Die KI-Verordnung ist im Amtsblatt der EU veröffentlicht worden und tritt somit am 1. August in Kraft. Damit beginnen diverse Implementierungsfristen.
Entwürfe für die Mitte März vom EU-Parlament beschlossene Verordnung für Künstliche Intelligenz (KI) umfassten über 500 Seiten. Die am Freitag im Amtsblatt der EU veröffentlichte offizielle Endfassung ist mit 144 Seiten inklusive Anhängen deutlich kompakter.
Damit steht fest: Der AI Act tritt zwanzig Tage nach der Veröffentlichung, also am 1. August 2024, in Kraft. Dies markiert den Beginn der Umsetzungsfristen der Verordnung, mit der die EU Investitionen in sichere und vertrauenswürdige KI-Systeme fördern will.
Ab dem 2. Februar 2025 gelten beispielsweise die Verbote bestimmter KI-Praktiken wie Social Scoring, bei dem maschinell das soziale Verhalten bewertet und gegebenenfalls der Ausschluss von öffentlichen Leistungen droht.
Der AI Act schafft ein umfassendes Regulatorium für Künstliche Intelligenz (KI), das sich auf eine Vielzahl von KI-Systemen erstreckt. Diese Systeme werden in einem anpassungsfähigen Begriff samt Annex für spezifischere technologische Umschreibungen erfasst. Neu ist dabei, dass auch generative KI-Modelle, wie Gemini, Midjourney oder ChatGPT, eingeschlossen sind. Diese generativen Systeme werden als sogenannte „General Purpose Models“ klassifiziert und sollen im Falle systematischer Risiken genauer überwacht und kontrolliert werden.
Ein Risikobasierter Ansatz
Der AI Act ist als risikobasierte Regulierung ausgestaltet. „Die Restriktionen, die an die Anwendung und das Erstellen von KI-Systemen geknüpft sind, sind in einem Risikosystem abgestuft. Das heißt, je mehr Risiko einer Anwendung innewohnt, desto mehr Restriktionen ergeben sich durch den AI Act,“ erklärt die Mathematikerin Paola Lopez. Der Risikobegriff umfasst neben systematischem Risiko auch unzulässiges Risiko, wie etwa KI-basierte „Social Scoring Systeme“, Hochrisikosysteme wie den Einsatz von KI am Arbeitsplatz, und geringes Risiko, für das Transparenz-Vorschriften gelten. Lopez betont jedoch, dass öffentliche Stellen von bestimmten risikoreichen Anwendungsfällen ausgenommen sind und somit diesen Restriktionen nicht unterliegen.
Haftung: Wer Trägt die Verantwortung?
Die Haftungsfrage ist im Zusammenhang mit Künstlicher Intelligenz von zentraler Bedeutung. Wer haftet, wenn es zu Schäden durch KI kommt? Markus Beckedahl, Co-Gründer der Digital- und Gesellschaftskonferenz Re:Publica, betont die Notwendigkeit eines verbraucherzentrierten Ansatzes. Gegenwärtig liegt die Beweislast oft beim Verbraucher, doch Beckedahl plädiert dafür, dass AI-Unternehmen und Hersteller ihre Unschuld beweisen müssen. Neben dem AI Act hat die EU auch eine Regelung in der AI Liability Directive entworfen, die Haftungsfragen klären soll.
Meinungsäußerungsfreiheit und Plattformen
Wenn KI-generierte Inhalte auf Plattformen wie Facebook, LinkedIn, X oder YouTube geteilt werden, greift das Gesetz für Digitale Dienste, der Digital Services Act. Rita Gsenger vom Weizenbaum Institut in Berlin warnt vor den Risiken, die von AI generierten Inhalten ausgehen können, wie etwa gefälschte Videos von Protesten oder falsche Aussagen von Politikern. Der Digital Services Act wird durch den „Code of Practice on Disinformation“ ergänzt, der als Verhaltenskodex zur Bekämpfung von Desinformation dient.
Datenschutz und Künstliche Intelligenz
Die Datenschutzgrundverordnung (DSGVO) bildet das Fundament für die neuen Regulierungen. Sie ist bekannt für die Cookie-Banner und Einwilligungsbestätigungen, die viele Nutzer als lästig empfinden. Doch die DSGVO regelt auch den Umgang mit personenbezogenen Daten und das Recht auf Vergessenwerden. Jüngste Bedenken betreffen pauschale Einwilligungen von Meta-Nutzern zur Verwendung ihrer Daten zu Trainingszwecken von Metas KI.
Fazit: Ein Europäisches Regelwerk mit Herausforderungen
Die Regulierung von KI bringt viele rechtliche Bereiche zusammen: Datenschutzrecht, Haftungsfragen, Meinungsäußerungsfreiheit und spezifische Regulierungen im AI Act. Diese Querschnittsmaterie erfordert vielseitig geschulte Experten in der Zivilgesellschaft, Wissenschaft, bei AI-Herstellern und Bereitstellern sowie ein starkes Team auf Seiten der Regulierer. Markus Beckedahl warnt: „Die EU ist nur so gut, wie ihre Mitgliedstaaten und Parlamente gewillt sind, in die richtige Richtung zu laufen. Häufig haben wir es mit Formelkompromissen zu tun.“
Die Effektivität der neuen Regulierungen wird von ihrer Umsetzung, Auslegung und Vollziehung abhängen. Eine starke und greifende Antwort auf den AI-Hype aus den USA oder China ist notwendig. Die Qualität des europäischen Digitalregulierungs-Exports wird sich erst mit der Zeit zeigen. Dennoch bleibt die Erwartung, dass die EU eine avantgardistische Position im Bereich der AI-Regulierung einnimmt und eine zielsichere Umsetzung dieser Regelungen verfolgt.