Europa reguliert Künstliche Intelligenz
Die Risiken, die von Künstlicher Intelligenz ausgehen können, werden in vier Gruppen eingeteilt, die je nach Grad der Gefährdung bestimmten Restriktionen unterliegen bzw. mit einigen Auflagen versehen sind.
Risikogruppe 1: Unannehmbare Risiken (Titel II, Art. 5)
KI-gestützte Systeme, die besonders stark in den Persönlichkeitsschutz eingreifen, sind generell verboten (vgl. artificialintelligenceact.eu 2024). Dazu gehören an erster Stelle soziale Bewertungssysteme, die über KI das Leben und das Verhalten von Menschen bewerten und daraus einen Score entwickeln. Beispielsweise indem über jeden Einzelnen Daten gesammelt werden, etwa, wenn per Videoüberwachung eine Gesichtserkennung durchgeführt wird und so eine komplette Kontrolle von Menschen bezüglich ihres Finanzverhaltens oder ihres Handelns in der sozialen Gemeinschaft ermöglicht werden. So etwas wird grundsätzlich verboten. Das Erheben biometrischer Daten, das zur Erkennung von individuellen Eigenschaften wie Hautfarbe, Religion, körperlichen Behinderungen oder bestimmten Krankheiten geeignet ist, fällt in die Risikogruppe 1 der verbotenen Systeme. Dazu gehört auch die biometrische Fernidentifizierung (RBI) in Echtzeit in öffentlich zugänglichen Räumen für die Strafverfolgung.
Nachdem zunächst das uneingeschränkte Verbot aller dieser Systeme geplant war, wurde es in der nun vorliegenden Endfassung etwas aufgeweicht. Das Verbot gilt nun nicht mehr bei der Suche nach vermissten Personen oder Entführungsopfern sowie bei der Suche nach Menschen, die Opfer von Menschenhandel oder sexueller Ausbeutung geworden sind. Ebenso gilt das Verbot nicht, wenn damit eine erhebliche und unmittelbare Bedrohung des Lebens oder ein vorhersehbarer terroristischer Angriffs abgewendet werden kann oder Verdächtige bei schweren Straftaten (z. B. Mord, Vergewaltigung, bewaffneter Raubüberfall, Drogen- und illegaler Waffenhandel, organisierte Kriminalität, Umweltkriminalität usw.) aufgespürt werden können. Ausnahmen müssen aber von Gerichten oder einer unabhängigen Verwaltungsbehörde genehmigt und es muss eine „Folgenabschätzung für die Grundrechte“ (ebd.) durchgeführt werden.
Es ist die erste grundlegende, umfassende Regulierung von künstlicher Intelligenz in der westlichen Hemisphäre.“ (Hacker et al. 2024)
Risikogruppe 2: KI-Systeme mit hohem Risiko
Es gibt KI-Systeme, die eine enge prozedurale Aufgabe ausführen oder das Ergebnis einer zuvor durchgeführten menschlichen Tätigkeit verbessern und Entscheidungsmuster oder Abweichungen von früheren Entscheidungsmustern aufdecken. Sie gelten vor allem dann als hohes Risiko, wenn sie personenbezogene Daten erheben und verarbeiten, um daraus Profile zu erstellen. Anbieter müssen prüfen, ob ihr Angebot in diese Risikogruppe fällt und das Ergebnis nachvollziehbar dokumentieren. Wenn das so ist, muss der Anbieter ein Risikomanagementsystem für den gesamten Lebenszyklus des KI-Systems einrichten. Er muss das in einem „Data Governance“ genau protokollieren, „um sicherzustellen, dass die Schulungs-, Validierungs- und Testdatensätze relevant, ausreichend repräsentativ und so weit wie möglich fehlerfrei und vollständig sind“ (ebd.). Außerdem müssen technischeUnterlagen „zum Nachweis der Konformität und Bereitstellung von Informationen für die Behörden [erstellt werden], um die Konformität zu bewerten“ (ebd.). Die Systeme müssen außerdem so gestaltet werden, dass eine menschliche Aufsicht möglich ist und sie Genauigkeit, Robustheit und Cybersicherheit erreichen.
Risikogruppe 3 und 4
Hier handelt es sich um Systeme mit geringem bzw. gar keinem Risiko. In Risikogruppe Nummer 3 geht es vor allem darum, dass der Nutzer bei KI-generierten Inhalten oder Bildern erkennen muss, dass sie durch KI erzeugt sind. Risikogruppe Nummer 4 bleibt unreguliert. Insgesamt ist festzustellen, dass der geplante AI Act vor allem die Anbieter betrifft, die Angebote auf diese Kriterien hin prüfen und entsprechend handeln müssen.
Die KI-Verordnung gilt nicht für den Bereich der inneren Sicherheit und für Systeme, die ausschließlich für militärische bzw. Verteidigungszwecke genutzt werden oder deren alleiniger Zweck wissenschaftliche Forschung und Entwicklung darstellt. Auch die rein private Nutzung fällt nicht in den Anwendungsbereich des AI Acts (vgl. Globocnik 2024).
Sehr unterschiedliche Bewertungen
Philipp Hacker, Rechtswissenschaftler und Inhaber des Lehrstuhls für Recht und Ethik der digitalen Gesellschaft an der Europa-Universität Viadrina in Frankfurt a. d.Oder, ist vom AI Act noch nicht in allen Punkten überzeugt. Er begrüßt aber, dass er nun endlich kommen wird. „Ich glaube auch gerade in ökonomischer und sozialer Hinsicht, aber natürlich auch in technischer Hinsicht, ist das eine Weichenstellung für die Zukunft in Europa. Es ist die erste grundlegende, umfassende Regulierung von künstlicher Intelligenz in der westlichen Hemisphäre. China war da schon ein bisschen schneller. Aber anders als in China werden hier vor allem grundlegende Mindeststandards für KI gesetzt, die auch aus einer grundrechtlichen Perspektive heraus Sinn machen“ (Hacker et al. 2024).
Künstliche Intelligenz muss man sich in der gegenwärtigen Digitalisierung ungefähr vorstellen wie Elektrizität im 19. Jahrhundert.“ (Lobo 2024)
Andere beklagen allerdings, dass die Auflagen für die Betreiber sehr hoch und zum Teil kaum zu erfüllen sind. Das betrifft vor allem kleine Anwender, die mit der aufwendigen Berichtspflicht und der Risikobewertung vermutlich überfordert werden. Wird KI beispielsweise in Arztpraxen oder in Bildungssystemen eingesetzt, gelten auch in diesen Fällen Auflagen, die spezifische Kenntnisse erfordern, die dort in der Regel nicht vorhanden sind. Dadurch werde die Integration der KI in die Bildung, die Medizin und viele andere Bereiche verhindert oder zumindest erschwert. Darauf weist vor allem Sascha Lobo im „Spiegel“ hin. Er sieht die Gefahr, dass Europa durch den AI Act von der weiteren Entwicklung der KI ausgeschlossen wird und wirtschaftlich ins Abseits gerät: „Künstliche Intelligenz muss man sich in der gegenwärtigen Digitalisierung ungefähr vorstellen wie Elektrizität im 19. Jahrhundert. Sie beginnt langsam, aber sicher, in wirklich alle Produkte, Produktionsprozesse und Winkel der Gesellschaft einzudringen. KI steht kurz vor einer digitalen Allgegenwärtigkeit, sie ist schon heute in jedem Smartphone, in jedem Social Network, in vielen größeren Software-Anwendungen, in vielen Maschinen wie Automobilen, Produktionsstraßen oder Windturbinen. Bald wird ‚KI‘ synonym zu ‚Software‘. Diese Entwicklung hat die EU in ihrer hastigen Regulierungswut komplett ausgeblendet“ (Lobo 2024).
Quellen:
artificialintelligenceact.eu: Zusammenfassung des AI-Gesetzes auf hoher Ebene. In: artificialintelligenceact.eu, 27.02.2024. Abrufbar unter: https://artificialintelligenceact.eu (letzter Zugriff: 09.08.2024). Die im Text im Folgenden wiedergegebenen Zusammenfassungen der Inhalte AI-Acts beziehen sich auf diese Quelle.
Globocnik, J.: Der europäische AI Act (KI-Verordnung). In: activeMind.legal, 12.07.2024. Abrufbar unter: www.activemind.legal (letzter Zugriff: 09.08.2024)
Hacker, P./Genzmer, J./Wiese, T.: AI-Act – Wie die EU Künstliche Intelligenz künftig regulieren will. In: Breitband, 27.01.2024. Abrufbar unter: www.ardaudiothek.de (letzter Zugriff: 09.08.2024)
Lobo, S.: Verordnung zur künstlichen Intelligenz. Die EU vernichtet die KI-Zukunft des Kontinents.In: Spiegel Netzwelt, 31.07.2024. Abrufbar unter:www.spiegel.de (letzter Zugriff: 09.08.2024)
Weitergehende, ausführliche Informationen bietet:
Verebes, A./Bleich, H./Heidrich, J.: Die KI-Verordnung: Ein Compliance-Monstrum! In: Auslegungssache – der c`t-Datenschutz-Podcast. Abrufbar unter: open.spotify.com (letzter Zugriff: 09.08.2024)