AI Act: EU erzielt "historische Einigung" über weltweit erste KI-Regulierung

Risiko-KI-Systeme und verbotene Anwendungen

Die Gesetzgebung sieht ein Verbot bestimmter KI-Anwendungen vor, die eine Gefahr für die Bürgerrechte und die Demokratie darstellen könnten. Dazu gehören

• biometrische Kategorisierungssysteme, die sensible Merkmale verwenden,
• "ungezieltes" Scraping von Gesichtsbildern aus dem Internet oder CCTV-Material zur Erstellung von Gesichtserkennungsdatenbanken,
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen,
• soziale Bewertung auf der Grundlage sozialen Verhaltens oder persönlicher Merkmale,
• KI-Systeme, die menschliches Verhalten manipulieren, um den freien Willen zu umgehen,
• und KI zur Ausnutzung menschlicher Schwächen.

Ausnahmen für biometrische Echtzeit-Identifikationssysteme im öffentlichen Raum gibt es im Kontext der Strafverfolgung. Der Einsatz von KI ist nur bei einer definierten Liste von schweren Straftaten (Mord, Terror, Missbrauch) mit vorheriger richterlicher Genehmigung erlaubt. Die Person muss verurteilt worden sein oder im Verdacht stehen, eine schwere Straftat begangen zu haben.

Für KI-Systeme, die als hochriskant eingestuft werden, fordern die Abgeordneten unter anderem eine verpflichtende Grundrechtsverträglichkeitsprüfung. Die Regelungen gelten auch für den Versicherungs- und Bankensektor.

Die Bürger haben das Recht, Beschwerden über KI-Systeme einzureichen und Erklärungen zu Entscheidungen zu erhalten, die auf hochriskanten KI-Systemen beruhen und ihre Rechte beeinträchtigen.

Eine nationale Förderung von "regulatorischen Sandkästen" und Tests in realen Umgebungen soll kleinen und mittleren Unternehmen helfen, KI-Anwendungen ohne den Druck der dominierenden Branchenriesen zu entwickeln, schreibt das EU-Parlament.

Transparenzanforderungen für allgemein anwendbare KI-Modelle

Darüber hinaus sollen hohe Transparenzstandards für grundlegende KI-Modelle gelten, insbesondere für große internationale Konzerne wie OpenAI, Microsoft oder Google. Diese Unternehmen müssen unter anderem offenlegen, welche Daten zum Training der Technologie verwendet wurden und wie das Urheberrecht gewahrt wird.

Da KI-Systeme eine Vielzahl von Aufgaben erfüllen können und ihre Fähigkeiten schnell erweitern, wurde vereinbart, dass allgemeine KI-Systeme (General Purpose AI, GPAI) und darauf basierende GPAI-Modelle den vom Parlament vorgeschlagenen Transparenzanforderungen entsprechen müssen.

Für GPAI-Modelle mit systemischem Risiko wurden strengere Verpflichtungen festgelegt. Diese Modelle müssen bestimmte Kriterien erfüllen, wie Modellbewertungen durchführen, systemische Risiken bewerten und mindern, gegnerische Tests durchführen, der Kommission über schwerwiegende Vorfälle berichten, Cybersicherheit gewährleisten und über ihre Energieeffizienz berichten.

Bei Nichteinhaltung der Regeln können je nach Art des Verstoßes und Größe des Unternehmens Geldbußen von 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes bis zu 7,5 Millionen Euro oder 1,5 Prozent des Umsatzes verhängt werden.

Die neuen Regeln bedeuten auch, dass der jüngste Vorstoß Deutschlands, Italiens und Frankreichs für eine Selbstregulierung grundlegender KI-Modelle gescheitert ist.

Der vereinbarte Gesetzestext muss nun vom Parlament und vom Rat formell angenommen werden, um EU-Recht zu werden. Die Parlamentsausschüsse für Binnenmarkt und bürgerliche Freiheiten werden in einer der nächsten Sitzungen über die Einigung abstimmen. Die Abstimmung gilt als Formsache.

Entscheidend wird die Umsetzung des Gesetzes sein. Die notwendige Regulierung darf nicht in Bürokratie ausarten und insbesondere die Zertifizierungsprozesse dürfen kleine Unternehmen und Start-ups nicht überfordern. Das gilt gerade für die EU, die bei der Marktdurchdringung von KI deutlich hinter den USA und China liegt und daher schnell und flexibel handeln muss.