Bereits 2021 hat sich die Europäische Kommission mit der künstlichen Intelligenz und Regeln für diese auseinandergesetzt. Nun hat das EU-Parlament weltweit das erste umfassende Gesetz für künstliche Intelligenz (KI) beschlossen und verabschiedet. Dieses wurde auch mit einer großen Mehrheit angenommen. Wir erklären Ihnen, was es mit dem sogenannten AI Act (AI/Artificial Intelligence – dt. künstliche Intelligenz) auf sich hat und was dieser reguliert.

Der AI Act

Der AI Act umfasst 13 Kapitel mit 113 Artikeln, welche die KI regulieren. Das Gesetz dient dazu, die Grundrechte, die Demokratie, die Rechtsstaatlichkeit und die ökologische Nachhaltigkeit vor der KI zu schützen, aber gleichzeitig Innovationen fördern. Anhand der Höhe der Bedrohung und der Gefahr einer KI-Anwendung für die Grundrechte oder die Demokratie wird das jeweilige Risiko eingeschätzt. Dabei wird die künstliche Intelligenz in verschiedene Risikostufen eingeteilt. Je höher das Risiko ist, das von einer KI-Anwendung ausgeht, desto strenger sind die Regeln, an die sich die Entwickler dieser KI halten müssen. Die Einstufung erfolgt in vier Gruppen: inakzeptables/unannehmbares Risiko, hohes Risiko, begrenztes Risiko und geringes Risiko.

Inakzeptables/unannehmbare Risiko

KI-Anwendungen, die ein inakzeptables Risiko für die Grundrechte, die Rechtstaatlichkeit oder die Demokratie aufweisen, sind verboten. Zu diesen KI-Anwendungen zählen Anwendungen, die Menschen anhand sensibler Merkmale in biometrische Kategorien einsortieren können. Auch das ungezielte Auslesen von Gesichtsbilder für Gesichtserkennungsdatenbanken ist verboten.
Aber nicht nur das biometrische Kategorisieren oder Speichern von Gesichtsbildern ist verboten, sondern auch die Emotionserkennung am Arbeitsplatz und Schulen, sowie die Bewertung des sozialen Verhaltens durch eine KI. Generell darf eine KI-Anwendung keine Schwachstellen ausnutzen, um Schäden anzurichten oder täuschende und manipulative Techniken einsetzen, um die Entscheidungsfindung zu beeinflussen oder das Verhalten zu verzerren.

Die Polizei darf zudem keine KI benutzen, die das Risiko bewertet, ob eine Person eine Straftat begeht oder nicht. Darunter fällt auch die Profilerstellung oder die Bewertung von persönlichen Merkmalen. Zusätzlich ist die Biometrische Fernidentifizierung (RBI) mittels einer Echtzeitauswertung in öffentlich zugänglichen Räumen für die Strafverfolgung verboten, sofern durch den Nicht-Einsatz einer solchen Anwendung erhebliche Schäden entstehen würden.

Ausnahme für die Strafverfolgung

Die Ausnahmen gelten dann, wenn durch den Einsatz ein erheblicher Schaden vermieden werden kann. Jedoch müssen auch die Rechte und Freiheiten der Person nach wie vor berücksichtigt werden. Zu diesen Ausnahmen gehören:

  • Die Suche nach vermissten Personen, Entführungsopfern und Opfer von Menschenhandel oder sexualisierter Gewalt,
  • die Verhinderung einer unmittelbaren und erheblichen Gefahr für das Leben oder eines Vorhersehbaren terroristischen Angriffs oder
  • die Identifizierung von Verdächtigen bei schweren Straftaten wie Mord, Vergewaltigung, bewaffneter Raub, illegaler Waffenhandel, organisierter Kriminalität usw.

Damit die Fernidentifizierung durchgeführt werden darf, bedarf es allerdings auch einer Folgenabschätzung für die Grundrechte durch die Polizei. Das System, welches genutzt werden soll, muss in der EU-Datenbank registriert sein. Der Einsatz muss von einer Justizbehörde oder einer unabhängigen Verwaltungsbehörde genehmigt werden.

Hohes Risiko

KI-Anwendungen, die mit einem hohen Risiko eingestuft werden, beinhalten ein potentielles hohes Risiko für die Sicherheit, die Gesundheit oder die Grundrechte von Personen. Darunter fallen zum Beispiel KI-Anwendungen, die in der kritischen Infrastruktur eingesetzt werden, die zur biometrischen Identifikation von Personen eingesetzt werden oder Rückschlüsse auf persönliche Merkmale ermöglichen.

Diese Hochrisiko-KI-Systeme unterliegen strengen Auflagen, die die Entwickler umsetzen müssen. Dazu zählen unter anderem die Einrichtung eines Risikomanagementsystems, die Möglichkeit der Implementierung einer menschlichen Aufsicht, die Einrichtung eines Qualitätsmanagementsystems und die Durchführung einer Data Governance. Mit der Data Governance soll sichergestellt werden, dass alle Schulungs-, Validierungs- und Testdatensätze relevant, vollständig und möglichst frei von Fehlern sind. Wenn eine KI-Anwendung mit dem AI Act übereinstimmt, dann soll dies durch eine CE-Kennzeichnung sichtbar sein.

Begrenztes Risiko

Eine KI-Anwendung weist dann ein begrenztes Risiko auf, wenn sie mit Menschen interagieren. Diese Anwendungen haben geringere Transparenzpflichten als die Hochrisiko-KI-Anwendungen, müssen sich aber trotzdem an die für ihre Risikostufe vorgegeben Anforderungen halten. Sie müssen den Menschen zum Beispiel direkt und deutlich darüber informieren, dass dieser mit einer künstlichen Intelligenz arbeitet. Das kann auch durch den Kontext geschehen, sofern dieser eindeutig ist.

Niedriges Risiko

Für KI-Anwendungen mit einem niedrigen Risiko gelten derzeit keine rechtlichen Vorgaben. Dazu zählen zum Beispiel Spamfilter. Die Einführung eines Verhaltenskodex wird allerdings durch die Gesetzgebung empfohlen.

Wie ist das mit generativer KI wie ChatGPT oder Google Gemini?

Diese wird im AI Act auch beachtet und erhält ein eigenes Kapitel. Darunter wird festgelegt, dass die sogenannte Allzweck-KI bzw. General Purpose AI (GPAI) ein KI-Modell ist, das eine gewisse Allgemeinheit aufweist und viele verschiedene Aufgaben erledigen kann. Dabei ist es auch nicht von Interesse, ob die KI mit vielen Daten unter dem Einsatz von Selbstüberwachung trainiert worden ist oder wie es veröffentlicht worden ist.

Im AI Act ist festgehalten, dass alle Anbieter die Urheberrechtsbestimmungen einhalten müssen, Gebrauchsanweisungen und technische Unterlagen bereitstellen müssen und eine Zusammenfassung der zum Training genutzten Daten veröffentlichen müssen. Wenn die Lizenz einer solchen Allzweck-KI frei und offen ist und auch deren Parameter öffentlich zugänglich, dann müssen Sie nur die Urheberrechtsrichtlinien einhalten und eine detaillierte Zusammenfassung der für das Training genutzten Daten bereitstellen. Sollte die KI aufgrund einer hohen kumulierten Rechenleistung ein systemisches Risiko darstellen, gelten noch weitere Regelungen für diese Art der Allzweck-KI.

KI-Inhalte müssen in Zukunft gekennzeichnet werden

Etwas, was ausnahmsweise einmal nicht die Entwickler von KI-Anwendungen betrifft, sondern tatsächlich auch uns als Endverbraucher, ist die Kennzeichnung von KI-Inhalten. Dabei muss auch eindeutige Kunst oder Satire gekennzeichnet werden, wenn auch nur so, dass sie „die Darstellung oder den Genuss des Werkes nicht beeinträchtigt“.

Bei KI-generierten Texten wiederum gilt nur dann eine Kennzeichnungspflicht, wenn die Inhalte mit dem Ziel veröffentlich werden, die Gesellschaft zu informieren. Wenn ein menschlicher Redakteur die Inhalte vorher jedoch prüft oder eine natürliche oder juristische Person die Verantwortung für diesen Text trägt, dann muss der Text nicht als generierter Text gekennzeichnet werden.

Sanktionen

Sollten Unternehmen gegen diese Verordnung verstoßen, so werden diese sanktioniert. Am teuersten ist dabei die Verwendung verbotener KI, gefolgt von einem Verstoß gegen die Verpflichtungen im AI Act. Ebenso wird auch die Angabe falscher Informationen sanktioniert.

Die Sanktionen sind ähnlich wie schon bei der DSGVO, sowohl in einem maximalen Betrag in Millionen Euro als auch in einem Prozentsatz vom weltweiten Jahresumsatz angegeben. Sollte ein Unternehmen verbotene KI-Anwendungen nutzen, so drohen diesem Unternehmen bis zu 35 Millionen Euro Strafe oder bis zu 7 Prozent des gesamten weltweiten Jahresumsatzes des vergangenen Geschäftsjahres. Bei einem Verstoß gegen die Verpflichtungen drohen bis zu 15 Millionen Euro oder bis zu 3 Prozent des Jahresumsatzes. Bei der Übermittlung falscher Informationen werden bis zu 15 Millionen Euro oder bis zu 1,5 Prozent des Jahresumsatzes fällig.

Fazit

Der AI Act ist beschlossen und reguliert erstmals den „Wilden Westen“ der KI-Welt. Bis zu seinem Beschluss gab es nicht wirklich Regeln, die die KI eingeschränkt haben. Sie war frei und konnte entwickelt werden, wie man wollte. Durch die Regelungen sind wir Menschen geschützter, da nicht alles mittels KI erlaubt ist. Es darf keine Emotionserkennung durchgeführt werden und auch unser Sozialverhalten darf nicht bewertet werden.

Bis der AI Act gänzlich in Kraft tritt, dauert es noch etwas. Spätestens 36 Monate nach Inkrafttreten gelten die meisten Artikel des AI Acts. Bereits nach Sechs Monaten gelten schon die Verbote der KI-Anwendungen mit unannehmbarem Risiko. Nach neun Monaten müssen alle Allzweck-KI fertige Verhaltenskodizes besitzen und nach 12 Monaten gelten die Verpflichtungen für die Allzweck-KI. Es kommen aber endlich Regeln für die KI-Anwendungen.

Ihre Rechtsanwälte Perner & Grüger