EU AI Act: So soll Künstliche Intelligenz reguliert werden

Download: ChatGPT-Playbook
Janina Vendrami
Janina Vendrami

Aktualisiert:

Veröffentlicht:

Künstliche Intelligenz wird mit großer Wahrscheinlichkeit weite Teile und Bereiche unserer Zukunft dominieren – positiv sowie negativ. Während ich von der Vielfalt der verschiedenen KI-Angebote profitiere, gibt es auch ernstzunehmende Bedrohungen.

Roboter denkt über EU AI Act nach

Mit dem EU AI Act macht die Europäische Union einen entscheidenden Schritt in Richtung Regulierung der KI. Das Gesetz wurde inzwischen einstimmig verabschiedet. Doch was bedeutet das für KI-Systeme und letztlich auch für Verbraucher bzw. Verbraucherinnen und Unternehmen? Damit möchte ich mich in diesem Artikel auseinandersetzen.

→ Kostenloser Leitfaden: 84 ChatGPT-Prompts für Marketer [Jetzt herunterladen]

Was ist der AI Act der Europäischen Union?

Der AI Act der Europäischen Union ist eine Verordnung, die den Umgang mit Künstlicher Intelligenz regeln soll. Das auch als „KI-Verordnung“ (KI-VO) bezeichnete Gesetz soll vor allem Verbraucherinnen und Verbraucher vor dem unsachgemäßen Einsatz von KI schützen, sodass sie sich im Zweifel gegenüber KI-Anbietern durchsetzen können.

In Deutschland gab es zunächst vor allem von Seiten der FDP Bedenken. Die Partei führt unter Volker Wissing das Digitalministerium. Maßgeblich für die Zweifel verantwortlich, seien hohe Hürden für Unternehmen sowie schwammige Voraussetzungen bei der biometrischen Überwachung.

Bis vor kurzem habe man sich einer Zustimmung noch entziehen wollen, für eine Zustimmung auf europäischer Ebene war hingegen die Bewilligung aller Koalitionspartner vonnöten. Mittlerweile sind etwaige Zweifel jedoch aus der Welt geräumt.

Bundesjustizminister Marco Buschmann (FDP) formulierte die Zustimmung wie folgt: „[…] Mit der europäischen KI-Verordnung machen wir den Weg frei für einen sicheren Rechtsrahmen für Künstliche Intelligenz, der Innovationen fördert und gleichzeitig Risiken in der Anwendung angemessen adressiert.”

Wann tritt das KI-Gesetz in Kraft?

Nicht zuletzt durch die späte Zustimmung Deutschlands zum EU AI Act – aber auch Frankreich hatte seine Bedenken – ist die umfangreichste Verordnung (892 Seiten) der Welt Anfang Februar 2024 von den EU-Mitgliedsstaaten abgenickt worden. Es sei ein „historic, world first, pioneering“ Moment, wie es EU-Kommissar für Binnenmarkt und Dienstleistungen Thierry Breton auf X formulierte.

Mit der offiziellen Verabschiedung der KI-Verordnung müssen die Mitgliedsstaaten diese ab sofort umsetzen. Bis das KI-Gesetz allerdings vollständig in Kraft tritt und umgesetzt wird, vergehen noch einige Monate. Die beteiligten Länder erhalten für die Implementierung des Gesetzes bis zu 24 Monate Zeit.

Was fällt unter den Begriff KI?

Als ich von dem Gesetz hörte, stellte ich mir zunächst die Frage, welche KI-Systeme überhaupt in den Geltungsbereich der Bestimmung fallen. So viel vorab: Es gibt keine einheitliche Definition von „KI“ oder „KI-System“. Ich bin auf unterschiedliche Erklärungen gestoßen – von der Europäischen Kommission, dem Europäischen Parlament und dem EU-Rat.

So wurde KI im Verordnungsentwurf 2021 der EU-Kommission als eine Reihe von Technologien, die sich rasant entwickeln und einen vielfältigen Nutzen für Wirtschaft und Gesellschaft über das gesamte Spektrum industrieller und gesellschaftlicher Aktivitäten hinweg hervorbringen können“ bezeichnet. Etwas vage, oder?

Klarer wird es beim Europäischen Parlament, ich habe die englische Definition sinngemäß übersetzt: „Ein KI-System ist so konzipiert, dass es mit einem bestimmten Grad an Autonomie arbeitet und auf Grundlage maschinell oder von Menschen bereitgestellter Daten und Eingaben Ausgaben generiert. Das können Content (generative KI-Systeme), Vorhersagen, Empfehlungen oder Entscheidungen sein, die das Umfeld beeinflussen, mit denen das KI-System interagiert.“

Generell soll es darum gehen, potenzielle Gefahren durch KI in Risikogruppen einzuteilen. In anderen Worten bedeutet das, dass die Anforderungen an Erstellende strenger werden, je höher die potenziellen Gefahren sind. Während das EU-Parlament eingangs insbesondere die großen Modelle wie GPT-4, Gemini oder Llama 2 regulieren wollte, hatte es die Kommission vielmehr auf eine Selbstverpflichtung der Entwicklenden abgesehen.

Letztlich sieht die Lösung wie folgt aus: Entwicklende von KI-Basismodellen müssen eine „technische Dokumentation“ erstellen. Dieser Beleg muss Aufschluss darüber geben, welche Trainings- und Testverfahren durchgeführt wurden bzw. werden. Urheberrechtliche Bestimmungen müssen ebenfalls eingehalten werden, hinzukommen verpflichtende Wasserzeichen auf KI-generierten Produkten.

Was regelt der AI Act?

Die Klassifizierung von KI-Systemen ist der nächste Schritt, der für die Einhaltung der Gesetze wichtig ist. Nur so kann gezielt gegen sie vorgegangen werden.

Klassifizierung der KI-Systeme

Der AI Act klassifiziert KI-Systeme in drei Risikoklassen:

  1. Unannehmbar
  2. Hoch
  3. Gering/Minimal

Fällt ein KI-System in die dritte Kategorie (gering/minimal), sind die Anforderungen einfach einzuhalten. Bei Systemen mit den Risikoklassen „hoch“ und „unannehmbar“ sieht das anders aus. Auch Bürgerinnen und Bürger bekommen damit das Recht, Beschwerden bei Nichteinhaltung einzureichen.

Zu den Systemen mit geringem oder minimalem Risiko zählen beispielsweise Chatbots. Für die Systeme der dritten Kategorie gelten Transparenzpflichten. Das bedeutet das KI-generierte Inhalte mit einem Wasserzeichen versehen oder anderweitig gekennzeichnet werden müssen.

Hochrisiko-KI-Systeme müssen ebenfalls bestimmte Anforderungen erfüllen, dazu zählen die Datengrundlage, Sicherheit, Funktionsweise und die Aufsicht durch Menschen. Biometrische Echtzeit-Fernidentifizierungssysteme dürfen zum Beispiel nur unter bestimmten Voraussetzungen, beispielsweise der konkreten Gefahr eines Terroranschlags, eingesetzt werden.

Verbotene KI-Systeme

Sie werden es sich bereits denken: Die unannehmbaren KI-Systeme sind verboten. In erster Linie fallen Systeme in diese Kategorie, die menschliches Verhalten unterschwellig zu unserem Nachteil beeinflussen.

Auch KI, die Menschen ausnutzt, fällt in diese Kategorie. Zudem dürfen Behörden keine KI-Systeme einsetzen, die die Vertrauenswürdigkeit natürlicher Personen (Social Scoring) einschätzt.

Ich fasse kurz zusammen, welche KI-Systeme konkret verboten sind:

  • Systeme, die Menschen biometrisch kategorisieren (beispielsweise nach politischer Meinung oder Ethnie)
  • Künstliche Intelligenzen zur Gesichtserfassung aus dem Internet oder von Überwachungskameras, aus denen Datenbanken erstellt werden
  • Technologien, die Emotionen am Arbeitsplatz oder in Bildungseinrichtungen erkennen
  • KI-Systeme für Social Scoring
  • Manipulative Systeme, die den freien Willen von Personen beeinträchtigen
  • KI-Systeme, die die Schwächen einzelner Personengruppen (zum Beispiel Menschen mit Behinderung) ausnutzen

Was ist GPAI?

Im Zusammenhang der KI-Systeme fällt auch immer wieder der Begriff GPAI, General Purpose AI. Damit sind Basismodelle generativer KI, wie sie beispielsweise ChatGPT zugrunde liegen, gemeint.

Die flexiblen KI-Systeme können verschiedene Aufgaben gleichzeitig lösen und beispielsweise Video und Sprache miteinander kombinieren. Die Programme werden aufgrund von umfangreicher Daten trainiert. Wird nun eine falsche Aussage eingefügt, hat das Auswirkungen auf die zukünftig generierten Informationen.

So haben Forschende kürzlich nachweisen können, dass ein allgemeines KI-System (nicht spezifischer benannt) eine antimuslimische Voreingenommenheit aufwies. Wird nicht gegen diesen Umstand vorgegangen, wirken sich diese gefährlichen Aussagen auf Medienartikel, Schulungsmaterialien oder andere Chatbots aus.

Für diese Systeme gelten andere Risikoklassen:

  • GPAI mit allgemeinem Verwendungszweck
  • GPAI mit erheblichen Auswirkungen

Bei den Systemen mit erheblichen Auswirkungen gelten spezielle Pflichten wie beispielsweise Angriffstests und Modellbewertungen. Bei GPAI mit allgemeinem Verwendungszweck gilt hingegen „nur“ eine Transparenzpflicht.

Die Differenzierung beider Klassen erfolgt auf Basis der Rechenleistung, die für das Training der zugrunde liegenden Basismodelle verwendet wird. Sie wird in FLOPs (Floating Point Operations) gemessen – also der Leistungsfähigkeit. Der Schwellenwert im EU AI Act liegt bei 10^25 FLOP.

Warum sollten Sie sich für den AI Act interessieren?

Im ersten Moment wirkt der AI Act erstmal sehr bürokratisch, teils sogar äußerst technisch – so geht es zumindest mir. Bei genauerer Betrachtung wird jedoch schnell klar, dass er uns alle betrifft. Jede Organisation, jedes Unternehmen, das KI-Systeme innerhalb der Europäischen Union nutzt, muss sich an das KI-Gesetz halten.

Betreiben oder nutzen Sie zum Beispiel ein KI-System mit unannehmbarem Risiko, wird das bereits nach sechs Monaten ab Inkrafttreten der Verordnung verboten sein. Für KI-Systeme mit allgemeinem Verwendungszweck sind es hingegen zwölf Monate.

Was passiert beim Verstoßen gegen das Gesetz: Gibt es Bußgelder?

Wer künftig gegen den EU AI Act verstößt, muss mit empfindlichen Bußgeldern rechnen. Allein aus diesem Grund empfehle ich Ihnen, sich mit dem KI-Gesetz und der Regulierung auseinanderzusetzen.

Der „Bußgeldkatalog“ ist feststehend, er stammt aus den Bestimmungen des EU-Wettbewerbsrechts:

  1. Bei Verstößen gegen verbotene Praktiken: bis zu 35 Millionen Euro oder sieben Prozent des Jahresumsatzes (weltweit)
  2. Bei sonstigen Verstößen inklusive solcher in Bezug auf allgemeine KI-Modelle: bis zu 15 Millionen Euro oder drei Prozent des Jahresumsatzes (weltweit)
  3. Bei Bereitstellung unvollständiger, falscher und irreführender Angaben: bis zu 7,5 Millionen Euro oder 1,5 Prozent des Jahresumsatzes (weltweit)

Zur Einordnung: Diese Sanktionen und Bußgelder liegen über denen für Verstöße gegen die DSGVO, die bei maximal 20 Millionen Euro liegen. Die EU greift hier also durch. Wichtig zu wissen: Für KMU und Start-ups gelten laut Europäischem Rat „verhältnismäßigere Obergrenzen“ – definiert sind diese aber nicht.

Wie fallen die Reaktionen auf den EU AI Act aus?

Weltweit ist die Europäische Union Vorreiter bei der Regulierung Künstlicher Intelligenzen. Seit dem Frühjahr 2021 diskutieren verschiedene Interessengruppen breit über das Gesetz. Auch aus der Bevölkerung sowie von Entwicklerinnen und Entwicklern werden Stimmen laut.

Bitkom-Präsident Achim Berg macht deutlich, dass Künstliche Intelligenz nicht durch zu strenge Regularien verdrängt werden darf.

„Wie Europa sich zur Künstlichen Intelligenz verhält, wird großen Einfluss auf unsere künftige Wettbewerbsfähigkeit und unseren Wohlstand haben“, so Berg in einer Bitkom Pressemitteilung. Dennoch müsse man, insbesondere im Mobilitäts-und Gesundheitsbereich strenger regulieren. Innovationen sowie unkritische Anwendungen dürfe man jedoch nicht unterdrücken.

Allerdings muss ich an diesem Punkt einhaken. Denn klar ist: Wir wissen einfach noch nicht genau wohin uns die KI-Revolution führt. Als man nämlich zunächst darüber diskutierte, Regulierungen für die Grundlagenmodelle (beispielsweise GPT-4) einzuführen, ruderte man schnell zurück. Denn auf diesem System basieren viele weitere kleine Modelle. Nun findet allerdings eine spezielle Regulierung für genau diese Modelle statt. Die positive Folge: Darauf aufbauende Systeme sind viel weniger risikoanfällig.

Das meiner Meinung nach passendste Zitat zu diesem Thema stammt von Prof. Sandra Wachter von der Universität Oxford: „Kommt aus dem Hahn giftiges Wasser, ist es besser, die Quelle zu säubern, als in jedem Haus Filter einzubauen.“

Das Problem dabei ist allerdings, dass OpenAI (das Unternehmen hinter ChatGPT) künftig alle Produkte konform des AI Acts konzipieren muss. Ich überlege in diesem Zuge, ob sich das US-amerikanische Unternehmen dann dazu entscheiden könnte, andere Informationen für den europäischen Markt bereitzustellen, sodass der Chatbot künftig anders (eventuell weniger umfassend) trainiert wird.

Hinzukommt die Gesichtserkennung, die zum Beispiel in der Strafverfolgung Schlupflöcher bietet. Wo uns das Gesetz also letztlich hilft, ist noch unklar. Denn niemand weiß so recht, welche großen Erfindungen KI-Systeme noch bereithalten.

Allerdings bin ich der Meinung, dass es gut ist, dass die EU ein Zeichen setzt, auch wenn es anfangs vielleicht etwas befremdlich wirkt. Auf diese Weise wird damit angefangen zu regulieren. So können wir beginnen, uns mit der neuen Realität vertraut zu machen und gedanklich auseinander zu stezen. Eine Vorsicht vor eine Überregulation muss dennoch gegeben sein.

Fazit: Ist der EU AI Act sinnvoll?

Der EU AI Act geht einen bedeutenden Schritt in Richtung Regulierung der Künstlichen Intelligenz und kommt Unternehmen, Entwickelnden sowie Konsumenten und Konsumentinnen damit in vielen Aspekten sogar entgegen. Potenzielle Gefahren werden adressiert und Maßnahmen zur Einhaltung der Gesetze etabliert – Stichwort Sanktionen in Millionenhöhe. Dennoch gibt es Stimmen, die Bedenken hinsichtlich einer zu großen Zensur sehen.

Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung, appelliert, dass der AI Act keine KI-Bremse werden dürfe. Deutschland sollte auf keinen Fall „die Möglichkeiten für Markteingriffe bis an die Grenzen des Zulässigen ausreizen, wie wir dies bei der DSGVO erleben mussten. Damit würden Unternehmen in ein regulatorisches Korsett gezwungen, das Innovationen im Keim erstickt.“

Es bleibt spannend, wie erste Unternehmen oder KI-Systemanbieter mit den neuen Anforderungen umgehen und sich das KI-Business durch den EU AI Act verändert.

Kostenloser Download: ChatGPT-Playbook

Titelbild: HubSpot

Verwandte Artikel

Boosten Sie Ihr Business mit konkreten Anwendungen, Wachstumsstrategien, Optimierungen & Vorlagen für ChatGPT!

KOSTENLOS HERUNTERLADEN