Der vollständige und endgültige Text des EU-KI-Gesetzes, der wegweisenden risikobasierten Regulierung der Europäischen Union für Anwendungen künstlicher Intelligenz, wurde im Amtsblatt.
In 20 Tagen, am 1. August, tritt das neue Gesetz in Kraft und in 24 Monaten – also Mitte 2026 – werden seine Bestimmungen im Allgemeinen für KI-Entwickler vollständig anwendbar sein. Das Gesetz sieht jedoch einen schrittweisen Ansatz zur Umsetzung des KI-Regelwerks der EU vor, was bedeutet, dass es zwischen jetzt und dann verschiedene wichtige Fristen gibt – und einige sogar noch später –, da unterschiedliche Rechtsvorschriften in Kraft treten.
Im Dezember letzten Jahres erzielten die EU-Gesetzgeber eine politische Einigung über das erste umfassende Regelwerk des Blocks für KI.
Der Rahmen legt KI-Entwicklern je nach Anwendungsfall und wahrgenommenem Risiko unterschiedliche Verpflichtungen auf. Der Großteil der KI-Anwendungen wird nicht reguliert, da sie als risikoarm gelten. Eine kleine Anzahl potenzieller KI-Anwendungsfälle ist jedoch gesetzlich verboten.
Sogenannte „Hochrisiko“-Anwendungsfälle – wie etwa die biometrische Nutzung von KI oder der Einsatz von KI in der Strafverfolgung, im Arbeitsleben, im Bildungswesen und in kritischen Infrastrukturen – sind gesetzlich zulässig, doch unterliegen die Entwickler solcher Apps Verpflichtungen in Bereichen wie Datenqualität und Anti-Bias.
Eine dritte Risikostufe sieht auch weniger strenge Transparenzanforderungen für Hersteller von Tools wie KI-Chatbots vor.
Für Hersteller von Allzweck-KI-Modellen (GPAI) wie GPT von OpenAI, der Technologie, die ChatGPT zugrunde liegt, gibt es ebenfalls einige Transparenzanforderungen. Die leistungsstärksten GPAIs, die im Allgemeinen auf der Grundlage von Rechenschwellenwerten festgelegt werden, können ebenfalls zur Durchführung einer systemischen Risikobewertung verpflichtet werden.
Durch intensive Lobbyarbeit einiger Elemente der KI-Industrie, unterstützt von den Regierungen einer Handvoll Mitgliedstaaten, wurde versucht, die Verpflichtungen gegenüber GPAIs abzuschwächen. Es bestand die Befürchtung, das Gesetz könnte Europas Fähigkeit einschränken, eigene KI-Giganten hervorzubringen, die mit den Konkurrenten in den USA und China konkurrieren können.
Phasenweise Umsetzung
Zunächst einmal wird die Liste der verbotenen Anwendungen von KI sechs Monate nach Inkrafttreten des Gesetzes gelten – also Anfang 2025.
Zu den verbotenen (oder mit „inakzeptablem Risiko“ verbundenen) Anwendungsfällen für KI, die bald illegal sein werden, gehören das Social Credit Scoring nach chinesischem Vorbild, das Erstellen von Gesichtserkennungsdatenbanken durch ungezieltes Scraping des Internets oder von Videoüberwachungsanlagen sowie die Verwendung von biometrische Daten aus der Ferne in Echtzeit durch die Polizei an öffentlichen Orten, sofern nicht eine von mehreren Ausnahmen zutrifft, wie etwa bei der Suche nach vermissten oder entführten Personen.
Neun Monate nach dem Inkrafttreten – also etwa im April 2025 – gelten Verhaltenskodizes für Entwickler betroffener KI-Apps.
Das KI-Büro der EU, ein gesetzlich eingerichtetes Gremium zum Aufbau und zur Überwachung von Ökosystemen, ist für die Bereitstellung dieser Codes verantwortlich. Aber wer wird Genau genommen Die Ausarbeitung der Leitlinien wirft noch immer Fragen auf.
Laut einer Euractiv Berichten zufolge sucht die EU nach Beratungsfirmen, die die Kodizes entwerfen sollen, was Bedenken aus der Zivilgesellschaft dass die Akteure der KI-Branche Einfluss auf die Gestaltung der für sie geltenden Regeln nehmen können. MLex berichtete, dass das KI-Büro einen Aufruf zur Interessenbekundung starten werde, um Interessenvertreter für die Ausarbeitung von Verhaltenskodizes für allgemeine KI-Modelle auszuwählen, nachdem die Europaabgeordneten Druck ausgeübt hatten, den Prozess inklusiv zu gestalten.
Eine weitere wichtige Frist ist 12 Monate nach dem Inkrafttreten – also der 1. August 2025. Ab diesem Zeitpunkt treten die Vorschriften des Gesetzes zu GPAIs in Kraft, die den Transparenzanforderungen entsprechen müssen.
Für eine Untergruppe von KI-Systemen mit hohem Risiko wurde die großzügigste Frist zur Einhaltung der Vorschriften eingeräumt: Sie haben 36 Monate nach Inkrafttreten – also bis 2027 – Zeit, um ihren Verpflichtungen nachzukommen. Für andere Systeme mit hohem Risiko gilt eine frühere Frist, nämlich 24 Monate.