(Ratgeber) Artifical Intelligence Act (Gesetz über künstliche Intelligenz) – Wie wird der Umgang mit KI geregelt?

Künstliche Intelligenz (kurz: KI) ist durch ChatGPT für die breite Öffentlichkeit zugänglich geworden. Seitdem nehmen die vielfältigen Möglichkeiten und die Diskussionen rund um die Risiken von KI zu. Um die Menschen vor den möglichen Gefahren zu schützen, hat die Europäische Union den sogenannten AI Act (Gesetz über Künstliche Intelligenz) ins Leben gerufen.

Diese Verordnung ist die weltweit erste umfassende Regulierung von KI und wurde im Mai 2024 von den 27 EU-Mitgliedsstaaten verabschiedet. Doch für wen gilt sie und was sind ihre Bestimmungen?

Für wen gilt die KI-Verordnung?

• Unternehmen und Institutionen: Der AI Act betrifft primär diejenigen, die KI-Systeme innerhalb der EU entwickeln, verkaufen oder bereitstellen.
• Gewerbliche Nutzer: Auch gewerbliche Nutzer von KI-Systemen innerhalb der EU fallen unter die Verordnung.
• Privatpersonen: Für Privatpersonen gibt es keine besonderen Pflichten.
• Ausnahmen: KI-Systeme für militärische Zwecke sind von der Verordnung ausgenommen.

Welche Regelungen sieht der AI Act vor?

Die Verordnung stellt sicher, dass KI-Systeme sicher, transparent, zuverlässig und verantwortungsbewusst genutzt werden. Es gibt Anforderungen bezüglich Transparenz, Datenqualität, Dokumentationspflichten und menschlicher Aufsicht. Die Risiken für Gesundheit, Sicherheit und Grundrechte sollen dadurch minimiert werden.

Einstufung der KI-Systeme

Der AI Act teilt KI-Systeme in verschiedene Risikogruppen ein, die jeweils unterschiedlichen Anforderungen unterliegen:

Risikogruppe 1: Geringes Risiko

Diese KI-Systeme stellen kein unannehmbares oder hohes Risiko dar und können unter Einhaltung von Transparenz- und Informationspflichten verwendet werden. Beispiele hierfür sind:

• Spam-Filter
• Chatbots
• KI in Videospielen
• Suchalgorithmen

Risikogruppe 2: Hohes Risiko

Diese Systeme können erhebliche Gefahren für Gesundheit, Sicherheit oder Grundrechte darstellen. Anbieter müssen eine Konformitätserklärung abgeben und entsprechende Qualitäts- und Risikomanagementsysteme einführen. Beispiele sind:

• Kritische Infrastruktur wie Sicherheitskomponenten im Straßenverkehr
• Bildung und Beschäftigung, etwa KI zur Bewertung von Lernergebnissen
• Gesundheits- und Bankwesen, z.B. KI-Systeme zur Kreditvergabe
• Öffentliche Dienstleistungen und Sozialleistungen, wie KI zur Beurteilung von Unterstützungsleistungen

Risikogruppe 3: Unannehmbares Risiko

Diese KI-Modelle sind in der EU verboten, da sie eine Bedrohung für die Menschen darstellen. Beispiele umfassen:

• Social Scoring, etwa die Auswertung von Social Media Daten zur Kreditwürdigkeit
• Unterschwellige Beeinflussung, wie gezielte Manipulationen in sozialen Medien
• Ausnutzung menschlicher Schwächen, z.B. gefährliches Verhalten förderndes Spielzeug
• Biometrische Echtzeit-Identifizierung in öffentlichen Räumen, außer zur Terrorabwehr

Wie geht es mit der KI-Verordnung weiter?

Nach Veröffentlichung im Amtsblatt der EU tritt die Verordnung nach einer 20-tägigen Frist in Kraft. Die nächsten Schritte sind:

• Innerhalb von 12 Monaten müssen die EU-Mitgliedsstaaten entsprechende Aufsichtsbehörden einrichten und Verstöße sanktionieren.
• Das Verbot für KI-Systeme mit unannehmbarem Risiko gilt nach 6 Monaten.
• Die Regelungen für KI-Systeme mit allgemeinem Verwendungszweck, wie ChatGPT, treten nach 12 Monaten in Kraft.
• Andere Regelungen des AI Act sollen innerhalb von zwei Jahren vollständig umgesetzt werden.
• Hochrisiko-KI-Systeme, die bereits anderen EU-Regelungen unterliegen, haben eine Übergangsfrist von 3 Jahren.
• Die EU-Kommission wird jährlich prüfen, ob Anpassungen erforderlich sind, um auf aktuelle Entwicklungen zu reagieren.