gesellschaftlichen Ausmaßes, wie Atomkrieg oder Pandemien, haben sollte. Hier ist die EU einen entscheidenden Schritt weitergekommen.

Denn der AI Act ist Teil der digitalen Strategie der EU und soll bessere Bedingungen für die Entwicklung und Nutzung künstlicher Intelligenz schaffen. Dies stellt einen entscheidenden Schritt in der Regulierung von KI dar und zielt darauf ab, ein Gleichgewicht zwischen der Förderung von Innovationen sowie der Gewährleistung der Sicherheit und des Schutzes der Grundrechte der Nutzer:innen zu finden. Das Parlament will vor allem sicherstellen, dass eingesetzte KI-Systeme sicher, transparent, nachvollziehbar, nicht diskriminierend und umweltfreundlich sind.

Dies ist ein wichtiger Meilenstein für die verantwortungsvolle Entwicklung und den Einsatz von KI-Technologien in der EU. Nach Verabschiedung wird der AI Act die weltweit ersten rechtlichen Vorschriften für KI enthalten. Digitalkommissar Thierry Breton beschreibt die Verordnung als „historisch“. Es sei „die Startrampe für europäische Start-ups und Forscher, um das globale KI-Wettrennen anzuführen.“ 

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unseren Fachartikel zur datenschutzkonformen Umsetzung des Hinweisgeberschutzgesetzes.

Online-Formular wird hier erscheinen

Ein risikobasierter Ansatz

Ein zentrales Merkmal des AI Acts ist sein risikobasierter Ansatz. Dies bedeutet, dass die Regulierungen in Abhängigkeit von dem Risiko, das ein KI-System darstellen könnte, variieren. Grundsätzlich unterscheidet die Verordnung vier verschiedene Risikostufen:

Systeme mit unannehmbarem Risiko

Die erste Stufe besteht aus Systeme mit unannehmbarem Risiko. So werden Systeme eingestuft, wenn sie als Bedrohung für Menschen gelten. Diese Form der KI ist grundsätzlich verboten. Dazu gehören Systeme, die das Verhalten von Personen oder bestimmten gefährdeten Gruppen manipulieren (z. B. sprachgesteuertes Spielzeug, das das Verhalten von Kindern beeinflusst). Auch soziales Scoring, die biometrische Identifizierung und Kategorisierung von Personen sowie die biometrische Echtzeit-Fernidentifizierung (z. B. Gesichtserkennung) sind kategorisch verboten. Lediglich für Strafverfolgungszwecke gibt es einige Ausnahmen.

Hochrisiko-KI-Systeme

Besonders im Fokus stehen zudem Hochrisiko-Anwendungen, wie solche, die in kritischer Infrastruktur, bei Sicherheitsbehörden oder in der Personalverwaltung zum Einsatz kommen. Diese Systeme haben gemeinsam, dass sie ein hohes Risiko für die Gesundheit und Sicherheit oder die Grundrechte natürlicher Personen darstellen. Für diese Kategorien werden strenge Vorgaben festgelegt, darunter eine menschliche Kontrolle über KI-Systeme, eine detaillierte technische Dokumentation und ein ausgefeiltes Risikomanagementsystem.

KI-Systeme mit begrenztem Risiko

KI-Systeme mit begrenztem Risiko, wie z. B. Chatbots, müssen lediglich grundlegende Transparenzanforderungen erfüllen. Nutzer:innen sollen fundierte Entscheidungen treffen und sich nach der Interaktion mit der KI überlegen können, ob sie diese weiter einsetzen wollen. Zu den Transparenzanforderungen gehört etwa, dass Nutzer:innen darauf aufmerksam gemacht werden, wenn sie mit einer KI interagieren.

KI-Systeme mit minimalem Risiko

In der niedrigsten Risiko-Kategorie sind KI-Systeme mit minimalem Risiko. Dazu zählen etwa KI-gestützte Videospiele oder Spamfilter. Für diese Kategorie sieht der AI Act keine Regulierung vor. Die große Mehrheit der KI-Systeme hat aktuell nur ein minimales Risiko.

Allgemeine und generative KI

Die sogenannten Grundlagenmodelle bilden einen Sonderfall. Generative Foundation-Modelle wie GPT4 oder Dall-E werden auf großen Datenmengen trainiert und können für vielfältige Aufgaben angepasst werden. Für diese Modelle sieht der AI Act ebenfalls strenge Regeln und zusätzliche Transparenzanforderungen vor. So müssen sie etwa offenlegen, dass Inhalte von KI generiert wurden und Modelle so gestalten, dass keine illegalen Inhalte erzeugt werden können. Außerdem müssen die Entwickler:innen eine Zusammenfassung urheberrechtlich geschützter Daten, die für das Training genutzt wurden, veröffentlichen. Die Systeme müssen gründlich bewertet werden und alle schwerwiegenden Vorfälle sind meldepflichtig. Allerdings betrifft das nur Modelle ab einer bestimmten Größe und mit besonders hoher Rechenleistung.

Ausnahmen

Vom AI Act ausgenommen sind militärische, verteidigungspolitische sowie ausschließlich für Forschung und Innovation genutzte Systeme.

Wichtige Regelungen im Überblick

Der EU AI Act ist ein umfassendes Regelwerk zur Regulierung von Künstlicher Intelligenz (KI) innerhalb der Europäischen Union. Die wichtigsten Regulierungen dieser Verordnung zielen darauf ab, die Risiken zu steuern, die mit dem Einsatz von KI-Systemen verbunden sind, und gleichzeitig ein innovationsfreundliches Umfeld zu schaffen.

Ähnlich wie bei der DSGVO gibt es auch im AI Act Informationspflichten. Hier müssen Nutzer:innen ausreichend über die Funktionsweise, die Grenzen und die Risiken der verwendeten KI-Systeme informiert werden.

Auch das Marktortprinzip ist der DSGVO entlehnt. Wie bei dem Datenschutzgesetz, müssen sich auch Akteure, die in einem Drittland niedergelassen oder ansässig sind, an den AI Act halten, sobald sie KI in der EU einsetzen.

Innerhalb der Kommission soll eine KI-Behörde, welche die Regulierung der Grundlagenmodelle durchsetzen soll, eingerichtet werden. Grundsätzlich sollen die KI-Systeme aber von den zuständigen nationalen Behörden überwacht werden. Im Europäischen Ausschuss für künstliche Intelligenz kommen die Behörden dann zusammen, um eine einheitliche Anwendung des AI Acts sicherzustellen. Zusätzlich soll ein beratendes Forum Rückmeldungen von Interessensgruppen und der Zivilgesellschaft einholen und ein wissenschaftliches Gremium soll bei der Durchsetzung der Regulierung beraten.

Bußgelder können je nach Schwere des Verstoßes und der Organisationsgröße zwischen 35 Mio. Euro oder 7 % des globalen Umsatzes und 7,5 Mio. Euro oder 1,5 % liegen. Für KMU und Start-ups wird es allerdings entsprechend angepasste Obergrenzen geben. 

Bedeutung für Organisationen

Die Einführung des AI Acts hat weitreichende Implikationen für Organisationen, die KI-Systeme entwickeln, bereitstellen oder nutzen. Sie müssen sich mit den neuen Vorschriften auseinandersetzen und entsprechende Anpassungen vornehmen.

Dafür sollten Organisationen zunächst eine Bestandaufnahme und Bewertung ihrer aktuellen und geplanten KI-Systeme vornehmen, um die Einordnung in die Risikokategorien des AI Acts zu bestimmen.

Anschließend sollten Entwicklungsprozesse überprüft und gegebenenfalls angepasst werden, um eine Übereinstimmung mit den Anforderungen des AI Acts sicherzustellen. Auch die Einrichtung interner Kontrollsysteme und Governance-Strukturen zur Überwachung der Einhaltung der Vorschriften kann sinnvoll sein. Um potenzielle Risiken und Auswirkungen der KI-Systeme zu identifizieren und zu steuern, sollten Risikomanagementprozesse implementiert oder verbessert werden.

Zusätzlich ist die Schulung von Mitarbeitenden essentiell, um Bewusstsein und Verständnis für die Anforderungen des AI Acts zu schaffen – insbesondere bei Teams, die an der Entwicklung und Implementierung von KI beteiligt sind.

Unsere Empfehlung: Seien Sie schnell bei der Umsetzung. Bei diesem sensiblen Thema können für Unternehmen nicht nur Reputationsverluste eintreten, wenn diese in den Ruf geraten, Maschinen vor den Menschen den Vorrang einzuräumen. Außerdem sind Übergangsfristen schnell abgelaufen – wie auch die Einführung der DSGVO gezeigt hat. 

Kritik

Trotz seiner positiven Aspekte hat der AI Act auch Kritik auf sich gezogen. Die Balance zwischen der Gewährleistung von Sicherheit und dem Erhalt von Innovation und Wettbewerbsfähigkeit ist eine entscheidende Herausforderung.

Einige befürchten, dass der detaillierte und strenge Regulierungsrahmen Innovationen behindern könnte. Sie argumentieren, dass zu strenge Vorschriften Start-ups und kleinere Unternehmen übermäßig belasten und somit ihre Fähigkeit, innovative KI-Lösungen zu entwickeln und auf den Markt zu bringen, einschränken können.

Andere wiederum sprechen von einer Unterregulierung und zu großen Auslegungsspielräumen. Gerade der Einsatz von Gesichtserkennung in polizeilichen Ermittlungen hat für viel Diskussion gesorgt. Ursprünglich waren sich die Mitgliedsstaaten einig, dass der Einsatz von biometrischer Fernerkennung grundsätzlich verboten werden sollte. Manche fürchten auch um den effektiven Schutz der Privatsphäre von Nutzer:innen. 

Ausblick

Nach der vorläufigen Einigung über den AI Act  im Dezember 2023 hat nun das Parlament die Verordnung angenommen. Damit ist der AI Act formal EU-Recht und tritt am 20. Tag nach Veröffentlichung im EU-Amtsblatt in Kraft. Die Verordnung findet grundsätzlich 24 Monate später Anwendung. Einige Verbote greifen allerdings schon nach sechs Monaten und Vorschriften zu KI-Modellen mit allgemeinem Verwendungszweck gelten nach 12 Monaten. 

Fazit

Der EU AI Act markiert einen wichtigen Schritt in der globalen Landschaft der KI-Regulierung. Während er Herausforderungen und Anpassungsbedarf für Organisationen mit sich bringt, bietet er auch die Chance, vertrauenswürdige und sichere KI-Systeme zu fördern, die die Rechte und Sicherheit der Nutzer:innen achten. Es bleibt abzuwarten, wie sich der AI Act weiterentwickelt und welchen Einfluss er langfristig auf die KI-Entwicklung und -Nutzung haben wird.

Insgesamt besteht aber die Hoffnung, dass der AI Act als Blaupause für andere Länder dienen kann, die nach einem Mittelweg zwischen den lockeren Regelungen der USA und den restriktiven Auflagen Chinas suchen. 

Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unseren Fachartikel zur datenschutzkonformen Umsetzung des Hinweisgeberschutzgesetzes.

Newsletter Anmeldung

Quellen

Bundesministerium der Justiz (2024): „Rahmen für Künstliche Intelligenz in der EU steht: KI-Verordnung einstimmig gebilligt“, 02. Februar 2024, https://www.bmj.de/SharedDocs/Pressemitteilungen/DE/2024/0202_KI-VO.html?cms_mtm_campaign=linksFromNewsletter, letzter Zugriff am 11. März 2024.

Deutschlandfunk (2023): „AI Act der EU: Zügel für die künstliche Intelligenz“, 14. Dezember 2023, https://www.deutschlandfunk.de/ai-act-eu-kuenstliche-intelligenz-gefahr-regulierung-100.html, letzter Zugriff am 11. März 2024.

European Parliament (2023): „EU AI Act: first regulation on artificial intelligence“, 08. Juni 2023, https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence, letzter Zugriff am 11. März 2024.

Volkery, Carsten, Jürgen Klöckner, Larissa Holzki und Josefine Fokuhl (2023): „EU beschließt umfangreichstes KI-Gesetz der Welt – das sind die wichtigsten Punkte“, 09. Dezember 2023, Handelsblatt, https://www.handelsblatt.com/politik/international/ai-act-eu-beschliesst-umfangreichstes-ki-gesetz-der-welt-das-sind-die-wichtigsten-punkte/100002256.html, letzter Zugriff am 11. März 2024. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Alle akzeptieren Alle ablehnen Einstellungen ändern
Cookies