AI Act
Wie die EU künstliche Intelligenz kontrollieren und fördern will
Der Einsatz künstlicher Intelligenz (KI) wirft eine Reihe von Rechtsfragen auf. Urheberrechtsfragen, wie im Verfahren der New York Times gegen Microsoft und Open AI wegen der Nutzung von Inhalten zu Trainingszwecken von KI-Systemen, sind hier nur ein prominentes Beispiel. Daneben spielen Aspekte des Datenschutzes und der IT-Sicherheit ebenso eine Rolle wie z.B. arbeitsrechtliche Anforderungen, wenn KI im HR-Bereich zum Einsatz kommt. Im Folgenden finden Sie den aktuellen Stand des Gesetzgebungsverfahrens zum AI Act.
Die EU arbeitet bereits seit 2021 an einem einheitlichen Rechtsrahmen zur Regulierung von KI. Im Dezember 2023 haben sich nun das EU-Parlament, der EU-Rat und die EU-Kommission nach langwierigen Trilog-Verhandlungen auf einen politischen Kompromiss zum AI Act (deutsch: KI-Verordnung) geeinigt. Das neue Gesetz soll eine Vorreiterrolle einnehmen und einheitliche Standards für die Entwicklung und die Nutzung von KI-Systemen schaffen. Die Verabschiedung des AI Act wird aller Voraussicht nach in den nächsten Monaten erfolgen; vollständige Anwendung wird er nach einer Übergangszeit von zwei Jahren finden. Insbesondere um etwaige Investitionen abzusichern und sich nach der Anwendbarkeit des AI Act keinen Bußgeldrisiken auszusetzen, ist es nicht nur für KI-Entwickler, sondern auch für deren Anwender sinnvoll, sich ab sofort mit den Anforderungen des AI Act zu beschäftigen.
Wesentliche Regelungsinhalte
Auch wenn die exakte Ausformulierung des Gesetzestextes noch aussteht, stehen wichtige inhaltliche Leitplanken bereits fest: Der AI Act wird als horizontales, d.h. sektorübergreifend an-wendbares Regulierungsinstrument, nicht nur den Entwicklern von KI-Systemen Pflichten auferlegen, sondern auch den jeweiligen Nutzern. KI-Systeme sollen dabei verstanden werden als: „Maschinengestützte Systeme, die für explizite oder implizite Ziele aus den empfangenen Eingaben ableiten, wie sie Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugen können, die physische oder virtuelle Umgebungen beeinflussen können. […]“
Der AI Act wird einem risikobasierten Ansatz folgen: Gestaffelt nach dem Risiko für Individual- oder Gemeinrechtsgüter bestehen mehr oder weniger strenge Anforderungen z.B. an das Risikomanagement, die Überwachung, die Sicherheit sowie die Transparenz. KI-Systeme mit geringem Risiko (z.B. Spam-Filter, Chatbots) unterliegen lediglich gewissen Kennzeichnungs-pflichten. Bei KI-Systemen mit einem hohen Risiko (z.B. bei einem Einsatz im Bereich kritischer Infrastrukturen) müssen Unternehmen zusätzlich Vorgaben einhalten, bspw. zur Sicherstellung einer ausreichenden Qualität der Daten und zur menschlichen Aufsicht. Die Entwicklung und die Nutzung von KI-Systemen, deren Einsatz ein inakzeptables Risiko darstellt (z.B. die bis zuletzt im Gesetzgebungsverfahren heftig umstrittene echtzeitbasierte Gesichtserkennung), wird verboten oder nur in sehr engen Grenzen erlaubt sein.
Generative KI-Modelle und Basismodelle mit vielfältigen Einsatzmöglichkeiten (wie GPT 4 von Open AI) waren im ursprünglichen Entwurf des AI Act von 2021 noch nicht berücksichtigt. Daher wurden „Ob“ und „Wie“ der Regulierung dieser Modelle bis zuletzt besonders intensiv diskutiert. Grundsätzlich müssen alle Modelle gewisse Transparenzanforderungen umsetzen. Sog. „high-impact foundation models“, also sehr leistungsstarke Basismodelle, die systemische
Risiken bergen können, werden darüber hinaus weitere Auflagen erfüllen müssen, z.B. zur Data Governance, zur Cybersicherheit, usw.
Ausblick und Verhältnis zu sonstigem EU-Recht
Der AI Act bildet eine wichtige Säule innerhalb der Digitalstrategie der EU. Daneben hat die EU-Kommission die AI Liability Directive (Richtlinie über KI-Haftung) vorgeschlagen, die Kompensationen für von KI verursachte Schadensfälle vorsieht und eine möglichst schadensvermeidende KI fördern soll. In diesem Zusammenhang soll auch der Anwendungsbereich der bereits bestehenden Produkthaftungsrichtlinie der EU auf KI-Systeme erweitert werden. Weitere Gesetzesvorhaben im Bereich der IT-Sicherheit, wie der geplante Cyber Resiliance Act, werden folgen. Neben der Konkretisierung der vielen unbestimmten Rechtsbegriffe im AI Act, wird das Zusammenspiel zwischen AI Act und anderen neuen Digitalgesetzen die Gerichte und Behörden in den nächsten Jahren gut beschäftigen.