AI Act: Die entscheidenden Hürden sind überwunden – wie es weitergeht

Inhaltsverzeichnis

Am 2. Februar 2024 haben sämtliche EU-Mitgliedsstaaten den AI Act einstimmig verabschiedet. Damit hat die "Verordnung des Europäischen Parlaments und des Rats zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union", kurz KI-Verordnung oder AI Act, eine entscheidende Hürde genommen – jetzt ist es am Europäischen Parlament, im April oder Mai ebenfalls zuzustimmen. Anschließend kann er im Amtsblatt der Europäischen Union veröffentlicht werden und in Kraft treten. Dies könnte im Juni 2024 der Fall sein.

Der Zustimmung sind monatelange Diskussionen und Verhandlungen vorausgegangen, die teils emotional geführt wurden. Anfang Dezember 2023 konnte im Trilog auf EU-Ebene eine Einigung über strittige Punkte erzielt werden. Zuletzt wackelte die Zustimmung insbesondere Deutschlands, weil einige inhaltliche Punkte für FDP-geführte Bundesministerien nicht akzeptabel waren, nämlich das Bundesministerium für Digitales und Infrastruktur, das Bundesjustizministerium und das Bundesfinanzministerium. In einer nächtlichen Einigung am 29. Januar 2024 konnte sich die Bundesregierung schlussendlich doch noch auf eine Zustimmung verständigen.

Richtiger Schritt oder innovationshemmend?

Der AI Act gilt – nach einer ersten Regulierung in China im August 2023 – als ein erstes umfassendes Regelwerk für künstliche Intelligenz. Befürworter feiern dies als vorausschauend und richtig, da KI frühzeitig in die richtigen Bahnen gelenkt und unerwünschte Anwendungen schnellstmöglich verboten werden müssten. Kritiker sehen es als zu früh an, diese neue Technologie zu regulieren, ohne die zukünftigen Einsatzmöglichkeiten ausreichend absehen zu können. Sie befürchten zudem, dass eine starke Regulierung innovationshemmend und gerade für die europäische KI-Industrie schädlich sei sowie zu einer Überregulierung führen könnte. Sie verweisen auf ähnliche Effekte, die sie der Datenschutz-Grundverordnung zuschreiben. Wer Recht behält, wird sich erst noch zeigen müssen.

Neue Umfrage: Sagen Sie uns Ihre Meinung zur Zukunft der iX

Feedback von unseren Leserinnen und Lesern ist schon immer eine wichtige Inspiration zur Weiterentwicklung des iX-Angebots gewesen. Daher möchten wir Sie bitten, einige Fragen zu Ihren Interessen im Bereich Profi-IT zu beantworten: https://heise.de/s/gO823 Danke!

Eine jüngst veröffentlichte offizielle Fassung des Gesetzesentwurfs umfasst 252 Seiten, bislang liegt der Text nur auf Englisch vor. Der AI Act erfasst in erster Linie "KI-Systeme" und definiert sie als "ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren und nach seiner Einführung Anpassungsfähigkeit zeigen kann, und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generieren kann, die physische oder virtuelle Umgebungen beeinflussen können". Diese Definition orientiert sich an der Definition der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD).

Viele Rechtsbegriffe sind noch unbestimmt

In Abgrenzung zu Software soll sich die Intelligenz von KI aus dem Begriff "ableitet" ergeben. Wie die Auslegung schlussendlich aussieht und wo genau die Grenze zwischen klassischen Softwarekomponenten und KI-Systemen zu ziehen ist, wird sich zeigen müssen. Das ist ein Hinweis auf ein grundlegendes Problem des AI Act, der eine Vielzahl unbestimmter Rechtsbegriffe enthält. Gerichtsstreitigkeiten sind also vorprogrammiert, Rechtssicherheit dürfte es bei zahlreichen Fragen erst nach Befassung durch den Europäischen Gerichtshof in einigen Jahren geben.

Der risikobasierte Ansatz der Regulierung von KI-Systemen führt zu einer Unterteilung in verschiedene Kategorien. Unterschieden wird zwischen verbotenen KI-Systemen, Hochrisiko-KI-Systemen und sonstigen KI-Systemen. Verboten sind soziale Bewertungssysteme, die Manipulation von Verhalten, Predictive Policing, die Ableitung von Emotionen und Ähnliches. Hochrisiko-KI-Systeme umfassen beispielsweise die Einsatzbereiche Biometrie, kritische Infrastruktur, allgemeine und berufliche Bildung, Bewerbermanagement und -auswahl, Rechtsdurchsetzung und Asylverfahren. Betroffen sind auch KI-Systeme, die in Bereichen eingesetzt werden sollen, die unter bestimmte andere Regelwerke fallen. Das sind etwa Maschinen, Spielzeuge, Fahrzeuge, Funktechniken oder Medizinprodukte. Hier droht betroffenen Unternehmen eine Doppelregulierung durch den AI Act und die jeweilige Spezialregelung.

Generative KI ist mitreguliert

Als Reaktion auf ChatGPT und andere generative KI-Modelle wurden weitere Regeln in den AI Act aufgenommen. So unterliegen General-Purpose AI Models (GPAI-Modelle) einer besonderen Regulierung, die beispielsweise Vorgaben über Transparenz und Dokumentation des Trainingsprozesses und der Nutzbarkeit umfassen. Hier enthält der AI Act allgemeine Produktsicherheitsvorgaben, die meist losgelöst vom angestrebten Einsatzzweck sind. Diese abstrakte Technologieregulierung stand im besonderen Fokus der Kritiker vor allem aus der Wirtschaft, die sie als innovationsfeindlich ansehen. Deutlich härteren Vorgaben unterliegen GPAI-Modelle mit systemischen Risiken – darunter fallen GPAI-Modelle, deren Training mehr als 10²⁵ FLOPS erfordert hat. Die Kriterien sollen die Gesetzgeber nach Inkrafttreten dynamisch anpassen.

Der AI Act enthält zahlreiche Vorschriften über die staatliche Aufsicht. Für KI-Modelle liegt diese beim AI Office, das der EU-Kommission angeschlossen wird. Für KI-Systeme erfolgt die Aufsicht durch nationale Behörden. In Deutschland könnte diese Aufgabe beispielsweise der Bundesnetzagentur zukommen. Bei Verstößen gegen den AI Act sind Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes eines Unternehmens vorgesehen. Die Übergangsfristen reichen von sechs Monaten ab Inkrafttreten für verbotene KI-Systeme bis 24 und 36 Monaten für die risikobasierten Regelungen für andere KI-Systeme.

(pst)