Das risikobasierte Regelwerk der Europäischen Union für künstliche Intelligenz – auch bekannt als EU-KI-Gesetz – hat Jahre in Anspruch genommen. Erwarten Sie jedoch, dass Sie in den kommenden Monaten (und Jahren) noch viel mehr über die Verordnung erfahren werden, wenn wichtige Compliance-Fristen in Kraft treten. Lesen Sie in der Zwischenzeit weiter, um einen Überblick über das Gesetz und seine Ziele zu erhalten.
Was will die EU also erreichen? Drehen Sie die Uhr zurück auf April 2021, als die Kommission den ursprünglichen Vorschlag veröffentlichte und die Gesetzgeber ihn als Gesetz formulierten, um die Innovationsfähigkeit der Union im Bereich KI durch die Förderung des Vertrauens der Bürger zu stärken. Der Rahmen würde sicherstellen, dass KI-Technologien „menschenzentriert“ bleiben, und gleichzeitig den Unternehmen klare Regeln für die Umsetzung ihrer maschinellen Lernmagie geben, schlug die EU vor.
Die zunehmende Einführung der Automatisierung in Industrie und Gesellschaft hat zweifellos das Potenzial, die Produktivität in verschiedenen Bereichen zu steigern. Es birgt jedoch auch das Risiko schnell zunehmender Schäden, wenn die Ergebnisse schlecht sind und/oder wenn KI mit den Rechten des Einzelnen kollidiert und diese nicht respektiert.
Das Ziel des Blocks für das KI-Gesetz besteht daher darin, die Einführung von KI voranzutreiben und ein lokales KI-Ökosystem aufzubauen, indem Bedingungen geschaffen werden, die das Risiko verringern sollen, dass etwas schrecklich schiefgehen könnte. Der Gesetzgeber geht davon aus, dass die Einführung von Leitplanken das Vertrauen der Bürger in die KI und deren Akzeptanz stärken wird.
Diese Idee der Ökosystemförderung durch Vertrauen war zu Beginn des Jahrzehnts, als das Gesetz diskutiert und ausgearbeitet wurde, ziemlich unumstritten. Von einigen Seiten wurden jedoch Einwände geäußert, dass es einfach zu früh sei, KI zu regulieren und dass die europäische Innovation und Wettbewerbsfähigkeit darunter leiden könnte.
Natürlich würden nur wenige sagen, dass es jetzt noch zu früh ist, wenn man bedenkt, dass die Technologie dank des Booms bei generativen KI-Tools rasant ins Bewusstsein der breiten Masse gerückt ist. Es gibt jedoch immer noch Einwände, dass das Gesetz trotz der Einbeziehung von Unterstützungsmaßnahmen wie regulatorischen Sandboxen die Aussichten einheimischer KI-Unternehmer beeinträchtigt.
Trotzdem ist die große Debatte für viele Gesetzgeber jetzt im Gange Wie KI zu regulieren, und mit dem KI-Gesetz hat die EU die Weichen gestellt. In den nächsten Jahren dreht sich alles um die Umsetzung des Plans durch den Block.
Was verlangt das KI-Gesetz?
Die meisten Einsatzmöglichkeiten von KI sind nicht werden überhaupt nicht durch das KI-Gesetz reguliert, da sie nicht in den Anwendungsbereich der risikobasierten Regeln fallen. (Es ist auch erwähnenswert, dass der militärische Einsatz von KI völlig außerhalb des Anwendungsbereichs liegt, da die nationale Sicherheit in die Rechtskompetenz der Mitgliedstaaten und nicht auf EU-Ebene fällt.)
Für den Einsatz von KI innerhalb des Anwendungsbereichs legt der risikobasierte Ansatz des Gesetzes eine Hierarchie fest, in der eine Handvoll potenzieller Anwendungsfälle (z. B. „schädliche unterschwellige, manipulative und irreführende Techniken“ oder „inakzeptable soziale Bewertung“) als „inakzeptabel“ eingestuft werden Risiko“ und sind daher verboten. Die Liste der verbotenen Verwendungen ist jedoch voller Ausnahmen, sodass selbst die geringe Anzahl gesetzlicher Verbote zahlreiche Einschränkungen mit sich bringt.
Beispielsweise ist ein Verbot der Strafverfolgung, die biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen zu nutzen, nicht das pauschale Verbot, auf das einige Parlamentarier und viele zivilgesellschaftliche Gruppen gedrängt hatten, mit Ausnahmen, die den Einsatz für bestimmte Straftaten erlauben.
Die nächstniedrigere Stufe nach inakzeptablem Risiko/verbotener Nutzung sind Anwendungsfälle mit „hohem Risiko“ – wie etwa KI-Apps für kritische Infrastrukturen; Strafverfolgung; Bildung und Berufsausbildung; Gesundheitspflege; und mehr – wo App-Hersteller vor der Markteinführung und auf fortlaufender Basis (z. B. wenn sie wesentliche Aktualisierungen an Modellen vornehmen) Konformitätsbewertungen durchführen müssen.
Das bedeutet, dass der Entwickler nachweisen kann, dass er die gesetzlichen Anforderungen in Bereichen wie Datenqualität, Dokumentation und Rückverfolgbarkeit, Transparenz, menschliche Aufsicht, Genauigkeit, Cybersicherheit und Robustheit erfüllt. Sie müssen Qualitäts- und Risikomanagementsysteme einrichten, damit sie die Einhaltung nachweisen können, wenn eine Durchsetzungsbehörde für eine Prüfung an die Tür klopft.
Auch Hochrisikosysteme, die von öffentlichen Stellen eingesetzt werden, müssen in einer öffentlichen EU-Datenbank registriert werden.
Es gibt auch eine dritte Kategorie mit „mittlerem Risiko“, die Transparenzpflichten für KI-Systeme wie Chatbots oder andere Tools auferlegt, mit denen synthetische Medien produziert werden können. Hier besteht die Sorge, dass sie zur Manipulation von Menschen verwendet werden könnten. Daher erfordert diese Art von Technologie, dass Benutzer darüber informiert werden, dass sie mit von KI erstellten Inhalten interagieren oder diese ansehen.
Alle anderen Nutzungen von KI gelten automatisch als geringes/minimales Risiko und sind nicht reguliert. Das bedeutet, dass beispielsweise Dinge wie der Einsatz von KI zum Sortieren und Empfehlen von Social-Media-Inhalten oder gezielte Werbung keinen Verpflichtungen im Rahmen dieser Regeln unterliegen. Der Block ermutigt jedoch alle KI-Entwickler, freiwillig Best Practices zur Stärkung des Benutzervertrauens zu befolgen.
Diese abgestuften risikobasierten Regeln machen den Großteil des KI-Gesetzes aus. Es gibt aber auch einige spezielle Anforderungen für die vielfältigen Modelle, die generativen KI-Technologien zugrunde liegen – die im KI-Gesetz als „Allzweck-KI“-Modelle (oder GPAIs) bezeichnet werden.
Diese Teilmenge der KI-Technologien, die die Branche manchmal als „Grundlagenmodelle“ bezeichnet, ist in der Regel vielen Apps vorgelagert, die künstliche Intelligenz implementieren. Entwickler greifen auf APIs der GPAIs zurück, um die Funktionen dieser Modelle in ihrer eigenen Software bereitzustellen, oft fein abgestimmt auf einen bestimmten Anwendungsfall, um einen Mehrwert zu schaffen. All dies bedeutet, dass GPAIs schnell eine starke Position auf dem Markt erlangt haben und das Potenzial haben, KI-Ergebnisse in großem Umfang zu beeinflussen.
GenAI hat den Chat betreten …
Der Aufstieg von GenAI hat nicht nur die Diskussion um das EU-KI-Gesetz verändert; Dies führte zu Änderungen am Regelwerk selbst, da der langwierige Gesetzgebungsprozess des Blocks mit dem Hype um GenAI-Tools wie ChatGPT zusammenfiel. Die Abgeordneten im Europaparlament nutzten ihre Chance, darauf zu reagieren.
Die Abgeordneten schlugen vor, zusätzliche Regeln für GPAIs – also die Modelle, die den GenAI-Tools zugrunde liegen – hinzuzufügen. Dies wiederum schärfte die Aufmerksamkeit der Technologiebranche auf die Frage, was die EU mit dem Gesetz machte, was zu heftiger Lobbyarbeit für eine Ausgliederung von GPAIs führte.
Das französische KI-Unternehmen Mistral war eine der lautesten Stimmen und argumentierte, dass Regeln für Modellbauer die Fähigkeit Europas beeinträchtigen würden, gegen KI-Giganten aus den USA und China zu konkurrieren. Sam Altman von OpenAI mischte sich ebenfalls ein und schlug in einer Nebenbemerkung gegenüber Journalisten vor, dass das Unternehmen seine Technologie möglicherweise aus Europa abziehen würde, wenn sich die Gesetze als zu streng erweisen würden, bevor es eilig auf die traditionelle Unterdrückung (Lobbyarbeit) regionaler Machthaber zurückfiel, nachdem die EU ihn angerufen hatte auf diese ungeschickte Drohung eingehen.
Altmans Besuch eines Crashkurses in europäischer Diplomatie war einer der sichtbareren Nebeneffekte des KI-Gesetzes.
Das Ergebnis all dieser Aufregung war eine mühsame Fahrt, um den Gesetzgebungsprozess zum Abschluss zu bringen. Letztes Jahr dauerte es Monate und eine Marathon-Abschlussverhandlung zwischen dem Europäischen Parlament, dem Rat und der Kommission, um das Dossier über die Ziellinie zu bringen. Die politische Einigung wurde im Dezember 2023 erzielt und ebnete den Weg für die Annahme des endgültigen Textes im Mai 2024.
Die EU hat das KI-Gesetz als „globale Premiere“ verkündet. Als Erster in diesem hochmodernen Technologiekontext zu sein bedeutet jedoch, dass noch viele Details ausgearbeitet werden müssen, wie etwa die Festlegung der spezifischen Standards, in denen das Gesetz gelten soll, und die Erstellung detaillierter Compliance-Leitlinien (Verhaltenskodizes), um die Aufsicht zu gewährleisten Das Gesetz sieht vor, dass das System zum Aufbau von Ökosystemen funktioniert.
Was die Beurteilung seines Erfolgs angeht, ist das Gesetz also noch in Arbeit – und das wird noch lange so bleiben.
Für GPAIs setzt das KI-Gesetz den risikobasierten Ansatz fort, mit (nur) geringeren Anforderungen für die meisten dieser Modelle.
Für kommerzielle GPAIs bedeutet dies Transparenzregeln (einschließlich technischer Dokumentationsanforderungen und Offenlegungen im Zusammenhang mit der Verwendung von urheberrechtlich geschütztem Material, das zum Trainieren von Modellen verwendet wird). Diese Bestimmungen sollen nachgelagerte Entwickler bei der Einhaltung des AI Act unterstützen.
Es gibt auch eine zweite Stufe – für die leistungsfähigsten (und potenziell riskantesten) GPAIs –, in der das Gesetz die Pflichten der Modellhersteller verschärft, indem es eine proaktive Risikobewertung und Risikominderung für GPAIs mit „systemischem Risiko“ vorschreibt.
Hier ist die EU besorgt über sehr leistungsfähige KI-Modelle, die beispielsweise Risiken für Menschenleben bergen könnten, oder sogar die Gefahr, dass Technologiehersteller die Kontrolle über die weitere Entwicklung sich selbst verbessernder KIs verlieren.
Der Gesetzgeber hat sich dafür entschieden, den Rechenschwellenwert für das Modelltraining als Klassifikator für diese systemische Risikostufe zu verwenden. GPAIs fallen in diese Kategorie, basierend auf der kumulativen Rechenmenge, die für ihr Training verwendet wird und in Gleitkommaoperationen (FLOPs) von mehr als 10 gemessen wird25.
Bisher wird davon ausgegangen, dass keine Modelle in den Geltungsbereich fallen, aber das könnte sich natürlich ändern, wenn sich GenAI weiterentwickelt.
Es gibt auch einen gewissen Spielraum für KI-Sicherheitsexperten, die an der Überwachung des KI-Gesetzes beteiligt sind, um Bedenken hinsichtlich systemischer Risiken zu äußern, die an anderer Stelle auftreten könnten. (Weitere Informationen zur Governance-Struktur, die der Block für das KI-Gesetz entwickelt hat – einschließlich der verschiedenen Rollen des KI-Büros – finden Sie in unserem früheren Bericht.)
Die Lobbyarbeit von Mistral et al. führte tatsächlich zu einer Verwässerung der Regeln für GPAIs, mit geringeren Anforderungen beispielsweise an Open-Source-Anbieter (Glück gehabt, Mistral!). Für Forschung und Entwicklung wurde ebenfalls eine Ausnahmeregelung vorgenommen, was bedeutet, dass GPAIs, die noch nicht kommerzialisiert wurden, vollständig aus dem Anwendungsbereich des Gesetzes fallen, ohne dass überhaupt Transparenzanforderungen gelten.
Ein langer Weg zur Compliance
Das KI-Gesetz trat offiziell am 1. August 2024 in der gesamten EU in Kraft. Dieses Datum gab im Grunde den Startschuss, da die Fristen für die Einhaltung verschiedener Komponenten in unterschiedlichen Abständen von Anfang nächsten Jahres bis etwa Mitte 2027 laufen sollen.
Einige der wichtigsten Compliance-Fristen liegen sechs Monate nach Inkrafttreten, wenn die Regeln für verbotene Anwendungsfälle in Kraft treten. neun Monate nach Beginn der Anwendung der Verhaltenskodizes; 12 Monate in Bezug auf Transparenz- und Governance-Anforderungen; 24 Monate für andere KI-Anforderungen, einschließlich Verpflichtungen für einige Hochrisikosysteme; und 36 Monate für andere Hochrisikosysteme.
Ein Grund für diese gestaffelte Herangehensweise an gesetzliche Bestimmungen liegt zum Teil darin, den Unternehmen genügend Zeit zu geben, ihre Abläufe in Ordnung zu bringen. Darüber hinaus ist jedoch klar, dass die Regulierungsbehörden Zeit benötigen, um herauszufinden, wie Compliance in diesem hochmodernen Kontext aussieht.
Zum Zeitpunkt des Verfassens dieses Artikels ist die Gruppe damit beschäftigt, vor diesen Fristen Leitlinien für verschiedene Aspekte des Gesetzes zu formulieren, beispielsweise Verhaltenskodizes für Hersteller von GPAIs. Die EU berät außerdem über die gesetzliche Definition von „KI-Systemen“ (d. h. welche Software in den Geltungsbereich fällt oder nicht) und über Klarstellungen im Zusammenhang mit verbotenen Nutzungen von KI.
Das Gesamtbild dessen, was das KI-Gesetz für betroffene Unternehmen bedeuten wird, wird noch immer skizziert und konkretisiert. Es wird jedoch erwartet, dass wichtige Details in den kommenden Monaten und in der ersten Hälfte des nächsten Jahres geklärt werden.
Noch etwas zu bedenken: Aufgrund der Geschwindigkeit der Entwicklung im KI-Bereich werden sich die Anforderungen, um auf der richtigen Seite des Gesetzes zu bleiben, wahrscheinlich weiter verändern, da sich auch diese Technologien (und die damit verbundenen Risiken) weiterentwickeln. Dies ist also ein Regelwerk, das möglicherweise ein lebendiges Dokument bleiben muss.
Durchsetzung von KI-Regeln
Die Aufsicht über GPAIs ist auf EU-Ebene zentralisiert, wobei das AI Office eine Schlüsselrolle spielt. Die Strafen, die die Kommission zur Durchsetzung dieser Regeln verhängen kann, können bis zu 3 % des weltweiten Umsatzes der Modellbauer betragen.
An anderer Stelle ist die Durchsetzung der Regeln des Gesetzes für KI-Systeme dezentralisiert, was bedeutet, dass es den Behörden auf Mitgliedsstaatsebene (Plural, da möglicherweise mehr als eine Aufsichtsbehörde benannt ist) obliegt, Compliance-Probleme für den Großteil der KI-Apps zu bewerten und zu untersuchen . Wie funktionsfähig diese Struktur sein wird, bleibt abzuwarten.
Auf dem Papier können die Strafen bei Verstößen gegen verbotene Verwendungen bis zu 7 % des weltweiten Umsatzes (oder 35 Millionen Euro, je nachdem, welcher Betrag höher ist) betragen. Verstöße gegen andere KI-Verpflichtungen können mit Bußgeldern von bis zu 3 % des weltweiten Umsatzes oder bis zu 1,5 % für die Übermittlung falscher Informationen an Regulierungsbehörden geahndet werden. Es gibt also eine gleitende Skala an Sanktionen, zu denen die Strafverfolgungsbehörden greifen können.