Einblicke in das EU-Gesetz zur Künstlichen Intelligenz

Im April 2021 stellte die Europäische Kommission ihren mit Spannung erwarteten, wegweisenden Entwurf für einen Vorschlag zur Regulierung künstlicher Intelligenz vor. Allgemein bekannt als Gesetz über künstliche Intelligenz (das „KI-Gesetz“ oder „AI Act“), stellt dies den weltweit ersten umfassenden Versuch dar, eine horizontale Regulierung von KI-Systemen zu implementieren. Das KI-Gesetz soll die mit KI und ihren spezifischen Anwendungen verbundenen schädlichen Risiken bewältigen und gleichzeitig verantwortungsvolle Innovationen in diesem Bereich fördern. Im Falle des Inkrafttretens wird dieses Instrument die Methoden, mit denen Unternehmen Technologien der künstlichen Intelligenz entwickeln, bereitstellen, warten und nutzen, dauerhaft neu definieren.

‍

Hauptmerkmale des KI-Gesetzes

Definition eines „Systems der künstlichen Intelligenz“ (KI-System):

Die Kommission hat eine weit gefasste Definition eines KI-Systems vorgelegt, die sich auf softwarebasierte Technologien erstreckt und eine Reihe von allgemein definierten KI-Ansätzen und -Techniken umfasst: „maschinelles Lernen“, „logik- und wissensbasierte“ Systeme sowie „statistische Ansätze“.

Risikobasierter Ansatz:

Die Regulierung wird einen risikobasierten Pyramidenansatz zur Bewältigung von KI-Risiken verfolgen – wobei die Anforderungen und Pflichten der Marktteilnehmer im Verhältnis zu der Höhe des Risikos angepasst werden, das von ihren KI-Systemen ausgeht. Die vier Risikokategorien werden im Folgenden näher erläutert.

1. Unacceptable risk (Unannehmbares Risiko). An der Spitze dieser Pyramide steht eine Kategorie von KI-Anwendungsfällen, von denen angenommen wird, dass sie ein unannehmbares Risiko für Nutzer und die breitere Gesellschaft darstellen und dementsprechend gänzlich verboten sind. Die Liste der verbotenen Systeme umfasst unter anderem KI-Technologien, die subliminale Beeinflussung, biometrische Echtzeit-Identifizierung, Social Scoring durch Behörden oder die Ausnutzung schutzbedürftiger gesellschaftlicher Gruppen beinhalten.

2. High-risk (Hohes Risiko). Obwohl zulässig, werden verschärfte Anforderungen für eine Vielzahl von hochriskanten KI-Systemen vorgeschlagen, die das Potenzial haben, die Sicherheit einer Person oder deren Grundrechte beeinträchtigen zu können. Zu den Anwendungen in dieser Kategorie gehören Systeme in den Bereichen Infrastruktur, Bildung, Beschäftigung, Strafverfolgung sowie solche, die eine Sicherheitskomponente eines Produkts darstellen, das bereits den EU-Sicherheits- und Gesundheitsvorschriften unterliegt. Die spezifischen Regeln für hochriskante Systeme verlangen von Organisationen unter anderem:

• Risikomanagementsysteme einzurichten, um sicherzustellen, dass eine angemessene Risikobewertung für ein bestimmtes System durchgeführt wird;

• eine umfassende technische Dokumentation für ihre Systeme zu erstellen;

• ihre Anwendungen einer Konformitätsbewertung vor der Inbetriebnahme zu unterziehen;

• qualitativ hochwertige Data-Governance- und Datenmanagement-Verfahren aufrechterzuerhalten; und

• sicherzustellen, dass das System hohen Standards an Robustheit, Cybersicherheit und Genauigkeit entspricht.

3. Limited risk (Geringes Risiko). Anwendungen, die nicht explizit verboten oder als hochriskant eingestuft sind, bleiben weitgehend unreguliert. Systeme mit geringem Risiko unterliegen weniger strengen Transparenzregeln, die lediglich erfordern, dass die Nutzer darüber informiert werden, dass sie mit einem KI-Tool interagieren.

4. Minimal risk (Minimales Risiko). Obwohl keine spezifischen Anforderungen für Anwendungen existieren, die in keine andere Kategorie passen und somit ein minimales Risiko darstellen, wird empfohlen, dass Unternehmen bei allen KI-Systemen einen ethisch fundierten Ansatz verfolgen, unabhängig von der Höhe des Risikos. In der Tat fungiert Artikel 69 des KI-Gesetzes als Auffangklausel, die Anbieter und Nutzer von KI-Systemen mit geringerem Risiko dazu ermutigt, auf freiwilliger und proportionaler Basis dieselben Standards wie bei hochriskanten Systemen einzuhalten.

Wer für die Compliance verantwortlich ist und welche Konsequenzen bei Verstößen drohen:

Für jeden Marktteilnehmer gelten unterschiedliche Pflichten, je nachdem, welche Rolle er im KI-Lebenszyklus einnimmt. Das KI-Gesetz unterscheidet zwischen „Anbietern“, „Nutzern“, „Importeuren“ und „Händlern“ und erlegt jedem unterschiedliche Verpflichtungen auf. Die Strafen nach dem aktuellen Entwurf des EU-KI-Gesetzes sind hoch. Die Geldbußen für die schwerwiegendsten Verstöße könnten bis zu 6 Prozent des Jahresumsatzes betragen.

‍

Der aktuelle Stand der Dinge

Seit seiner Veröffentlichung hat der Entwurf wesentliche Kommentare von anderen legislativen Organen der Europäischen Union und interessierten Dritten erhalten. Einige der wichtigsten noch offenen Punkte werden im Folgenden näher erläutert.

Definition eines „Systems der künstlichen Intelligenz“:

Die Bestimmung dessen, was ein „KI-System“ ausmacht, ist entscheidend für die Zuweisung von Verantwortung im Rahmen des KI-Gesetzes. Der weite Definitionsbereich von Artikel 3 Absatz 1, der versucht, das Konzept zu definieren, war Gegenstand heftiger Kontroversen unter den Branchenakteuren. Ein von der tschechischen Präsidentschaft des Europäischen Rates vorgelegter Kompromissänderungsvorschlag hat versucht, die durch die weite Definition entstandenen Unklarheiten zu beseitigen. Diese engere Definition schließt traditionelle Softwaresysteme aus dem Anwendungsbereich der Verordnung aus, indem zwei zusätzliche Anforderungen eingeführt werden: (1) dass die Systeme durch maschinelle Lernverfahren und wissensbasierte Ansätze entwickelt werden; und (2) dass die Zielanwendungen „generative Systeme“ sind, die die Umgebungen beeinflussen, mit denen sie interagieren.

Verteilung der Verantwortlichkeiten zwischen KI-Anbietern und -Nutzern:

Das KI-Gesetz erlegt die Compliance-Pflichten weitgehend den Anbietern auf (d. h. denjenigen, die ein bestimmtes KI-System entwickeln) und weniger den Nutzern. Branchenverbände haben argumentiert, dass diese Top-down-Verteilung der Verantwortung in Fällen problematisch sein könnte, in denen KI-Dienste nachgelagert für unvorhersehbare Zwecke genutzt werden und in denen es schwierig sein kann, genau festzustellen, wer der Anbieter ist.

Allgemeine KI (General-purpose AI):

Die Einstufung einer Anwendung als Allzweck-KI-System hängt von ihrer Fähigkeit ab, mehrere Aufgaben in einer Vielzahl von Kontexten auszuführen. Im Mai dieses Jahres kündigten die EU-Gesetzgeber ihre Absicht an, die Anforderungen des EU-KI-Gesetzes auf alle Allzweck-KI-Systeme auszuweiten, selbst bei Anwendungen mit geringem Risiko. Dies erwies sich als umstritten, da Gegner argumentierten, dass dies eine grundlegende Abkehr von dem risikobasierten Ansatz im Zentrum des Vorschlags darstelle und die Innovation zu ersticken drohe. Im September dieses Jahres schlug der Rat einen Kompromiss vor, indem er verlangte, dass Allzweck-KI einem umfassenden Risikobewertungsverfahren unterzogen wird, was Allzweck-KI-Systeme mit geringem Risiko von den strengeren Anforderungen des KI-Gesetzes ausschließen würde; dies wurde im Allgemeinen positiv aufgenommen.

Verbindliche Grundprinzipien:

Eine Empfehlung zur Einführung verbindlicher Grundprinzipien wie Fairness, Transparenz und Rechenschaftspflicht für alle KI-Systeme (unabhängig vom Risikoniveau) wurde von Mitgliedern des Europäischen Parlaments (MdEP) eingebracht und wartet auf eine endgültige Entscheidung.

Standards:

Parallel zum Gesetzgebungsprozess hat die Kommission die europäischen Normungsorganisationen CEN und CENELEC gebeten, technische Standards für das Benchmarking zur Einhaltung des KI-Gesetzes zu entwickeln. Obwohl die von diesen Gremien entwickelten Standards freiwillig sein werden, genießen Organisationen, die nachweisen, dass ihre Systeme diese erfüllen, eine Konformitätsvermutung mit dem KI-Gesetz.

Die Herausforderung

Das KI-Gesetz durchläuft noch immer den komplexen Gesetzgebungsprozess der EU. Viele Organisationen haben sich jedoch bereits auf das KI-Gesetz vorbereitet. Da sich dieser Sektor weiterentwickelt, bringt das Ergreifen proaktiver Schritte – wie die Implementierung von Risikomanagementsystemen und die Durchführung detaillierter technischer Prüfungen – klare Vorteile für Unternehmen mit sich, unabhängig von regulatorischen Verpflichtungen.

Der Prozess birgt nach wie vor viele Herausforderungen. Die Rolle zu verstehen, die ein Marktteilnehmer im Ökosystem einnimmt, die Komplexität der Festlegung von Risikostufen zu bewältigen und anschließend die Anwendbarkeit der relevanten Verpflichtungen im Rahmen des KI-Gesetzes zu bestimmen und diese einzuhalten, stellt zweifellos eine Belastung für die in diesem Bereich tätigen Akteure dar. Die Enzai-Plattform wurde in diesem Sinne entwickelt und kann Organisationen dabei helfen, sich schnell und effizient in diesem Bereich zurechtzufinden, sodass sie sich auf die Entwicklung zukunftssicherer KI-Technologien konzentrieren können.

Enzai ist die führende Plattform für Enterprise AI Governance, die speziell dafür entwickelt wurde, Organisationen beim Übergang von abstrakten Richtlinien zur operativen Aufsicht zu unterstützen. Unsere KI-Risikomanagement-Plattform bietet die spezialisierte Infrastruktur, die für die Verwaltung der Agentic AI Governance, die Pflege eines umfassenden KI-Inventars und die Gewährleistung der Konformität mit dem EU-KI-Gesetz erforderlich ist. Durch die Automatisierung komplexer Arbeitsabläufe versetzt Enzai Unternehmen in die Lage, die Einführung von KI vertrauensvoll zu skalieren und gleichzeitig die Ausrichtung an globalen Standards wie ISO 42001 und NIST beizubehalten.