Recht und Steuern
AI-Act: Die EU reguliert künstliche Intelligenz (KI)
- Was ist der AI-Act?
- Was ist das Ziel des AI-Act?
- Wann tritt der AI-Act in Kraft?
- Wer ist vom AI-Act betroffen?
- Wie wird KI im Rahmen des AI-Act definiert?
- Ist meine KI vom AI-Act betroffen?
- Welche Risikoklassen gibt es?
- Inakzeptables Risiko – Verbotene Praktiken
- Hohes Risiko
- Begrenztes Risiko
- Niedriges Risiko
- Welche gesonderten Vorschriften gelten für KI-Modelle mit allgemeinem Verwendungszweck?
- Wie hoch fallen Sanktionen für Verstöße aus?
- Welche Unterstützung gibt es für KMU und Startups?
Was ist der AI-Act?
Der AI-Act (Artificial Intelligence Act) ist ein Gesetzesentwurf der Europäischen Union zur Regulierung von künstlicher Intelligenz. Es wäre weltweit eine der ersten umfassenden Regulierungen von künstlicher Intelligenz (KI).
Was ist das Ziel des AI-Act?
KI hat das Potenzial vielfältige Vorteile für Wirtschaft und Gesellschaft hervorzubringen. Als Beispiele können die Verbesserung von Prognosen, die Optimierung der Ressourcennutzung und die Personalisierung von Dienstleistungen genannt werden. Dieselben KI-Faktoren, die einen sozioökonomischen Nutzen erbringen, bergen aber auch neue Gefahren und Nachteile für unsere Gesellschaft. Beispielsweise neigen KI-Systeme, die auf unzureichenden Trainingsdaten basieren, Vorurteile zu übernehmen und dadurch diskriminierende Entscheidungen zu treffen. Die EU möchte deshalb sicherstellen, dass KI immer im Einklang mit den Werten, Grundrechten und Prinzipien der EU entwickelt wird.
Erklärte Position zum AI-Act des EU-Parlaments:
„Die Vorschriften sollen die Entwicklung, den Einsatz und die Nutzung von menschenzentrierten, vertrauenswürdigen KI-Systemen in der EU regeln und Gesundheit, Umwelt, Sicherheit, Grundrechte und Demokratie vor schädlichen Folgen schützen.“
Wann tritt der AI-Act in Kraft?
Die Verordnung tritt nach Zustimmung des Europäischen Parlaments voraussichtlich im Mai 2024 in Kraft. Grundsätzlich findet sie erst nach einer Übergangszeit von 24 Monaten – voraussichtlich Mai 2026 – Anwendung.
Einige Vorschriften sind aber bereits früher anwendbar:
- KI-Systeme mit inakzeptablem Risiko sind nach sechs Monaten verboten (voraussichtlich November 2024)
- Vorschriften zu KI-Modellen mit allgemeinem Verwendungszweck greifen nach 12 Monaten (voraussichtlich Mai 2025)
Wer ist vom AI-Act betroffen?
Diese Akteure sind vom AI-Act betroffen:
- Anbieter (auch aus Drittländern), die KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen
- Nutzer von KI-Systemen, die sich innerhalb der EU befinden
- Anbieter und Nutzer von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das vom System hervorgebrachte Ergebnis innerhalb der EU verwendet wird
Ausnahmen, die nicht vom AI-Act betroffen sind:
- KI-Systeme für ausschließlich militärische Zwecke
- Internationale Organisationen die KI-Systeme im Bereich der Strafverfolgung in Zusammenarbeit mit der EU oder mindestens einem Mitgliedstaat nutzen
- Forschungs- und Entwicklungsaktivitäten zu KI-Systemen
- Open-Source-Software unterliegt im Allgemeinen nicht der Regulierung, es sei denn, sie wird aufgrund ihrer Anwendung als verbotenes oder hochriskantes KI-System eingestuft
Wie wird KI im Rahmen des AI-Act definiert?
KI-Systeme müssen laut AI-Act mit einer der gängigen KI-Techniken entwickelt worden sein und
„[…] im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen [können], die das Umfeld beeinflussen, mit dem sie interagieren.“
Ist meine KI vom AI-Act betroffen?
Das Gesetz ist darauf ausgelegt, nur KI-Systeme mit hohem Risiko für die Allgemeinheit strengen Vorschriften zu unterlegen oder zu verbieten. Die meisten KI-Systeme fallen jedoch nicht unter diese Kategorie. Für sie gibt es keine Vorschriften oder nur Transparenzpflichten. Um zu bestimmen, welche Vorschriften für welche KI-Systeme gelten, wurden vier Risikoklassen gebildet.
Der Compliance-Checker des Future of Life Instituts ist ein nützliches Tool, um schnell herauszufinden, unter welche Risikoklasse ein KI-System fällt: EU AI Act Compliance Checker
Welche Risikoklassen gibt es?
Der AI-Act kategorisiert KI-Systeme in vier verschiedene Risikoklassen, die jeweils mit unterschiedlichen rechtlichen Vorgaben verknüpft sind:
|
Risikoklasse
|
Kurzbeschreibung
|
Regulierung
|
Beispiel
|
|
Inakzeptables Risiko
|
Verletzung fundamentaler Rechte
|
Verboten
|
Social Scoring Systeme
|
|
Hohes Risiko
|
Potenziell hohes Schadensrisiko
|
Weitreichende Anforderungen
|
Kreditwürdigkeitsprüfung
|
|
Begrenztes Risiko
|
Interaktion mit Personen
|
Transparenzpflichten
|
Chatbots
|
|
Niedriges Risiko
|
Alle anderen Systeme
|
Keine Anforderungen
|
Vorausschauende Wartung
|
Je größer das potenzielle Risiko bei der Verwendung eines KI-Systems ist, desto umfangreicher sind die damit verbundenen rechtlichen Anforderungen. Dazu gehören Risikobewertungen, Dokumentationspflichten, EU-Konformitätserklärungen und Überwachung durch den Betreiber.
Inakzeptables Risiko – Verbotene Praktiken
Die folgenden KI-Systeme stellen laut AI-Act ein unannehmbares Risiko dar und werden deshalb bereits sechs Monate nach Inkrafttreten der Verordnung EU-weit verboten:
- Die unterschwellige Beeinflussung von Menschen, die diesen körperlichen oder psychischen Schaden zufügen könnten.
- Ausnutzung der Schwäche oder Schutzbedürftigkeit einer Personengruppe aufgrund von Alter oder körperlicher- oder geistiger Behinderung.
- Die Bewertung oder Klassifizierung der Vertrauenswürdigkeit natürlicher Personen über einen bestimmten Zeitraum auf Grundlage des sozialen Verhaltens, persönlicher Eigenschaften oder Persönlichkeitsmerkmalen.
- Identifizierung von Personen in Echtzeit mithilfe biometrischer Daten in öffentlichen Bereichen für Zwecke der Strafverfolgung (Es gelten Ausnahmen).
Hohes Risiko
Stellt ein KI-System ein potenziell hohes Risiko für die Sicherheit, Gesundheit oder Grundrechte von Menschen dar, gilt es als Hochrisiko-KI-System. Anbieter solcher Systeme müssen eine Konformitätsbewertung durchführen und eine Konformitätserklärung ausstellen. Darunter fallen diese Anwendungen:
- Biometrische Identifizierung und Kategorisierung von natürlichen Personen
- Verwaltung und Betrieb kritischer Infrastrukturen
- Entscheidungen über den Zugang zu Bildungseinrichtungen als auch für die Bewertung von Schülern
- Auswahl von Bewerbern als auch für Entscheidungen über Beförderungen, Kündigungen, Aufgabenzuweisungen und die Leistungsüberwachung in Arbeitsverhältnissen
- Beurteilungen des Anspruchs auf öffentliche Unterstützungsleistungen oder die Kreditwürdigkeit natürlicher Personen
- Priorisierung des Einsatzes von Not- und Rettungsdiensten, einschließlich Feuerwehr und medizinischer Nothilfe
- Verschiedene Anwendungen im Bereich der Strafverfolgung, des Asylrechts und der Justiz
Begrenztes Risiko
Unter die Kategorie „Begrenztes Risiko“ fallen alle KI-Systeme, die mit Menschen interagieren. Beispiele dafür sind Chatbots oder Anwendungen zur Emotionserkennung. Für Anbieter solcher KI gilt eine Transparenzpflicht. Das bedeutet, dass eine natürliche Person darüber informiert werden muss, dass sie mit einem KI-System interagiert.
Niedriges Risiko
Mit niedrigem Risiko werden KI-Systeme bewertet, die unter keine andere Risiko-Kategorie fallen. Dazu zählen interne Anwendungen wie Spam-Filter oder Systeme für die vorausschauende Wartung von Maschinen. Sie müssen keine rechtlichen Anforderungen erfüllen. Dennoch besteht für Unternehmen die Möglichkeit, freiwillig Verhaltenskodizes für diese KI-Systeme anzuwenden.
Welche gesonderten Vorschriften gelten für KI-Modelle mit allgemeinem Verwendungszweck?
Unter KI-Modellen mit allgemeinem Verwendungszweck (General Purpose Artifical Intelligence, GPAI) versteht man KI-Systeme, die eine Vielzahl von Funktionen ausführen und sich an verschiedene Aufgaben anpassen können. Ein populäres Beispiel hierfür ist ChatGPT von Open AI. Das KI-Modell kann Audio- und Textdaten verarbeiten, Texte und Bilder generieren und viele weitere Aufgaben bewältigen. Da GPAI stark an wirtschaftlicher und gesellschaftlicher Relevanz gewinnen, gelten für sie gesonderte Risikokategorien. Diese richten sich nicht der jeweiligen Anwendungen, sondern der Funktion des zugrunde liegenden Basismodells.
Für normale GPAI gilt:
- Zusätzliche technische Dokumentation
- Detaillierte Aufstellung über die Verwendung urheberrechtlich geschützter Trainingsdaten
- Anforderungen zur Kennzeichnung generierter Inhalte
Für GPAI mit erheblichen Auswirkungen, worunter man „sehr leistungsstarke“ Basismodelle, die systemische Risiken bergen können, versteht, gilt zusätzlich:
- Pflichten in Bezug auf die Überwachung schwerwiegender Vorfälle
- Modellbewertung
- Angriffstests
Wie hoch fallen Sanktionen für Verstöße aus?
Die Strafen für Verstöße gegen die Vorschriften werden entsprechend der Größe und dem Geschäftszweck des Unternehmens festgelegt.
- Anwendung verbotener KI-Systeme: Bis 35 Mio. EUR oder 7% des Umsatzes.
- Verstöße gegen Verpflichtungen des AI-Acts: Bis 15 Mio. EUR oder 3% des Umsatzes.
- Angabe falscher Informationen: Bis 7,5 Mio. EUR oder 1,5% des Umsatzes.
Welche Unterstützung gibt es für KMU und Startups?
Um europäische Start-ups und KMU bei der Entwicklung von AI-Act konformen KI-System zu unterstützen, sollen sog. KI-Reallaboren entstehen. Sie sollen eine Möglichkeit bieten, KI-Systeme unabhängig und unter Regulierungsaufsicht zu entwickeln und zu testen, bevor sie auf den Markt kommen. Die KI-Reallabore sollen alle relevanten Akteure – öffentliche und private, einschließlich notifizierter Stellen, Normungsorganisationen und Forschungseinrichtungen – einbeziehen und für KMU und Startups grundsätzlich kostenfrei sein.
Stand: April 2024