Künstliche Intelligenz: Regulierungspläne der EU schreiten voran

Mit dem ge­plan­ten Rechts­rah­men für Künst­li­che In­tel­li­genz sol­len eu­ro­pa­weit ein­heit­li­che Stan­dards zum Schutz von Si­cher­heit und Grund­rech­ten ge­setzt wer­den. Gleich­zei­tig will die EU da­mit die Ak­zep­tanz und In­ves­ti­tio­nen in KI fördern.

© Unsplash

Vorschlag der EU-Kommission zur Regulierung von KI

Die EU-Kom­mis­sion hat be­reits im April 2021 einen ers­ten Ent­wurf zur Re­gu­lie­rung von künst­li­cher In­tel­li­genz in der EU vor­ge­legt. Adres­sa­ten der Ver­ord­nung sol­len ne­ben den An­bie­tern, also den Ent­wick­lern von KI-Sys­te­men, auch de­ren Nut­zer sein, so­fern sie die KI für be­ruf­li­che Ak­ti­vitäten ein­set­zen. Da­mit wird der ge­samte un­ter­neh­me­ri­sche Ein­satz von KI um­fasst, ins­be­son­dere wenn die KI in ei­gene Pro­dukte in­te­griert wird.

Der Vor­schlag der EU-Kom­mis­sion ver­folgt - ver­gleich­bar zur DS­GVO - einen ri­si­ko­ba­sier­ten An­satz. Der Ein­satz von KI wird da­bei je nach be­ab­sich­tig­tem Ver­wen­dungs­zweck in vier ver­schie­dene Ri­si­ko­ty­pen (un­an­nehm­ba­res Ri­siko, ho­hes Ri­siko, be­grenz­tes Ri­siko, mi­ni­ma­les Ri­siko) un­ter­teilt.

KI-Sys­teme, die bio­me­tri­sche Iden­ti­fi­zie­run­gen bzw. Ka­te­go­ri­sie­run­gen vor­neh­men bzw. in der Rechts­pflege oder in kri­ti­schen In­fra­struk­tu­ren wie dem Ver­kehrs­we­sen ein­ge­setzt wer­den, sol­len bspw. als KI mit ho­hem Ri­siko ein­ge­stuft wer­den. Dem­ge­genüber wird der kos­ten­lose Ein­satz von KI-gestütz­ten Spam­fil­tern nur ein ge­rin­ges Ri­siko dar­stel­len.

Risikogruppen

Un­an­nehm­ba­res Ri­siko ➤ Nut­zung von KI ist ver­bo­ten

KI-Sys­teme, die eine Be­dro­hung für die Mensch­heit dar­stel­len, wer­den ver­bo­ten.
Sie um­fas­sen:

• Ko­gni­tive Ver­hal­tens­ma­ni­pu­la­tio­nen von Per­so­nen oder be­stimm­ten gefähr­de­ten Grup­pen,
• So­zia­les Sco­ring: Klas­si­fi­zie­rung von Men­schen auf der Grund­lage von Ver­hal­ten, so­zioöko­no­mi­schem Sta­tus und persönli­chen Merk­ma­len
• bio­me­tri­sche Echt­zeit-Fer­niden­ti­fi­zie­rungs­sys­teme

Hochri­siko-KI-Sys­teme ➤ Ein­satz von KI wird lau­fend eva­lu­iert

KI-Sys­teme mit einem ho­hen Ri­siko für die Ge­sund­heit und Si­cher­heit oder für die Grund­rechte natürli­cher Per­so­nen.

• KI-Sys­teme in un­ter die Pro­dukt­si­cher­heits­vor­schrif­ten der EU fal­len­den Pro­duk­ten
• KI in acht spe­zi­fi­schen Be­rei­chen, die in ei­ner EU-Da­ten­bank re­gis­triert wer­den müssen:
  • Bio­me­tri­sche Iden­ti­fi­zie­rung und Ka­te­go­ri­sie­rung von natürli­chen Per­so­nen
  • Ver­wal­tung und Be­trieb von kri­ti­schen In­fra­struk­tu­ren
  • All­ge­meine und be­ruf­li­che Bil­dung
  • Be­schäfti­gung, Ver­wal­tung der Ar­beit­neh­mer und Zu­gang zur Selbständig­keit
  • Zu­gang zu und In­an­spruch­nahme von we­sent­li­chen pri­va­ten und öff­ent­li­chen Diens­ten und Leis­tun­gen
  • Straf­ver­fol­gung
  • Ver­wal­tung von Mi­gra­tion, Asyl und Grenz­kon­trol­len
  • Un­terstützung bei der Aus­le­gung und An­wen­dung von Ge­set­zen.

Diese KI-Sys­teme müssen vor dem In­ver­kehr­brin­gen und während ih­res ge­sam­ten Le­bens­zy­klus be­wer­tet und überprüft wer­den.

Ge­ne­ra­tive KI: zusätz­li­che Trans­pa­renz­an­for­de­run­gen

Ge­ne­ra­tive KI, die In­halte auf Ba­sis von An­fra­gen und Vor­ga­ben ge­ne­rie­ren, wie z. B. ChatGPT müssen zusätz­li­che Trans­pa­renz­an­for­de­run­gen erfüllen, wie etwa die Of­fen­le­gung, dass In­halt durch KI ge­ne­riert wurde.

Be­grenz­tes Ri­siko: ge­ringe Trans­pa­renz­an­for­de­run­gen

Bei KI-Sys­te­men mit be­grenz­tem Ri­siko be­ste­hen mi­ni­male Trans­pa­renz­an­for­de­run­gen, da­mit der Nut­zer fun­dierte Ent­schei­dun­gen tref­fen kann.

Abhängig von der Ka­te­go­ri­sie­rung des je­wei­li­gen KI-Sys­tems sol­len un­ter­schied­li­che Pflich­ten und An­for­de­run­gen gel­ten. Sys­teme mit in­ak­zep­ta­blem Ri­siko, also sol­che, die den ethi­schen Grundsätzen der EU wi­der­spre­chen, sol­len ver­bo­ten wer­den. Dies soll laut EU-Kom­mis­sion bei­spiels­weise für So­cial-Sco­ring-Sys­teme gel­ten.

Am stärks­ten re­gu­liert soll Hochri­siko-KI wer­den. Nach dem Kom­mis­si­ons­ent­wurf sol­len An­bie­ter und Nut­zer sol­cher Sys­teme u. a. die fol­gen­den Pflich­ten tref­fen:

• Gewähr­leis­tung ei­ner ho­hen Da­ten­qua­lität
• In­for­ma­ti­ons­pflich­ten ge­genüber den End­nut­zern
• Mensch­li­che Auf­sichtsmaßnah­men zur Ri­si­komi­ni­mie­rung
• Auf­zeich­nungs- und Do­ku­men­ta­ti­ons­pflich­ten
• Im­ple­men­tie­rung von Ri­si­ko­be­wer­tungs- und Ri­si­kom­in­de­rungs­sys­te­men.

An­bie­ter und ge­werb­li­che Nut­zer von KI-Sys­te­men mit be­grenz­tem Ri­siko sind da­ge­gen vor al­lem zur Ein­hal­tung be­stimm­ter Trans­pa­renz­an­for­de­run­gen ver­pflich­tet.

Nach An­ga­ben der EU-Kom­mis­sion fällt die über­wie­gende Mehr­heit der der­zeit in der EU ein­ge­setz­ten KI-Sys­teme in die Ka­te­go­rie „ge­rin­ges Ri­siko“. Sol­che Sys­teme sol­len ohne zusätz­li­che recht­li­che Ver­pflich­tun­gen ent­wi­ckelt und ein­ge­setzt wer­den können.

Hin­weis: Ergänzend zur KI-Ver­ord­nung hat die EU-Kom­mis­sion einen Ent­wurf für eine KI-Haf­tungs­richt­li­nie vor­ge­legt, die die haf­tungs­recht­li­chen Fol­gen von Schäden durch KI-Sys­teme re­geln soll.

Verhandlungsposition des EU-Parlaments

Mit der Veröff­ent­li­chung sei­ner fi­na­len Po­si­tion zu dem Kom­mis­si­ons­ent­wurf hat das EU-Par­la­ment am 14.06.2023 noch ei­nige Ände­run­gen an dem Ge­setz über künst­li­che In­tel­li­genz vor­ge­nom­men und die­ses nun in das Ge­setz­ge­bungs­ver­fah­ren ein­ge­bracht.

U. a. wurde die be­reits weit ge­fasste De­fi­ni­tion von KI-Sys­te­men noch­mals aus­ge­wei­tet. Dem­nach ist KI „ein ma­schi­nen­ba­sier­tes Sys­tem, das so kon­zi­piert ist, dass es mit un­ter­schied­li­chem Grad an Au­to­no­mie ar­bei­tet und für ex­pli­zite oder im­pli­zite Ziele Er­geb­nisse wie Vor­her­sa­gen, Emp­feh­lun­gen oder Ent­schei­dun­gen ge­ne­rie­ren kann, die die phy­si­sche oder vir­tu­elle Um­ge­bung be­ein­flus­sen“.

Be­son­ders her­vor­zu­he­ben ist auch die Ergänzung des EU-Par­la­ments zur Re­gu­lie­rung von sog. Ge­ne­ra­ti­ver KI, zu der auch das ChatGPT-Tool zählt. Ne­ben Trans­pa­renz­pflich­ten sol­len An­bie­ter sol­cher Mo­delle si­cher­stel­len, dass das Sys­tem keine rechts­wid­ri­gen In­halte pro­du­ziert und de­tail­lierte Zu­sam­men­fas­sun­gen der ur­he­ber­recht­lich ge­schütz­ten Da­ten veröff­ent­li­chen, die sie zu Trai­nings­zwe­cken ver­wen­det ha­ben.

Flan­kie­rend hierzu will das EU-Par­la­ment die Höhe der Bußgelder im Fall ei­nes Ver­stoßes ge­gen die Vor­schrif­ten bis auf we­nige Aus­nah­men ver­rin­gern. Darüber hin­aus sol­len Aus­nah­me­re­ge­lun­gen für For­schungs­ak­ti­vitäten und KI-Kom­po­nen­ten, die im Rah­men von Open-Source-Li­zen­zen zur Verfügung ge­stellt wer­den, KI-In­no­va­tio­nen fördern.

Weitere Verfahrensschritte

Nach der Po­si­tio­nie­rung des EU-Par­la­ments können nun die ab­schließen­den Ver­hand­lun­gen im Tri­log­ver­fah­ren be­gin­nen. Im Rah­men der Ab­stim­mun­gen zwi­schen EU-Par­la­ment, Mi­nis­ter­rat und EU-Kom­mis­sion soll der fi­nale Ent­wurf der KI-Ver­ord­nung aus­ge­ar­bei­tet und eine Ei­ni­gung darüber er­zielt wer­den. Dem Ver­neh­men nach soll die­ser Pro­zess bis Ende des Jah­res 2023 ab­ge­schlos­sen sein. Sollte dies ge­lin­gen, würde die Ver­ord­nung noch in die­sem Jahr in Kraft tre­ten und die Mehr­heit der Re­ge­lun­gen wäre von den be­trof­fe­nen Un­ter­neh­men in­ner­halb ei­ner Frist von 24 Mo­na­ten um­zu­set­zen.

Hin­weis: Auf­grund der Aus­ge­stal­tung als Ver­ord­nung sind die Re­ge­lun­gen un­mit­tel­bar an­wend­bar. Eine vor­he­rige Um­set­zung in na­tio­na­les Recht ist nicht er­for­der­lich.