Die Europäische Union hat mit dem AI Act einen Meilenstein gesetzt und das EU-Parlament wird voraussichtlich im Mai 2024 das weltweit erste umfassende Gesetz für Künstliche Intelligenz (KI) verabschieden. Dieses wegweisende Gesetz zielt darauf ab, die europäischen Verbraucher vor Grundrechtsverletzungen durch den Einsatz von KI zu schützen und gleichzeitig Innovationen im Bereich der KI zu fördern.
Inkrafttreten und Zeitplan
Verabschiedung: Voraussichtlich im Mai 2024
Inkrafttreten: 20 Tage nach Veröffentlichung im Amtsblatt
Anwendbarkeit: 2 Jahre nach Verabschiedung
Verbotene Systeme: 6 Monate nach Verabschiedung
Vorschriften für GPAI: 12 Monate nach Verabschiedung
Kategorisierung von KI-Systemen
Der AI Act verfolgt einen risikobasierten Ansatz, der KI-Systeme in verschiedene Kategorien einteilt:
Unannehmbares Risiko: Diese Systeme werden vollständig verboten. Beispiele sind Systeme, die auf biometrischer Kategorisierung sensibler Merkmale basieren oder Social Scoring zur Bewertung von Personen einsetzen.
Hohes Risiko: Diese Systeme müssen strenge Anforderungen erfüllen, um auf dem Markt zugelassen zu werden. Dazu gehören Konformitätsbewertung und -erklärung, ein Qualitätsmanagement-System (QMS), Validierung des KI-Systems und Lifecycle Management.
Geringes oder minimales Risiko: Für diese Systeme gelten weniger strenge Auflagen, jedoch müssen sie bestimmte Transparenzpflichten erfüllen. Beispielsweise müssen KI-generierte Inhalte wie Chatbots oder Deepfakes gekennzeichnet werden.
Hochrisiko-Systeme
Hochrisiko-Systeme werden weiter unterteilt in zwei Kategorien:
Systeme für Produkte, die EU-Sicherheitsvorschriften unterliegen: Hierzu zählen beispielsweise Maschinen, Spielzeug, Luftfahrt- und Fahrzeugtechnik, medizinische Geräte und Aufzüge. Diese Systeme müssen von einer notifizierten Stelle einer Konformitätsbewertung unterzogen werden.
Systeme in sensiblen Bereichen: Diese umfassen Bildung, Beschäftigung, grundlegende private und öffentliche Dienstleistungen (einschließlich Finanzdienstleistungen), Strafverfolgung, Migration/Asyl/Grenzkontrolle sowie demokratische Prozesse (Wahlen). Anbieter dieser Systeme können die Konformitätsbewertung selbst durchführen.
GPAI (KI mit allgemeinem Verwendungszweck)
GPAI-Systeme, die aufgrund ihrer Flexibilität und ihres Potenzials für eine weitverbreitete Nutzung als besonders risikobehaftet gelten, werden gesondert reguliert. Für sie gelten zusätzliche Transparenzpflichten, die über die Anforderungen für herkömmliche KI-Systeme hinausgehen.
Technische Dokumentation: Anbieter von GPAI-Systemen müssen detaillierte Informationen über die Entwicklung und Funktionsweise ihrer Systeme bereitstellen.
Kennzeichnung von KI-generierten Inhalten: Inhalte, die mithilfe von GPAI-Systemen generiert werden, müssen klar als solche gekennzeichnet werden.
Verhaltenskodizes: Für "sehr leistungsstarke" GPAI-Basismodelle, die systemische Risiken bergen können, werden Verhaltenskodizes entwickelt, um die Sicherheit und Zuverlässigkeit dieser Systeme zu gewährleisten.
Durchsetzung
Die Durchsetzung des AI Acts erfolgt auf mehreren Ebenen:
EU-Ebene:
Amt für künstliche Intelligenz: Koordiniert die Umsetzung des Gesetzes in allen EU-Mitgliedsstaaten.
KI-Ausschuss: Gibt Feedback und stellt sicher, dass während des Umsetzungsprozesses ein breites Meinungsspektrum vertreten ist.
Beratungsforum: Erkennt systemische Risiken, stellt Leitlinien für die Modellklassifizierung bereit und gewährleistet, dass die Durchsetzungsmaßnahmen den neuesten wissenschaftlichen Erkenntnissen entsprechen.
Nationale Ebene:
Zuständige nationale Behörden: Sind für die Durchsetzung des Gesetzes auf nationaler Ebene verantwortlich.
Notifizierte Stellen: Führen Konformitätsbewertungen von Hochrisiko-Systemen durch.
Sanktionen
Verstöße gegen den AI Act können mit empfindlichen Geldbußen geahndet werden:
Verbotene Systeme: Bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes
Geringfügige Verstöße: Bis zu 15 Mio. EUR oder 3% des Jahresumsatzes
Fehlerhafte Meldungen: Bis zu 7,5 Mio. EUR oder 1,5% des Jahresumsatzes
Vorbereitung für Unternehmen
Unternehmen, die KI-Systeme entwickeln, einsetzen oder vertreiben, sollten sich jetzt aktiv auf den EU AI Act vorbereiten. Das Gesetz, das im Mai 2024 verabschiedet werden soll, bringt weitreichende Anforderungen mit sich, die ab 2026 verbindlich gelten.
Erste Schritte:
Bestandsaufnahme: Verschaffen Sie sich einen Überblick über Ihre KI-Systeme und kategorisieren Sie diese nach den Vorgaben des AI Acts.
Risikobewertung: Analysieren Sie die Risiken Ihrer KI-Systeme und identifizieren Sie potenzielle Schwachstellen.
Compliance-Strategie: Entwickeln Sie einen Plan, wie Sie die Anforderungen des AI Acts erfüllen wollen.
Verantwortlichkeiten festlegen: Definieren Sie klare Verantwortlichkeiten für die Umsetzung der Compliance-Strategie.
Maßnahmen umsetzen: Implementieren Sie die notwendigen Maßnahmen, z. B. ein QM-System, Konformitätsbewertungen und Kennzeichnung von KI-generierten Inhalten.
Mitarbeiter schulen: Informieren Sie Ihre Mitarbeiter über die Anforderungen des AI Acts und die Bedeutung von vertrauenswürdiger KI.
Hinweis:
Dieser Beitrag dient lediglich der Information und stellt keine Rechtsberatung dar. Bitte wenden Sie sich an einen Anwalt, wenn Sie konkreten Rechtsrat benötigen.