KI-Regulierung in der EU: Der AI Act und seine Auswirkungen auf Organisationen

In der rasant fortschreitenden Welt der Künstlichen Intelligenz (KI) bzw. Artificial Intelligence (AI) hat die Europäische Union einen bedeutenden Schritt gemacht, um die Entwicklungen und Anwendungen von KI-Systemen zu regulieren. Am 13. März 2024 hat das Parlament dem AI Act zugestimmt.

Das Ziel der EU ist es, die Entwicklung und Nutzung sicherer und vertrauenswürdiger KI-Systeme zu fördern und gleichzeitig Risiken für die Grundrechte und Freiheiten von Individuen zu minimieren – insbesondere in Bezug auf Datenschutz, Nichtdiskriminierung und Privatsphäre.

Doch was genau steckt hinter dem AI Act? Und wie wirkt er sich auf Organisationen aus? Wir haben den risikobasierten Ansatz, die wichtigsten Regelungen und die Auswirkungen auf Organisationen zusammengefasst. 

Niemand weiß genau, wie gefährlich KI tatsächlich ist. Allgemein wird sie als sehr mächtig eingeschätzt. Einige Expert:innen sind sogar der Meinung, dass die Minimierung von Risiken, die durch KI ausgehen, eine globale Priorität neben anderen Risiken gesellschaftlichen Ausmaßes, wie Atomkrieg oder Pandemien, haben sollte. Hier ist die EU einen entscheidenden Schritt weitergekommen.

Denn der AI Act ist Teil der digitalen Strategie der EU und soll bessere Bedingungen für die Entwicklung und Nutzung künstlicher Intelligenz schaffen. Dies stellt einen entscheidenden Schritt in der Regulierung von KI dar und zielt darauf ab, ein Gleichgewicht zwischen der Förderung von Innovationen sowie der Gewährleistung der Sicherheit und des Schutzes der Grundrechte der Nutzer:innen zu finden. Das Parlament will vor allem sicherstellen, dass eingesetzte KI-Systeme sicher, transparent, nachvollziehbar, nicht diskriminierend und umweltfreundlich sind.

Dies ist ein wichtiger Meilenstein für die verantwortungsvolle Entwicklung und den Einsatz von KI-Technologien in der EU. Nach Verabschiedung wird der AI Act die weltweit ersten rechtlichen Vorschriften für KI enthalten. Digitalkommissar Thierry Breton beschreibt die Verordnung als „historisch“. Es sei „die Startrampe für europäische Start-ups und Forscher, um das globale KI-Wettrennen anzuführen.“ 

Ein zentrales Merkmal des AI Acts ist sein risikobasierter Ansatz. Dies bedeutet, dass die Regulierungen in Abhängigkeit von dem Risiko, das ein KI-System darstellen könnte, variieren. Grundsätzlich unterscheidet die Verordnung vier verschiedene Risikostufen:

Die erste Stufe besteht aus Systeme mit unannehmbarem Risiko. So werden Systeme eingestuft, wenn sie als Bedrohung für Menschen gelten. Diese Form der KI ist grundsätzlich verboten. Dazu gehören Systeme, die das Verhalten von Personen oder bestimmten gefährdeten Gruppen manipulieren (z. B. sprachgesteuertes Spielzeug, das das Verhalten von Kindern beeinflusst). Auch soziales Scoring, die biometrische Identifizierung und Kategorisierung von Personen sowie die biometrische Echtzeit-Fernidentifizierung (z. B. Gesichtserkennung) sind kategorisch verboten. Lediglich für Strafverfolgungszwecke gibt es einige Ausnahmen.

Besonders im Fokus stehen zudem Hochrisiko-Anwendungen, wie solche, die in kritischer Infrastruktur, bei Sicherheitsbehörden oder in der Personalverwaltung zum Einsatz kommen. Diese Systeme haben gemeinsam, dass sie ein hohes Risiko für die Gesundheit und Sicherheit oder die Grundrechte natürlicher Personen darstellen. Für diese Kategorien werden strenge Vorgaben festgelegt, darunter eine menschliche Kontrolle über KI-Systeme, eine detaillierte technische Dokumentation und ein ausgefeiltes Risikomanagementsystem.

KI-Systeme mit begrenztem Risiko, wie z. B. Chatbots, müssen lediglich grundlegende Transparenzanforderungen erfüllen. Nutzer:innen sollen fundierte Entscheidungen treffen und sich nach der Interaktion mit der KI überlegen können, ob sie diese weiter einsetzen wollen. Zu den Transparenzanforderungen gehört etwa, dass Nutzer:innen darauf aufmerksam gemacht werden, wenn sie mit einer KI interagieren.

In der niedrigsten Risiko-Kategorie sind KI-Systeme mit minimalem Risiko. Dazu zählen etwa KI-gestützte Videospiele oder Spamfilter. Für diese Kategorie sieht der AI Act keine Regulierung vor. Die große Mehrheit der KI-Systeme hat aktuell nur ein minimales Risiko.

Die sogenannten Grundlagenmodelle bilden einen Sonderfall. Generative Foundation-Modelle wie GPT4 oder Dall-E werden auf großen Datenmengen trainiert und können für vielfältige Aufgaben angepasst werden. Für diese Modelle sieht der AI Act ebenfalls strenge Regeln und zusätzliche Transparenzanforderungen vor. So müssen sie etwa offenlegen, dass Inhalte von KI generiert wurden und Modelle so gestalten, dass keine illegalen Inhalte erzeugt werden können. Außerdem müssen die Entwickler:innen eine Zusammenfassung urheberrechtlich geschützter Daten, die für das Training genutzt wurden, veröffentlichen. Die Systeme müssen gründlich bewertet werden und alle schwerwiegenden Vorfälle sind meldepflichtig. Allerdings betrifft das nur Modelle ab einer bestimmten Größe und mit besonders hoher Rechenleistung.

Vom AI Act ausgenommen sind militärische, verteidigungspolitische sowie ausschließlich für Forschung und Innovation genutzte Systeme.

Der EU AI Act ist ein umfassendes Regelwerk zur Regulierung von Künstlicher Intelligenz (KI) innerhalb der Europäischen Union. Die wichtigsten Regulierungen dieser Verordnung zielen darauf ab, die Risiken zu steuern, die mit dem Einsatz von KI-Systemen verbunden sind, und gleichzeitig ein innovationsfreundliches Umfeld zu schaffen.

Ähnlich wie bei der DSGVO gibt es auch im AI Act Informationspflichten. Hier müssen Nutzer:innen ausreichend über die Funktionsweise, die Grenzen und die Risiken der verwendeten KI-Systeme informiert werden.

Auch das Marktortprinzip ist der DSGVO entlehnt. Wie bei dem Datenschutzgesetz, müssen sich auch Akteure, die in einem Drittland niedergelassen oder ansässig sind, an den AI Act halten, sobald sie KI in der EU einsetzen.

Innerhalb der Kommission soll eine KI-Behörde, welche die Regulierung der Grundlagenmodelle durchsetzen soll, eingerichtet werden. Grundsätzlich sollen die KI-Systeme aber von den zuständigen nationalen Behörden überwacht werden. Im Europäischen Ausschuss für künstliche Intelligenz kommen die Behörden dann zusammen, um eine einheitliche Anwendung des AI Acts sicherzustellen. Zusätzlich soll ein beratendes Forum Rückmeldungen von Interessensgruppen und der Zivilgesellschaft einholen und ein wissenschaftliches Gremium soll bei der Durchsetzung der Regulierung beraten.

Bußgelder können je nach Schwere des Verstoßes und der Organisationsgröße zwischen 35 Mio. Euro oder 7 % des globalen Umsatzes und 7,5 Mio. Euro oder 1,5 % liegen. Für KMU und Start-ups wird es allerdings entsprechend angepasste Obergrenzen geben. 

Die Einführung des AI Acts hat weitreichende Implikationen für Organisationen, die KI-Systeme entwickeln, bereitstellen oder nutzen. Sie müssen sich mit den neuen Vorschriften auseinandersetzen und entsprechende Anpassungen vornehmen.

Dafür sollten Organisationen zunächst eine Bestandaufnahme und Bewertung ihrer aktuellen und geplanten KI-Systeme vornehmen, um die Einordnung in die Risikokategorien des AI Acts zu bestimmen.

Anschließend sollten Entwicklungsprozesse überprüft und gegebenenfalls angepasst werden, um eine Übereinstimmung mit den Anforderungen des AI Acts sicherzustellen. Auch die Einrichtung interner Kontrollsysteme und Governance-Strukturen zur Überwachung der Einhaltung der Vorschriften kann sinnvoll sein. Um potenzielle Risiken und Auswirkungen der KI-Systeme zu identifizieren und zu steuern, sollten Risikomanagementprozesse implementiert oder verbessert werden.

Zusätzlich ist die Schulung von Mitarbeitenden essentiell, um Bewusstsein und Verständnis für die Anforderungen des AI Acts zu schaffen – insbesondere bei Teams, die an der Entwicklung und Implementierung von KI beteiligt sind.

Unsere Empfehlung: Seien Sie schnell bei der Umsetzung. Bei diesem sensiblen Thema können für Unternehmen nicht nur Reputationsverluste eintreten, wenn diese in den Ruf geraten, Maschinen vor den Menschen den Vorrang einzuräumen. Außerdem sind Übergangsfristen schnell abgelaufen – wie auch die Einführung der DSGVO gezeigt hat. 

Trotz seiner positiven Aspekte hat der AI Act auch Kritik auf sich gezogen. Die Balance zwischen der Gewährleistung von Sicherheit und dem Erhalt von Innovation und Wettbewerbsfähigkeit ist eine entscheidende Herausforderung.

Einige befürchten, dass der detaillierte und strenge Regulierungsrahmen Innovationen behindern könnte. Sie argumentieren, dass zu strenge Vorschriften Start-ups und kleinere Unternehmen übermäßig belasten und somit ihre Fähigkeit, innovative KI-Lösungen zu entwickeln und auf den Markt zu bringen, einschränken können.

Andere wiederum sprechen von einer Unterregulierung und zu großen Auslegungsspielräumen. Gerade der Einsatz von Gesichtserkennung in polizeilichen Ermittlungen hat für viel Diskussion gesorgt. Ursprünglich waren sich die Mitgliedsstaaten einig, dass der Einsatz von biometrischer Fernerkennung grundsätzlich verboten werden sollte. Manche fürchten auch um den effektiven Schutz der Privatsphäre von Nutzer:innen. 

Nach der vorläufigen Einigung über den AI Act  im Dezember 2023 hat nun das Parlament die Verordnung angenommen. Damit ist der AI Act formal EU-Recht und tritt am 20. Tag nach Veröffentlichung im EU-Amtsblatt in Kraft. Die Verordnung findet grundsätzlich 24 Monate später Anwendung. Einige Verbote greifen allerdings schon nach sechs Monaten und Vorschriften zu KI-Modellen mit allgemeinem Verwendungszweck gelten nach 12 Monaten. 

Der EU AI Act markiert einen wichtigen Schritt in der globalen Landschaft der KI-Regulierung. Während er Herausforderungen und Anpassungsbedarf für Organisationen mit sich bringt, bietet er auch die Chance, vertrauenswürdige und sichere KI-Systeme zu fördern, die die Rechte und Sicherheit der Nutzer:innen achten. Es bleibt abzuwarten, wie sich der AI Act weiterentwickelt und welchen Einfluss er langfristig auf die KI-Entwicklung und -Nutzung haben wird.

Insgesamt besteht aber die Hoffnung, dass der AI Act als Blaupause für andere Länder dienen kann, die nach einem Mittelweg zwischen den lockeren Regelungen der USA und den restriktiven Auflagen Chinas suchen. 

Bundesministerium der Justiz (2024): „Rahmen für Künstliche Intelligenz in der EU steht: KI-Verordnung einstimmig gebilligt“, 02. Februar 2024, https://www.bmj.de/SharedDocs/Pressemitteilungen/DE/2024/0202_KI-VO.html?cms_mtm_campaign=linksFromNewsletter, letzter Zugriff am 11. März 2024.

Deutschlandfunk (2023): „AI Act der EU: Zügel für die künstliche Intelligenz“, 14. Dezember 2023, https://www.deutschlandfunk.de/ai-act-eu-kuenstliche-intelligenz-gefahr-regulierung-100.html, letzter Zugriff am 11. März 2024.

European Parliament (2023): „EU AI Act: first regulation on artificial intelligence“, 08. Juni 2023, https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence, letzter Zugriff am 11. März 2024.

Volkery, Carsten, Jürgen Klöckner, Larissa Holzki und Josefine Fokuhl (2023): „EU beschließt umfangreichstes KI-Gesetz der Welt – das sind die wichtigsten Punkte“, 09. Dezember 2023, Handelsblatt, https://www.handelsblatt.com/politik/international/ai-act-eu-beschliesst-umfangreichstes-ki-gesetz-der-welt-das-sind-die-wichtigsten-punkte/100002256.html, letzter Zugriff am 11. März 2024.