12. Jänner 2024 von Christian Hammer
Einigung zur EU-KI-Verordnung auf europäischer Ebene zum Jahresende 2023
Mit dem Ende des Jahres 2023 haben fast zeitgleich auch die Verhandlungen zur EU-KI-Verordnung (EUKIVO) mit einer vorläufigen Einigung zwischen dem Europäischen Parlament und dem Europäischen Rat nach zähen Verhandlungen ein gutes Ende gefunden. Lange wurde darüber gestritten, was alles unter den Begriff Künstliche Intelligenz fällt und ob beispielsweise Systeme, Technologien oder Anwendungsfälle in Risikoklassen eingeteilt werden sollen. Nach diesen und verschiedenen anderen Grundsatzentscheidungen mussten eine ganze Reihe von Details geklärt werden. Insbesondere um die verbotenen Praktiken (höchste Risikoklasse) und die Hochrisiko-KI-Systeme wurde viel gefeilscht. Zum Teil standen hier nationale Interessen im Vordergrund, da durch das Verbot der biometrischen Echtzeitidentifikation im öffentlichen Raum einige Praktiken der Terrorabwehr nicht mehr zulässig waren, zum Teil machte aber auch die Entwicklung bestimmter Technologien eine Einstufung notwendig: Wie soll mit sogenannten Foundation Models oder generativer KI umgegangen werden?
Das neue Gesetz umfasst nun den sicheren Umgang mit sogenannter General-Purpose AI (GPAI), die Strafverfolgung (und damit nur eine Einschränkung) von biometrischen Identifikationssystemen, ein klares Verbot von sogenanntem Social Scoring sowie manipulativer KI. Darüber hinaus wird den Bürgerinnen und Bürgern nun das Recht eingeräumt, gegen KI-Systeme zu klagen oder sich KI-basierte Entscheidungen erklären zu lassen. Auch die Höhe der zu erwartenden Bußgelder bei Compliance-Verstößen wurde endlich festgelegt: von 7,5 Millionen Euro bzw. 1,5 Prozent des nationalen Jahresumsatzes des Unternehmens bis zu 35 Millionen beziehungsweise sieben Prozent des weltweiten Umsatzes des Unternehmens.
Risikoklassen der EU-KI-Verordnung
Neben diesen Leitplanken liegt der Schwerpunkt der EUKIVO jedoch auf den Risikoklassen und dem Umgang mit diesen. Die folgende Abbildung zeigt die verschiedenen Abstufungen:
Die Minimalrisiko KI-Systeme auf der untersten Stufe wenden KI in einem sehr eng eingegrenzten Bereich an, der im Hauptverantwortungsbereich des KI-Systemanbieters liegt. Dabei kann es sich beispielsweise um eine KI-Unterstützung in einem Videospiel oder einem Verwaltungssystem handeln. Dieser Teil der KI wird im Gesetz nicht explizit geregelt und unterliegt daher auch keinen gesonderten Vorschriften.
Mit Niedrigrisiko KI-Systemen auf der nächsthöheren Stufe interagieren Menschen bereits direkt mit einer KI, wie es beispielsweise bei der Nutzung von Chatbots der Fall ist. Hier setzt das Gesetz erstmals an und verpflichtet den Anbieter zur Transparenz (vgl. Art. 52 „Transparenzpflichten für bestimmte KI-Systeme“). Natürliche Personen müssen demnach darüber informiert werden, dass sie mit einem KI-System interagieren, insbesondere wenn Techniken wie Deepfaking zum Einsatz kommen.
Die Hochrisiko KI-Systeme sind der eigentliche Fokus der EUKIVO, die diese umfassend reguliert und den verschiedenen Akteuren weitreichende Pflichten auferlegt. In Anhang III („Hochrisiko-KI-Systeme gemäß Artikel 6 Absatz 2“) werden diese in acht Bereiche unterteilt:
- 1. Biometrische Identifikation und Kategorisierung natürlicher Personen
- 2. Management und Betrieb kritischer Infrastrukturen
- 3. allgemeine und berufliche Bildung
- 4. Beschäftigung, Personalverwaltung und Zugang zu selbständiger Erwerbstätigkeit
- 5. Zugang zu und Inanspruchnahme von grundlegenden privaten und öffentlichen Diensten und Leistungen
- 6. Strafverfolgung
- 7. Migration, Asyl und Grenzverwaltung
- 8. Justizverwaltung und demokratische Prozesse
Für KI-Systeme, die in mindestens einen dieser Bereiche fallen, müssen strenge Auflagen erfüllt werden, wie zum Beispiel Risiko- und Qualitätsmanagement, Dokumentation, Datenqualitätsmanagement und Data Governance, Prozesse und Methoden zur Verhinderung von Diskriminierung, Nachvollziehbarkeit, Transparenz, aber auch Robustheit, Sicherheit und Genauigkeit.
Auf der höchsten Stufe befinden sich Verbotene KI-Systeme. Das sind Praktiken, die als sicherheits- und menschenrechtsgefährdend einzustufen sind. Dazu gehören das bereits erwähnte Social Scoring, aber auch alle unterschwelligen oder ausbeuterischen Techniken zur Verhaltensmanipulation.
Fazit
Mit der Einigung vom 09.12.2023 hat die EU einen Gesetzesvorschlag erarbeitet, der bisher einzigartig ist, aber ähnlich wie die DSGVO weltweit Nachahmer finden wird, der sogenannte Brüssel-Effekt (vgl. [4]). Das Gesetz wird einerseits die Rechte der Bürgerinnen und Bürger schützen und gleichzeitig durch verschiedene verankerte Maßnahmen Innovationen fördern und andererseits durch Transparenz und Nachvollziehbarkeit Vertrauen in KI-Systeme ermöglichen. Ab 2026 soll die EU-KI-Verordnung in der EU gelten.