Am 8. Dezember erzielten die Politiker der Europäischen Union einen bedeutenden Meilenstein, indem sie den Gesetzesentwurf für das Gesetz über Künstliche Intelligenz (KI-Gesetz) finalisierten. Damit wird die EU zum Vorreiter eines umfassenden regulatorischen Rahmens für Künstliche Intelligenz (KI) weltweit. Als Führer in der globalen digitalen und Datensteuerung hat die EU stets Standards gesetzt, insbesondere in Bezug auf Datenschutz und gezielte Werbung. Nach einem langwierigen Gesetzgebungsverfahren, das im April 2021 begann, steht das KI-Gesetz bereit, um die KI-Governance zu revolutionieren und den sogenannten „Brüssel-Effekt“ einzuleiten, der KI-Standards in der globalen Wirtschaft anheben wird. Der offizielle Text befindet sich derzeit in den abschließenden Überarbeitungen, aber die EU-Führer erwarten, dass das historische KI-Gesetz im April 2024 offiziell angenommen wird, mit einer schrittweisen Umsetzung, die 2026 beginnt.
Was ist das EU KI-Gesetz?
Das EU KI-Gesetz stellt einen bahnbrechenden rechtlichen Rahmen dar, den die Europäische Kommission im April 2021 einführte, um Sicherheit, Verantwortlichkeit und Transparenz von KI-Systemen im EU-Markt zu gewährleisten. Durch einen risikobasierten Ansatz wird das Gesetz KI-Entwickler, -Vertreiber, -Importeure und -Nutzer überwachen und potenzielle negative Auswirkungen von KI-Systemen sorgfältig bewerten. Je größer das potenzielle Risiko einer KI-Anwendung, desto stärker ist die erforderliche Aufsicht. Dieses Gesetz ähnelt der Allgemeinen Datenschutzverordnung (DSGVO) der EU, die seit ihrer Einführung im Jahr 2016 globale Datenschutzstandards beeinflusst hat.
Wer ist vom KI-Gesetz betroffen?
Das KI-Gesetz definiert spezifische Begriffe und Verantwortlichkeiten für verschiedene Akteure im KI-Ökosystem, einschließlich Entwickler, Vertreiber und Nutzer. Selbst Unternehmen außerhalb der EU können unter das Gesetz fallen, wenn ihre KI-Systeme Ergebnisse liefern, die innerhalb der EU verwendet werden. Beispielsweise könnte ein südamerikanisches Unternehmen, das ein KI-System entwickelt, das EU-Bewohner beeinflusst, dem Gesetz unterworfen sein. Das KI-Gesetz gilt nicht für militärische oder sicherheitsrelevante Anwendungen, definiert jedoch strenge Bedingungen für den Einsatz von Remote-Biometrie-Identifikationssystemen durch Strafverfolgungsbehörden.
Der Entwurf des KI-Gesetzes, den das Europäische Parlament im Juni 2023 verabschiedete, hebt zwei Hauptkategorien von Akteuren hervor:
- Anbieter: Dieser Begriff umfasst Entwickler, die KI-Systeme unter ihrer eigenen Marke anbieten, kostenlos oder gegen Entgelt. Ein Beispiel hierfür wäre OpenAI mit ChatGPT im EU-Markt.
- Einsatzsteller: Dieser Begriff bezeichnet nun die Einheiten, die KI-Systeme für berufliche oder geschäftliche Zwecke nutzen, und ersetzt den vorherigen Begriff „Nutzer“.
Die Compliance-Pflichten liegen hauptsächlich beim KI-Anbieter, was der Verantwortlichkeit der Datenverantwortlichen gemäß der DSGVO ähnelt. Die Zahl der KI-Nutzer (Einsatzsteller) wird jedoch die der Anbieter erheblich übersteigen, insbesondere im Hinblick auf hochriskante Systeme, bei denen die Einsatzsteller entscheidend für das Management von KI-bezogenen Risiken sein werden.
Risikoklassifizierung von KI-Anwendungen
Mit dem Fokus auf den Schutz der Rechte und Sicherheit der Endnutzer kategorisiert das KI-Gesetz KI-Systeme in vier Risikoklassen:
1. Unzulässige KI: Diese Kategorie verbietet vollständig den Einsatz von KI-Technologien, die demokratische Werte oder Menschenrechte gefährden, wie soziale Kreditsysteme und invasive biometrische Überwachung.
2. Hochriskante KI: Als hochriskant gelten KI-Systeme, die erhebliche Schäden in kritischen Sektoren – wie Infrastruktur, Beschäftigung und öffentliche Gesundheit – verursachen könnten. Entwickler solcher Systeme müssen strenge Anforderungen erfüllen, einschließlich Konformitätsprüfungen, Registrierung, Datenverwaltung und Cybersicherheitsprotokollen.
3. Niedrig-Risiko KI: Systeme, die geringfügige Risiken darstellen, wie einfache Chatbots, sind mit Transparenzmaßnahmen verbunden, die vorschreiben, dass Nutzer darüber informiert werden, wenn der Inhalt KI-generiert ist.
4. Minimale oder keine Risiko-KI: Diese Kategorie umfasst low-risk Anwendungen, wie automatisierte Zusammenfassungen und Spam-Filter, die in der Regel kein signifikantes Risiko für Nutzer darstellen.
Strafen für Nichteinhaltung
Die Verletzung der Bestimmungen des KI-Gesetzes kann erhebliche Strafen nach sich ziehen. Diese reichen von 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes, abhängig von der Schwere des Verstoßes. Die Version des Parlaments von 2023 schlägt folgende potenzielle Strafen vor:
- Unzulässige KI: Bis zu 7 % des weltweiten Jahresumsatzes, eine Erhöhung vom vorherigen Wert von 6 %.
- Hochriskante KI: Bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes.
- Allgemeine KI (z. B. ChatGPT): Bußgelder bis zu 15 Millionen Euro oder 2 % des weltweiten Umsatzes, mit speziellen Regelungen für generative KI-Anwendungen.
- Bereitstellung falscher Informationen: Strafen bis zu 7,5 Millionen Euro oder 1,5 % des globalen Umsatzes.
Vorbereitung auf das KI-Gesetz
Um das KI-Gesetz effektiv umzusetzen, müssen Organisationen eine umfassende Governance-Strategie entwickeln, die robuste interne Kontrollen und ein Management der Lieferkette umfasst. Unternehmen, die hochriskante KI-Systeme entwickeln oder einsetzen, sollten gründliche Bewertungen ihrer Betriebsabläufe durchführen und folgende Fragen berücksichtigen:
- Welche Abteilungen nutzen KI-Tools?
- Verarbeitet diese Tools vertrauliche Informationen oder sensible personenbezogene Daten?
- Fallen diese Anwendungsfälle unter unzulässige, hoch- oder niedrig-bis kein Risiko gemäß den Definitionen des KI-Gesetzes?
- Handelt das Unternehmen als KI-Anbieter oder als KI-Einsatzsteller?
- Welche Bestimmungen existieren in den Lieferantenverträgen bezüglich Datenschutz und Compliance?
Der Fortschritt der EU beim KI-Gesetz könnte bedeutende Veränderungen in den globalen legislativen Ansätzen zur Handhabung von KI-Risiken auslösen. In Kombination mit der kürzlichen US-KI-Erlass, der im Oktober angekündigt wurde, signalisiert dieses wegweisende Abkommen eine transformative Ära, wie Unternehmen KI-Technologie verantwortungsvoll und effektiv nutzen können.
Rangliste
