Es wird entscheidend sein, die Balance zu finden zwischen Regulatorik und Freiheitsgraden. Gelingt dies mit dem AI Act, dann kann er zum Qualitätssiegel für KI-Anwendungen made in Europe werden.

Was sind die Ziele des AI Acts?

Die EU möchte mit dem am 8. Dezember 2023 beschlossenem AI Act einen europäischen KI-Ansatz und die Entwicklung menschenzentrierter und vertrauenswürdiger Künstlicher Intelligenz fördern und sicherstellen. Die EU also als Verbund, in dem KI-Anwendungen vom Labor bis zum Markt gedeihen und der Schritt hält, mit weltweiten Technologievorreitern wie den USA oder China. Durch den Fokus auf der Wahrung der bestehenden Grundrechte und Werte will die EU mit dem AI Act eine strategische Führungsrolle beim Thema KI einnehmen. Innerhalb der EU schafft der AI Act vergleichbare rechtliche Rahmenbedingungen für Unternehmen in allen Mitgliedsstaaten.

Was sind die Anforderungen des AI Acts an die KI?

Mit dem AI Act will die EU ihre Steuerungsmöglichkeiten des KI-Marktes stärken. Damit reagiert die EU auf potenzielle Risiken im Einsatz von KI-Anwendungen:

• Diskriminierung einzelner Personengruppen durch die KI
• Täuschung der Menschen bzw. Verzerrung der öffentlichen Wahrnehmung
• Gefahr des Kontrollverlustes durch intransparente Blackbox-Anwendungen
• Disruption gesellschaftlicher Verhältnisse
• Verstärkung sozialer Ungleichheit

Wen betrifft der AI Act?

Der AI Act betrifft zum einen die Anbieter, also diejenigen, die KI-Systeme in den Verkehr bringen oder in Betrieb nehmen und zum anderen die Nutzerinnen und Nutzer innerhalb der EU. Beides können jeweils natürliche oder juristische Personen sein.

Was fällt gemäß des AI Acts unter den KI-Begriff?

Die KI-Definition im AI Act ist sehr weit gefasst und umfasst Anwendungen, die Inhalte, Vorhersagen und Empfehlungen liefern oder die Entscheidungsfindung von Nutzern beeinflussen. Dies umfasst sowohl kommerzielle Angebote als auch den öffentlichen Sektor. Anwendungen, die unter den KI-Begriff im Sinne des AI Acts fallen, nutzen:

• Konzepte des maschinellen Lernens oder tiefen Lernen (Deep Learning)
• Logik- und wissensgestützte Konzepte, einschließlich Wissensrepräsentation, induktiver (logischer) Programmierung, Inferenz- und Deduktionsmaschinen, Schlussfolgerungs- und Expertensysteme
• Statistische Ansätze, Bayessche Schätz-, Such- und Optimierungsmethoden

Wie wird das Risiko von KI-Systemen im Sinne des AI Acts eingeschätzt?

Die Ermittlung des Risikopotenzials erfolgt in einem Self Assessment der Anbieter. In diesem wird die mögliche Einstufung des Risikopotenzials der KI-Systeme in eine von vier definierten Risikoklassen vorgenommen.

• Geringes Risiko: KI-Anwendungen mit geringem Risikopotenzial im Sinne des AI Acts sind zum Beispiel Suchalgorithmen, Spamfilter, Filmempfehlungen oder Videospiele.
  
• Begrenztes Risiko: KI-Anwendungen in unkritischen Bereichen wie beispielsweise Chatbots für den Kundenservice. Diese unterliegen lediglich einer Transparenzpflicht. Die Nutzerinnen und Nutzer sollen also darüber in Kenntnis gesetzt werden, dass sie mit einem automatisierten System interagieren.
  
• Hochrisiko KI-Systeme: Hochrisiko-Systeme finden sich vor allem in privaten oder öffentlichen Dienstleistungen in besonders sensiblen bzw. systemkritischen Bereichen wie der Strafverfolgung, dem Bildungswesen, der Medizin oder bei Grenzschutz und Asyl. Auch der KI-Einsatz in bestimmten Produkten wie Autos, Flugzeugen oder Spielzeug wird in der Regel als hochriskant eingestuft.
  
• Unannehmbares Risiko: In diese Kategorie fallen alle Anwendungen, die ein hohes Risiko für Menschen darstellen und deshalb von der EU verboten werden sollen. Hierzu zählen zum Beispiel die Manipulation sowie die Klassifizierung nach dem sozialen Status.

Was ist mit General Purpose AI Systemen?

Mit Blick auf die Risikoklassen und ihre Beispiele stellt sich natürlich auch die Frage, wie der AI Act mit Generative AI Anwendungen wie ChatGPT oder Midjourney umgeht. In der Regel werden diese in die Klasse „begrenztes Risiko“ aufgenommen. Die Problematik besteht hier aber in der schier grenzenlosen Vielfalt an möglichen Einsatzszenarien. Die Nutzung von ChatGPT zur Verfassung einer Kundenmail ist eher unkritisch. Ein ChatGPT basierter Patientenbrief im Krankenhaus ein Einsatzszenario im Hochrisikoumfeld.

Generative KI-System müssen deshalb Transparenzanforderungen erfüllen und offenlegen, dass die Inhalte von einer KI generiert wurden. Außerdem müssen Anbieter wie OpenAI Schutzmaßnahmen gegen die Generierung illegaler Inhalte gewährleisten und offen legen welche (urheberrechtlich geschützten) Daten für das Modelltraining verwendet wurden.

Welche Verpflichtungen ergeben sich für Anbieter von Hochrisiko KI-Systemen?

Der AI Act sieht eine ganze Reihe von Anforderungen an Hochrisiko KI-Systeme vor:

• Risikomanagementsystem: Einrichtung eines kontinuierlichen Prozesses über den gesamten Lebenszyklus des KI-Systems zur Analyse bekannter Risiken und Abschätzung möglicher Risiken.
  
• Daten und Daten-Governance: Hochrisiko KI-Systeme müssen mit Trainings-, Validierungs- und Testdatensätzen entwickelt werden, die definierten Qualitätskriterien entsprechen. Diese müssen relevant, repräsentativ, fehlerfrei und vollständig sein.
  
• Technische Dokumentation: Die Dokumentation muss vor der Inbetriebnahme des KI-Systems erstellt werden und zum Beispiel offenlegen, dass den zuständigen Behörden alle Informationen zur Verfügung stehen, um zu beurteilen, ob das KI-System diese Anforderungen erfüllt.
  
• Aufzeichnungspflichten: Protokollierung von Vorgängen und Ereignissen während des Betriebs, um die Rückverfolgbarkeit zu gewährleisten.
  
• Transparenz und Bereitstellung von Informationen für die Nutzer: Der Betrieb von Hochrisiko KI-Systemen muss für die Nutzer hinreichend transparent sein. Das heißt, dass Nutzer die Ergebnisse des Systems interpretieren und verwenden können. Dies kann durch die Bereitstellung einer Gebrauchsanweisung erreicht werden.
  
• Menschliche Aufsicht: Hochrisiko KI-Systeme müssen über eine Mensch-Maschine-Schnittstelle verfügen, damit sie von natürlichen Personen während des gesamten Betriebs beaufsichtigt werden können, um Risiken zu minimieren.
  
• Genauigkeit, Robustheit und Cybersicherheit: Hochrisiko KI-Systeme müssen widerstandsfähig gegenüber Fehlern, Störungen und dem Eindringen unbefugter Dritter sein. Genauigkeit und Sicherheit müssen während des gesamten Betriebs beständig sichergestellt sein.

Welche Strafen drohen bei Nichteinhaltung?

Der AI Act geht bei Nichteinhaltung mit teils drastischen Strafen für die Unternehmen einher. Das mehrstufige Sanktionskonzept sieht Strafen bis zu 35 Millionen Euro bzw. 7% des weltweiten Jahresumsatzes bei besonders schweren Verstößen, wie der Inbetriebnahme verbotener KI-Systeme vor.

Wie reagieren Wirtschaft und Verbände auf den AI Act?

Seit seiner initialen Vorstellung 2021 wurde der AI Act immer wieder weiterentwickelt. Anlass dafür war und ist die verstärkte Kritik der Wirtschaft und Verbände an ihm. Die zentralen Kritikpunkte sind zum einen, dass zusätzliche Regularien und Bürokratie KI-Innovationen in der EU behindern könnten und zum anderen, dass der KI-Begriff zu weit gefasst und unscharf definiert ist. Gerade für Start-ups und kleinere Unternehmen werden zusätzliche Hürden durch den AI Act befürchtet. Mit der Kritik geht der Wunsch an die EU einher nach einer klaren KI-Strategie mit großem Investitionsbudget. Eine weitere Anforderung ist die Harmonisierung des AI Acts mit bestehenden nationalen und europäischen Gesetzen.

Der AI Act hat das Potenzial, die Entwicklung und den Einsatz von KI-Systemen in der EU deutlich zu verändern. Die EU als Wirtschaftsraum braucht, um wettbewerbsfähig zu bleiben, innovative und erfolgreiche KI-Systeme. Gleichzeitig zeigen die Entwicklungen der letzten Jahre aber auch deutlich, dass es ein starkes Regelwerk braucht, um den KI-Einsatz in die richtigen Bahnen zu lenken. Es wird entscheidend sein, die Balance zu finden zwischen Regulatorik und Freiheitsgraden. Gelingt dies mit dem AI Act, dann kann er zum Qualitätssiegel für KI-Anwendungen made in Europe werden.