Es ist offiziell: Die risikobasierte Verordnung der Europäischen Union für Anwendungen künstlicher Intelligenz ist ab Donnerstag, 1. August 2024, in Kraft getreten.
Damit beginnt eine Reihe gestaffelter Fristen für die Einhaltung des Gesetzes, die für verschiedene Arten von KI-Entwicklern und -Anwendungen gelten. Die meisten Bestimmungen werden Mitte 2026 vollständig anwendbar sein. Die erste Frist, die Verbote für eine kleine Anzahl verbotener KI-Anwendungen in bestimmten Kontexten durchsetzt, wie etwa die Verwendung von Fernbiometrie durch Strafverfolgungsbehörden an öffentlichen Orten, wird jedoch bereits in sechs Monaten gelten.
Nach dem Ansatz des Blocks werden die meisten KI-Anwendungen als risikoarm bzw. risikolos angesehen und fallen daher überhaupt nicht in den Anwendungsbereich der Verordnung.
Einige potenzielle KI-Anwendungen werden als risikoreich eingestuft, etwa Biometrie und Gesichtserkennung oder KI in Bereichen wie Bildung und Beschäftigung. Systeme, die in diesen Bereichen eingesetzt werden, müssen in einer EU-Datenbank registriert werden, und ihre Entwickler müssen die Einhaltung der Verpflichtungen zum Risiko- und Qualitätsmanagement sicherstellen.
Eine dritte Stufe mit „begrenztem Risiko“ gilt für KI-Technologien wie Chatbots oder Tools, die zur Erstellung von Deepfakes verwendet werden könnten. Diese müssen bestimmte Transparenzanforderungen erfüllen, um sicherzustellen, dass die Benutzer nicht getäuscht werden.
Ein weiterer wichtiger Aspekt des Gesetzes betrifft Entwickler sogenannter Allzweck-KIs (GPAIs). Auch hier hat die EU einen risikobasierten Ansatz gewählt, wobei die meisten GPAI-Entwickler nur geringen Transparenzanforderungen unterliegen. Nur von einer Teilmenge der leistungsstärksten Modelle wird erwartet, dass sie auch Risikobewertungen und -minderungsmaßnahmen durchführen.
Was genau GPAI-Entwickler tun müssen, um das KI-Gesetz einzuhalten, wird noch diskutiert, da Verhaltenskodizes noch ausgearbeitet werden müssen. Anfang dieser Woche startete das AI Office, ein Gremium für strategische Aufsicht und Aufbau eines KI-Ökosystems, eine Konsultation und rief zur Teilnahme an diesem Regelsetzungsprozess auf. Es erklärte, dass es damit rechnet, die Kodizes im April 2025 fertigzustellen.
In seinem eigene Einführung in den AI Act Ende letzten MonatsOpenAI, der Entwickler des GPT-Langsprachenmodells, das ChatGPT zugrunde liegt, schrieb, dass man beabsichtige, „eng mit dem EU-KI-Büro und anderen relevanten Behörden zusammenzuarbeiten, während das neue Gesetz in den kommenden Monaten umgesetzt wird“. Dazu gehöre die Zusammenstellung technischer Dokumentationen und anderer Leitlinien für nachgelagerte Anbieter und Anwender seiner GPAI-Modelle.
„Wenn Ihre Organisation versucht, herauszufinden, wie sie den AI Act einhalten kann, sollten Sie zunächst versuchen, alle betroffenen KI-Systeme zu klassifizieren. Identifizieren Sie, welche GPAI- und anderen KI-Systeme Sie verwenden, bestimmen Sie, wie sie klassifiziert werden, und überlegen Sie, welche Verpflichtungen sich aus Ihren Anwendungsfällen ergeben“, fügte OpenAI hinzu und bot KI-Entwicklern einige eigene Compliance-Richtlinien an. „Sie sollten auch feststellen, ob Sie in Bezug auf die betroffenen KI-Systeme Anbieter oder Bereitsteller sind. Diese Probleme können komplex sein, daher sollten Sie bei Fragen einen Rechtsbeistand konsultieren.“