Trilog: Einigung über Verordnung zur künstlichen Intelligenz

EU-Rat, Parlament und Kommission haben sich in ihren Trilogverhandlungen im Dezember vorläufig auf eine Verordnung zu Künstlicher Verordnung geeinigt. Die EU-Kommission hatte im April 2021 einen Verordnungvorschlag zur Diskussion gestellt. Ziel dieser Verordnung ist es, sicherzustellen, dass Grundrechte, Demokratie, Rechtsstaatlichkeit und ökologische Nachhaltigkeit vor KI mit hohem Risiko geschützt werden und gleichzeitig Innovationen anzukurbeln. Die neuen Vorschriften folgen weitgehend einem risikobasierten Ansatz. Die DIHK hat Anfang Dezember ein Impulspapier zur KI-Verordnung veröffentlicht.

KI-Systeme mit minimalem Risiko

Die große Mehrheit der KI-Systeme fällt in die Kategorie mit minimalem Risiko. Anwendungen mit minimalem Risiko wie KI-gestützte Empfehlungssysteme oder Spam-Filter sind von den Anforderungen befreit und müssen keine Verpflichtungen erfüllen, da diese Systeme nur ein geringes oder kein Risiko für die Rechte oder die Sicherheit der Bürgerinnen und Bürger darstellen. Die Unternehmen können sich dennoch freiwillig zur Einhaltung zusätzlicher Verhaltenskodizes für solche KI-Systeme verpflichten.

KI-Systeme mit hohem Risiko

Für Hochrisiko-KI-Systeme (aufgrund ihres erheblichen Schadenspotenzials für Gesundheit, Sicherheit, Grundrechte, Umwelt, Demokratie und Rechtsstaatlichkeit) gelten strenge Anforderungen z.B. im Hinblick auf
  • Vorkehrungen zur Risikominimierung und -minderung
  • hochwertige Datensätze
  • Protokollierung der Vorgänge
  • genaue Dokumentation,
  • klare Informationen für die Nutzer,
  • die Überwachung und Kontrolle
  • Robustheit, Genauigkeit und Cybersicherheit
Zu Hochrisiko-KI-Systemen gehören auch bestimmte kritische Infrastrukturen, z. B. in den Bereichen Wasser, Gas und Strom, Medizinprodukte, Systeme für die Zugangsgewährung zu Bildungseinrichtungen oder für die Einstellung von Personen oder bestimmte Systeme, die in den Bereichen Strafverfolgung, Grenzkontrolle, Justizverwaltung und demokratische Prozesse eingesetzt werden. Darüber hinaus gelten auch Systeme zur biometrischen Identifizierung und Kategorisierung sowie zur Emotionserkennung als hochriskant.
Anbieterinnen und Anbieter müssen künftig Informationen über die Funktionsweise ihrer Systeme bereitstellen und KI-gestützte Entscheidungen (zum Beispiel bei der Prämienfestsetzung im Versicherungsbereich) erläutern.

Leitplanken für Allzweck-KI

Basismodelle („foundation models“) und Allzweck-KI (GPAI: „General Purpose AI“) müssen grundsätzlich bestimmte Transparenzanforderungen erfüllen. Dazu zählen die Erstellung technischer Dokumentationen, die Einhaltung des EU-Urheberrechts und eine detaillierte Zusammenfassung der für das KI-Training verwendeten Inhalte.
An hochwirksame GPAI-Modelle mit systemischem Risiko werden strengere Anforderungen angelegt. Wenn diese Modelle bestimmte Kriterien erfüllen, müssen die Anbieter z. B.
  • Modellbewertungen durchführen
  • systemische Risiken bewerten und mindern
  • kontradiktorische Tests durchführen
  • der Kommission schwerwiegende Vorfälle melden und
  • die Cybersicherheit gewährleisten

Besondere Transparenzverpflichtungen:

Beim Umgang mit KI-Systemen wie Chatbots sollen die Nutzer informiert werden, dass sie es mit einer Maschine zu tun haben. Deepfakes und andere KI-generierte Inhalte müssen als solche gekennzeichnet werden. Die Nutzer müssen über die Anwendung der biometrischen Kategorisierung oder Emotionserkennung aufgeklärt werden. Darüber hinaus müssen die Anbieter die Systeme so gestalten, dass synthetische Inhalte wie Audio-, Video-, Text- und Bildinhalte in einem maschinenlesbaren Format als künstlich erzeugt oder manipuliert gekennzeichnet werden und als solche erkannt werden können.

KI-Systeme mit unannehmbarem Risiko

KI-Systeme, die die Grundrechte der Menschen gefährden, werden ganz verboten. Dazu zählen
  • biometrische Kategorisierungssysteme, die sensible Merkmale verwenden (z. B. politische, religiöse, philosophische Überzeugungen, sexuelle Orientierung, Rasse);
  • ungezieltes Auslesen von Bildern aus dem Internet oder Videoüberwachungen zur Erstellung von Gesichtserkennungsdatenbanken;
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen;
  • Scoring basierend auf sozialem Verhalten oder persönlichen Merkmalen;
  • KI-Systeme, die menschliches Verhalten manipulieren, um ihren freien Willen zu umgehen;
  • KI, die Schwachstellen bestimmter Gruppen ausnutzt (aufgrund ihres Alters, ihrer Behinderung, ihrer sozialen oder wirtschaftlichen Situation).

Ausnahmen für die Strafverfolgung

  • Einsatz biometrischer Identifikationssysteme (RBI) in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken, vorbehaltlich einer vorherigen richterlichen Genehmigung und für streng definierte Straftatenlisten.
  • „Post-Remote“-RBI ausschließlich für die gezielte Suche nach Personen, die wegen einer schweren Straftat verurteilt sind oder verdächtigt werden.
  • „Echtzeit“-RBI (zeitlich und örtlich begrenzt) muss strenge Bedingungen erfüllen und ist nur zu folgenden Zwecken zulässig:
    • gezielte Suche nach Opfern (Entführung, Menschenhandel, sexuelle Ausbeutung),
    • Abwehr einer konkreten und gegenwärtigen terroristischen Bedrohung,
    • die Lokalisierung oder Identifizierung einer Person, die im Verdacht steht, eine der in der Verordnung genannten konkreten Straftaten begangen zu haben (z. B. Terrorismus, Menschenhandel, sexuelle Ausbeutung, Mord, Entführung, Vergewaltigung, bewaffneter Raubüberfall, Beteiligung an einer kriminellen Vereinigung, Umweltkriminalität).

Sanktionen und Inkrafttreten

Die Nichteinhaltung der Regeln kann je nach Verstoß und Größe des Unternehmens zu Bußgeldern zwischen 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes und 7,5 Millionen Euro oder 1,5 Prozent des Umsatzes führen. Für KMU und Start-up-Unternehmen sollen angemessen niedrigere Bußgeld-Obergrenzen vorgesehen werden.

Nächste Schritte

Die Verordnung muss noch vom Europäischen Parlament und vom Rat förmlich verabschiedet werden. Sie tritt 20 Tage nach der Veröffentlichung im Amtsblatt in Kraft. Das KI-Gesetz kommt dann zwei Jahre nach seinem Inkrafttreten zur Anwendung. Die Verbote werden aber bereits nach sechs Monaten und die Vorschriften für Allzweck-KI nach 12 Monaten gelten.

DIHK: Impulspapier zur Regulierung der künstlichen Intelligenz

Aus Sicht der DIHK sollte der AI-Act einen ausgewogenen Ansatz verfolgen, der weder die Entwickler von Basismodellen komplett aus der Verantwortung nimmt, noch von vornherein überreguliert. Die Chance, KI als Schlüsseltechnologie in Europa zu erschließen, hänge auch davon ab, dass die rechtlichen Leitplanken klar und verständlich, aber nicht zu eng gefasst sind und umsetzbar bleiben. Künstliche Intelligenz made in Europe brauche ein funktionierendes KI-Ökosystem.
Bei der Regulierung von KI sollte grundsätzlich ein risikobasierter Ansatz verfolgt werden. Verlässlichkeit und Transparenz von KI-Modellen sind ebenso wichtig und werden am Ende auch über die erfolgreiche Produktanwendung der Technologie im Markt entscheiden.
DIHK-Impulspapier (nicht barrierefrei, PDF-Datei · 188 KB)
(Quelle EU-Parlament, EU-Kommission, DIHK)