Unter dem Titel “Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (…)” hat die Europäische Union im Juni 2024 eine Verordnung zur Regulierung von Künstlicher Intelligenz (KI) verabschiedet, die sowohl die Nutzung als auch die Entwicklung der Zukunftstechnologie rahmen soll. KI-Anwendungen beeinflussen im Alltag, auf Grundlage unserer Daten, an vielen Stellen, welche Informationen wir erhalten. Damit wirkt sich KI auf viele Bereiche unseres Lebens aus. Mit der KI-Verordnung, der ersten weltweit, die so umfänglich von einer Regulierungsbehörde erlassen wurde, könnte ein globaler Standard entstehen, vergleichbar mit der internationalen Wirkung der DSGVO.
Im Mittelpunkt der Verordnung stehen die Aspekte Transparenz, Menschenrechte, Risikokategorien sowie Überwachung/Durchsetzung, die wir in diesem Beitrag kurz gefasst in den Blick nehmen wollen.
Transparenz
Mit der Verordnung werden Anbieter von KI-Systemen dazu verpflichtet diese transparent und erklärbar zu gestalten. Anwender*innen sollen wissen, wann sie mit einer KI interagieren bzw. verstehen können, auf welcher Datengrundlage und wie die spezifische KI, mit der sie in Kontakt sind, Entscheidungen trifft. Die Transparenzpflichten haben das Ziel, das Vertrauen der Öffentlichkeit in KI-Systeme zu stärken und das Risiko von Fehlentscheidungen zu reduzieren.
Menschenrechte
Die Menschenrechte in den Blick zu nehmen, basiert auf der Erkenntnis, dass auch Systeme Künstlicher Intelligenz nicht zwangsläufig wertfrei agieren, sondern von den Wertvorstellungen ihrer Programmierer*innen abhängig sind. Entsprechend verbietet der AI Act beispielsweise die Anwendung von KI-Systemen, die auf rassistischen oder geschlechtsspezifischen Vorurteilen beruhen. Ebenso ist die Anwendung von KI-Systemen für "Social Scoring" (Bewertung des Sozialverhaltens zur Berechnung von Verhaltensprognosen) untersagt. Gerahmt wird die Verordnung an dieser Stelle u.a. durch das Recht auf Menschenwürde, die Achtung des Privat- und Familienlebens, der Schutz personenbezogener Daten, die Meinungs- und Informationsfreiheit. Mit dieser Rahmung soll sichergestellt werden, dass durch den Einsatz von Künstlicher Intelligenz keine Diskriminierung oder gesellschaftliche Ungerechtigkeiten gefördert werden.
Risikokategorien
KI ist nicht einfach KI, sondern findet auf ganz unterschiedlichen Ebenen und in unterschiedlicher Komplexität Anwendung. Entsprechend unterscheidet sich auch das Risiko, das mit der jeweiligen KI-Anwendung verbunden ist. Die EU-Verordnung will mit der Risikokategorisierung sowohl für Entwickler*innen und Betreiber*innen als auch für Anwender*innen mehr Risikotransparenz schaffen und damit das Vertrauen in die Technologie stärken.
KI-Systeme, die "Social Scoring" auf Grundlage sozialer Bewertungssysteme umsetzen und manipulative KI einsetzen, gehören zur Kategorie der unannehmbaren Risiken. Die KI Systeme sind in der EU untersagt.
Hochrisiko KI kann eine erhebliche Gefährdung der Gesundheit oder eine Einschränkung der (Grund)Rechte darstellen. Entsprechend erfolgt hier mit Inkrafttreten der Verordnung eine eingehende Prüfung und Bewertung durch den Anbieter. Das betrifft KI-Technologien, die überall dort, wo sie zum Einsatz kommen, gefährliches Verhalten fördern und dadurch eine Bedrohung für die Sicherheit, den Lebensunterhalt und die Rechte der Menschen darstellen. Zu den als hochriskant eingestuften Bereichen zählen zum Beispiel die Assistenz für die Chirurgie in Krankenhäusern, die Überprüfung von Kreditwürdigkeit, die Bewertung der Zuverlässigkeit von Beweismitteln in der Strafverfolgung oder die Prüfung von Visumsanträgen im Migrations-, Asyl- und Grenzkontrollmanagement aber auch eine KI gestützte Prüfungsbewertung in der Ausbildung.
Die Kategorie begrenztes Risiko findet Anwendung auf KI Systeme, die mit mangelnder Transparenz bei der Nutzung verbunden sind. Mit spezifischen Transparenzpflichten wird sichergestellt, dass Anwender*innen bei der Verwendung von KI-Systemen wie Chatbots darauf aufmerksam gemacht werden, dass sie mit einer Maschine interagieren. Mit diesem Wissen können die Anwender*innen dann entscheiden, ob sie die Interaktion fortsetzen wollen oder nicht. Die Anbieter von KI Systemen müssen sicherstellen, dass KI-generierte Inhalte als solche für die Nutzer*innen erkennbar sind. Die Verordnung findet auch auf Audio- und Videoinhalte Anwendung, die KI generierte Deep Fakes darstellen.
Die EU-KI-Verordnung verzichtet auf eine Regelung für die freie Nutzung von KI-Anwendungen mit minimalem Risiko. Das betrifft Anwendungen wie z.B. KI-fähige Videospiele.
Überwachung und Durchsetzung
Schließlich sieht das Gesetz eine umfassende Überwachung und Durchsetzung des Einsatzes von KI vor, um abzusichern, dass die Vorschriften eingehalten werden. Die Verantwortung für die Umsetzung der Überwachung die Ahndung von Verstößen liegt bei den EU-Mitgliedstaaten.
Betroffenenrechte
Das Recht auf Erklärbarkeit, das Recht auf Information und das Recht auf Widerspruch sollen die Anwender*innen von KI schützen unwissentlich mit KI zu agieren. Das Verbot von "Social Scoring" und Emotionserkennungssystemen z.B. am Arbeitsplatz schützt insbesondere Arbeitnehmer*innen. Hier gibt es Handlungsbedarf für KMU, die derzeit solche Systeme einsetzen oder planen, sie einzusetzen. “Social Scoring” ist Teil eines “Social Credit Systems”. Mit dem “Social Scoring” werden Verhaltensweisen von Personen als Bürger*innen und/oder als Arbeitsnehmer*innen erfasst und zahlenmäßig bewertet. Diese Bewertung könnte dann, z.B. bei Arbeitnehmer*innen oder Kreditnehmer*innen zu ungünstigen Bewertungen führen, wenn Informationen aus den Sozialen Onlinenetzwerken zur Bewertung herangezogen würden. Ähnlich verhält es sich bei der Emotionserkennung. Im Kontext z.B. der Suizidprävention beim Notruf kann der Einsatz einer solchen Technologie sinnvoll erscheinen. Wird die gleiche Technologie aber genutzt, um Arbeitnehmer*innen zu identifizieren, die nach einem Personalgespräch wütend oder enttäuscht sind, kann die Übertragung dieser Social Scores in die Bewertung der Arbeitnehmer*innen eine schlechte Beurteilung und damit eine Benachteiligung nach sich ziehen. Der Stellenwert der Regelung und den Handlungsbedarf, den die EU hier sieht, wird auch durch die verkürzte Frist bis zu Anwendung deutlich. Der Teilbereich der Hochrisiko KI tritt bereits nach sechs Monaten vollumfänglich in Kraft, während für die übrigen Teilbereiche 24 Monate zur Umsetzung gelten.
DSGVO und EU-KI-Gesetz
Das EU-KI-Gesetz ist eng mit der Datenschutz-Grundverordnung (DSGVO) verknüpft. Alle KI-Systeme müssen den Anforderungen der DSGVO entsprechen, um auf dem EU-Markt zugelassen zu werden.
Haftungsregeln beim Einsatz von Künstlicher Intelligenz
Um weitere Sicherheit für Unternehmen und Anwender*innen zu schaffen, gibt es bereits zwei EU-Richtlinien-Entwürfe, die die bestehenden Haftungsregelungen modernisieren und für die Anwendung auf Künstliche Intelligenz anpassen sollen. Die KI-Haftungs-RL wird u.a. für Geschädigte die Erbringung von Nachweisen vereinfachen, indem Voraussetzungen benannt werden, bei denen der Zusammenhang zwischen KI-Einsatz und Schaden angenommen wird und der Zugang zu Beweismitteln erleichtert werden soll. Daneben soll die novellierte Produkthaftungsrichtlinie die Produkt-Definition um Software und andere digitale Produkte erweitern, sowie Haftungsvorschriften auf diese aktualisieren. Zurzeit müssen die finalen Richtlinien und auch die Umsetzung durch nationale Gesetze abgewartet werden, damit an dieser Stelle mehr Handlungssicherheit entstehen kann.
Der Zeitplan
Mit der Verabschiedung der Verordnung durch das EU-Parlament im März 2024 und der Zustimmung des EU-Rates im Mai 2024 folgt die vollumfängliche Anwendbarkeit der Regelungen im Mai 2026. Das Verbot von KI-Systemen, die unannehmbare Risiken darstellen, wird bereits ab November 2024 Anwendung finden. Hier ist die Dringlichkeit der Umsetzung zum Schutz der Nutzer*innen am Höchsten. Die Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck, die den Transparenzanforderungen genügen müssen, gelten zwölf Monate nach Inkrafttreten, also ab Mai 2025.
Fazit
Das neue EU-KI-Gesetz ist eine enorme Hilfestellung für uns alle. Es schützt Unternehmen und Verbraucher*innen gleichermaßen und sorgt dafür, dass KI in der EU sicherer und vertrauenswürdiger eingesetzt wird. Für KMU, die KI entwickeln, bedeutet dies zwar erstmal einen administrativen und finanziellen Mehraufwand, die Vorschriften einzuhalten. Gleichzeitig werden sie dadurch jedoch auch in die Lage versetzt, innovative KI-Modelle zu entwickeln und zu trainieren, bevor sie für die breite Öffentlichkeit freigegeben werden.
Michael E.W. Ney
Projektleitung und Beratung, Forschungsinstitut Betriebliche Bildung (f-bb)
Henrike Busch
Teilprojektleitung und iQK-Workshops, Arbeit und Leben Sachsen-Anhalt
Clemens Kellner
Beratung und Öffentlichkeitsarbeit, Forschungsinstitut Betriebliche Bildung (f-bb)
Mehr Informationen zum EU-KI-Gesetz
https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai (30.07.2024)