Künstliche Intelligenz (KI) und das weltweit erste KI-Gesetz

Das KI-Gesetz der Europäischen Union

Die künstliche Intelligenz fasziniert, begeistert und animiert. Ob Sprachassistenten, autonom fahrende Autos, Haushaltsroboter oder Gesichtserkennung - die KI ist in Beruf und Alltag angekommen. Dabei sorgt sie für Umsatzrekorde bei Unternehmen, die mit oder für die Entwicklung der KI arbeiten. Je ausgefeilter deren Ergebnisse, desto offensichtlicher werden mögliche Risiken und Gefahren.

Der Gesetzgeber reagiert und schafft europaweit einen Rahmen für den Einsatz der KI. Mit dem weltweit ersten KI-Gesetz sind neue Verpflichtungen und Sanktionen verbunden. Nachdem zwei entscheidende Hürden genommen wurden, um innerhalb der EU den Einsatz der künstlichen Intelligenz zu regulieren, fehlt nur noch die Zustimmung des EU-Parlaments und des EU-Rats.

Ausnahmen für die nationale Sicherheit

Das Gesetz soll beispielsweise sicherstellen, dass durch die künstliche Intelligenz keine Urheberrechte verletzt werden und mittels KI erstellte Bilder, Texte etc. erkennbar sind. Außerdem wird die automatisierte Gesichtserkennung verboten und die Nutzung biometrischer Identifizierungsmöglichkeiten eingeschränkt. Zum Schutz der nationalen Sicherheit, zu militärischen Zwecken oder für Sicherheitsbehörden soll es jedoch Ausnahmen geben.

Welche Risikostufen sieht der Gesetzesentwurf vor?

Das KI-Gesetz sieht vier Risikostufen für KI-Systeme vor:

• inakzeptabel: Systeme in der höchsten Risikostufe, die zur Bedrohung der Sicherheit und Rechte bzw. des Lebensunterhalts eingesetzt werden können, sollen verboten werden.
• hoch: Systeme mit hohem Risikounterstehen strengen Anforderungen hinsichtlich der Datenqualität, Transparenz, Risikobewertung etc.
• begrenzt und minimal: Systeme mit begrenztem Risiko (z. B. Chatbots) müssen transparent sein und klar aufzeigen, dass der Nutzer nicht mit einem Menschen interagiert.
• kein Risiko: Systeme mit keinem bzw. geringem Risiko (z. B. Spamfilter) werden nicht reguliert und können frei verwendet werden.

Umstrittene Kontrolle von KI-Grundlagenmodellen

Firmen, die sogenannte Grundlagenmodelle (Foundation Models) entwickeln, sollen dazu nach dem Willen der EU bestimmte Informationen veröffentlichen. Grundlagenmodelle sind besonders leistungsfähige KI-Modelle (z. B. Sprachmodelle wie GPT-4), die intensiv mit Daten gefüttert und trainiert wurden. Sie sind die Basis für weitere Entwicklungen und können beispielsweise in die Software von Krankenhäusern eingebaut werden. Dort könnten solche KI-Systeme an lebenswichtigen Entscheidungen beteiligt sein. Es stellt sich die Frage, wer fehlerhafte Entscheidungen dabei verhindern kann.

Um die Risiken zu minimieren, sollen die Entwickler beispielsweise veröffentlichen, wie das Modell trainiert wurde. Außerdem sieht der Gesetzesentwurf vor, dass interne oder - bei besonders leistungsfähigen Basismodellen - auch externe Tests durchgeführt werden. Zudem müssen die Unternehmen mit einer neu zu schaffenden EU-Behörde kooperieren.

Deutschland präferiert Selbstverpflichtung

Damit gehen nicht alle EU-Mitglieder konform. Deutschland, Italien und Frankreich halten es für ausreichend, wenn nur konkrete Anwendungen reguliert werden. Eine stärkere Kontrolle der Grundlagenmodelle könne die KI-Entwicklung behindern. Es reiche eine Art Selbstverpflichtung der KI-Unternehmen aus.

Einige Experten sehen das anders, da gerade die Grundlagenmodelle gefährlich seien. Auch die Mehrheit des EU-Parlaments ist nicht bereit, in diesem Punkt die Forderung nach Regulierung zurückzuziehen. Verpflichtende Regeln seien für diese leistungsfähigen Modelle ein Muss und könnten nicht durch eine Selbstverpflichtung der Unternehmen ersetzt werden.

Welche Sanktionen sieht das Gesetz vor?

Der Gesetzesentwurf sieht gestaffelte Geldbußen vor. Es fällt jeweils der Betrag an, der höher ist:

• Verbotene KI-Praktiken werden mit Geldbußen von bis zu 40 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes geahndet.
• Werden die Anforderungen an die Datenverwaltung oder an die Transparenz nicht eingehalten oder erforderliche Informationen nicht bereitgestellt, sieht das Gesetz Geldbußen von bis zu 20 Mio. EUR oder 4 Prozent des weltweiten Umsatzes vor.
• Werden sonstige Anforderungen nicht eingehalten, können Geldbußen von bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Umsatzes erhoben werden.

Das erste KI-Gesetz ist herausfordernd für Anwender und Entwickler

Bereits im Vorfeld der Verabschiedung schlagen die Wogen rund um das erste KI-Gesetz hoch. Sobald der AI-Act offiziell verabschiedet ist, wird es einen Umsetzungszeitraum von voraussichtlich 2 oder 3 Jahren geben. Währenddessen werden Normen für das KI-Gesetz entwickelt und verabschiedet. Unternehmen können das KI-Gesetz auch freiwillig einhalten, selbst wenn das System nicht in deren Anwendungsbereich fällt. Um frühzeitig Klarheit zu schaffen, empfehlen wir, sich rechtlich beraten zulassen. Unsere Experten nehmen sich gerne Zeit für ein Erstgespräch.