Am 1. August 2024 trat der EU-Rechtsakt zum Thema Künstliche Intelligenz (KI) in Kraft und läutete damit eine neue Ära der Regulierung ein. Diese bahnbrechende Verordnung wird klare Standards und Compliance-Anforderungen für KI-Anwendungen innerhalb der EU festlegen. Die Umsetzung des Gesetzes markiert einen wichtigen Schritt der EU in der KI-Governance und spiegelt ihren risikobasierten Ansatz wider.
Der Rechtsakt sieht gestaffelte Compliance-Fristen für verschiedene Arten von KI-Entwicklern und -Anwendungen vor. Während die meisten Bestimmungen erst Mitte 2026 vollständig gelten, treten einige wichtige Bestimmungen bereits nach sechs Monaten in Kraft. Dazu gehört das Verbot der Verwendung bestimmter KI-Technologien unter bestimmten Umständen, z. B. der Einsatz von Fern-Biometrietechnologien durch Strafverfolgungsbehörden im öffentlichen Raum.
Bildquelle: Das Bild wurde mit KI generiert, Lizenzgeber: Midjourney
Gemäß dem Risikomanagementansatz der EU werden KI-Anwendungen in verschiedene Risikoklassen eingeteilt. Die meisten alltäglichen Anwendungen gelten als niedrig oder nicht riskant und fallen daher nicht unter diese Verordnung. Anwendungen, die jedoch potenziell schädlich für Einzelpersonen und die Öffentlichkeit sein könnten, werden als Hochrisiko-Anwendungen eingestuft, z. B. Biometrie, Gesichtserkennung und KI-basierte medizinische Software. Unternehmen, die diese Hochrisiko-KI-Technologien entwickeln, müssen sicherstellen, dass ihre Produkte strenge Risiko- und Qualitätsmanagementstandards erfüllen, einschließlich einer umfassenden Konformitätsbewertung und möglicher Audits durch Aufsichtsbehörden.
Darüber hinaus müssen Technologien mit „eingeschränktem Risiko“, wie z. B. Chatbots, bestimmte Transparenzanforderungen erfüllen, um sicherzustellen, dass Benutzer über deren Verwendung informiert sind und potenzielle Irreführungen oder Betrug verhindert werden.
Der KI-Rechtsakt führt auch ein gestaffeltes Sanktionssystem ein. Unternehmen, die gegen das Verbot der Verwendung von Hochrisiko-KI-Anwendungen verstoßen, werden mit hohen Strafen belegt, die bis zu 7 % des weltweiten Jahresumsatzes des Unternehmens betragen können. Andere Verstöße, wie z. B. die Nichterfüllung von Risikomanagementpflichten oder die Übermittlung unrichtiger Informationen an die Aufsichtsbehörden, werden mit unterschiedlichen Geldstrafen geahndet, die bis zu 3 % oder 1,5 % des weltweiten Jahresumsatzes betragen können.
Für Technologien, die als General Purpose Artificial Intelligence (GPAI) bezeichnet werden, hat die EU spezielle Bestimmungen erlassen. Die meisten GPAI-Entwickler müssen leichte Transparenzpflichten erfüllen, darunter die Bereitstellung einer Zusammenfassung der Trainingsdaten und die Einhaltung der Urheberrechtsregeln. Nur die leistungsstärksten GPAI-Modelle, die als potenziell systemische Risiken eingestuft werden, müssen zusätzliche Risikobewertungen und -minderungsmaßnahmen durchführen.
Mit dem Inkrafttreten des KI-Rechtsakts schlägt das KI-Ökosystem der EU ein neues Kapitel auf. Entwickler, Unternehmen und die öffentliche Hand verfügen nun über eine klare Roadmap für die Compliance, was Innovation und Entwicklung in der KI-Branche fördern und gleichzeitig sicherstellen wird, dass die Anwendung ethischen und Sicherheitsstandards entspricht.
Herausforderungen bleiben jedoch bestehen. Einige spezifische Bestimmungen, insbesondere die Anforderungen an Hochrisiko-KI-Systeme, befinden sich noch in der Ausarbeitung. Europäische Normungsorganisationen beteiligen sich aktiv an diesem Prozess und werden voraussichtlich bis April 2025 die entsprechenden Normen fertigstellen.
