On 02.08.2024
von Sonam Tenzin, Data Protection Consultant
Cybersecurity

Das EU-Gesetz zur KI ist in Kraft getreten! Hier erfahren Sie, was Sie wissen müssen.

Understanding the EU AI Act in 5 steps
Zusammenfassung

Nach langen Verhandlungen und Diskussionen zwischen europäischen Institutionen und Gremien ist das EU-Gesetz zur künstlichen Intelligenz am 1. August 2024 in Kraft getreten. Künstliche Intelligenz (KI) bietet zwar ein enormes Potenzial und wirtschaftliche Möglichkeiten, doch aufgrund der ethischen Implikationen und inhärenten Risiken von KI muss sie verantwortungsvoll und in Maßen eingesetzt werden. Das EU-Gesetz zur künstlichen Intelligenz legt klare Richtlinien fest, um sicherzustellen, dass Unternehmen die aufstrebende Technologie angemessen anwenden und langfristig Komplikationen vermeiden.

Das EU-Gesetz zur KI in 5 Schritten verstehen

1. Das Ziel des KI-Gesetzes

Das EU-Gesetz zur KI ist die weltweit erste umfassende Verordnung zur Künstlichen Intelligenz, die darauf abzielt, potenzielle ethische und sicherheitsrelevante Risiken je nach Schweregrad zu bekämpfen und zu mindern. Ziel ist es, sicherzustellen, dass KI-Systeme sicher und vertrauenswürdig sind und die Grundrechte wahren.

Die Verordnung baut auf sieben Grundprinzipien der Hochrangigen Expertengruppe (High-Level Expert Group, HLEG) auf und setzt diese in konkrete Verpflichtungen um, um den Ansatz zur KI-Governance in der gesamten EU zu vereinheitlichen. Die wichtigsten Anforderungen sind:

Obwohl es sich um eine Verordnung der EU handelt, hat das KI-Gesetz der EU eine extraterritoriale Anwendung. Es gilt zwar für KI-Systeme, die auf dem europäischen Markt entwickelt und genutzt werden, aber auch für Nicht-EU-Unternehmen, wenn sich ihre KI-Systeme auf europäische Bürger auswirken. Es gibt jedoch spezifische Ausnahmen, wie z. B. Forschung und Entwicklung ohne Bereitstellung oder Inverkehrbringen, ausschließlich militärische Zwecke oder den persönlichen Gebrauch.

Aber wie definieren wir ein „KI-System“? Die Verordnung gibt uns eine spezifische, aber sehr weit gefasste Definition, die aus drei kumulativen Kriterien besteht:

Das EU-Gesetz zur KI ist in Kraft getreten

 

  • Autonomie: Ein maschinelles System, das für den Betrieb mit unterschiedlichen Autonomiegraden ausgelegt ist und nach der Bereitstellung Anpassungsfähigkeit aufweisen kann.
  • Erzeugung von Output: Verarbeitet Input, um eine Reihe von Outputs zu erzeugen, einschließlich Vorhersagen, Inhalten, Empfehlungen oder Entscheidungen, entweder durch explizite Befehle oder abgeleitete Ziele.
  • Einfluss: Outputs können physische oder virtuelle Umgebungen beeinflussen.


2. Kategorisierung nach Risikograd

KI-Systeme werden je nach den potenziellen Risiken, die sie für Gesundheit, Sicherheit und Grundrechte darstellen können, in verschiedene Stufen eingeteilt. Die Kategorien lauten wie folgt:

KI-Systeme mit inakzeptablem Risiko

Einige KI-Systeme gelten als inakzeptables Risiko für die Sicherheit und die Grundrechte der Menschen. Um Missbrauch zu verhindern und die Menschenwürde und Privatsphäre zu wahren, verbietet die Verordnung KI-Systeme, die:

  • Manipulieren oder täuschen
  • Schwachstellen im Zusammenhang mit Alter, Behinderung oder sozioökonomischen Umständen ausnutzen
  • Kategorisierung mithilfe biometrischer Systeme, die sensible Merkmale ableiten
  • Social Scoring durchführen
  • Risiken für kriminelles Verhalten auf der Grundlage von Profiling und persönlichen Merkmalen bewerten
  • Eine Gesichtserkennungsdatenbank erstellen
  • Emotionen am Arbeitsplatz ableiten, außer aus medizinischen oder Sicherheitsgründen
  • Personen in Echtzeit durch biometrische Fernidentifizierung im öffentlichen Raum identifizieren

 

KI-Systeme mit hohem Risiko

KI-Systeme mit hohem Risiko sind solche, die ein erhebliches Risiko für die Gesundheit, die Sicherheit oder die Grundrechte natürlicher Personen darstellen können. Die Verordnung definiert diese Systeme als solche, die als Sicherheitskomponenten von Produkten vorgesehen sind, die spezifischen EU-Rechtsvorschriften unterliegen, einschließlich der Sicherheit in der Zivilluftfahrt. Darüber hinaus listet die Verordnung spezifische Bereiche auf, die als KI-Systeme mit hohem Risiko eingestuft werden, darunter:

  • Biometrie unter bestimmten Bedingungen
  • Kritische Infrastrukturen
  • Bildung und Berufsausbildung
  • Rekrutierung und Mitarbeiterführung
  • Zugang und Recht auf wesentliche private und öffentliche Dienstleistungen
  • Strafverfolgung
  • Migrations-, Asyl- und Grenzkontrollmanagement
  • Rechtspflege und demokratische Prozesse
     

KI-Systeme mit begrenztem und minimalem Risiko

KI-Systeme mit begrenztem Risiko müssen dem Grundsatz der Transparenz folgen. Das bedeutet, dass die Benutzer darüber informiert werden müssen, ob sie mit KI interagieren, z. B. bei der Verwendung von Chatbots oder beim Auftauchen von Deepfakes.

KI-Systeme mit minimalem Risiko werden nicht direkt durch das KI-Gesetz der EU reguliert und können entwickelt werden, solange sie den bestehenden Vorschriften entsprechen. Beispiele für Systeme mit minimalem Risiko sind solche, die für die Entwicklung von Videospielen und Anti-Spam-Filter verwendet werden.

Das EU-Gesetz zur KI ist in Kraft getreten

3. Spezifische Anforderungen für jede Risikokategorie

In allen Kategorien haben KI-Systeme mit hohem Risiko die meisten Verpflichtungen. Dazu gehört die Implementierung und Aufrechterhaltung eines iterativen Risikomanagementsystems, das zusammen mit einem Qualitätsmanagementsystem dokumentiert werden muss, um die Einhaltung von Richtlinien und Verfahren sicherzustellen. Es besteht nicht nur eine enge Verbindung zwischen dem KI-Gesetz und den Datenschutzgesetzen, beispielsweise durch die Notwendigkeit, bei der Verarbeitung personenbezogener Daten die DSGVO einzuhalten, sondern auch die Datenverwaltung spielt eine wichtige Rolle. Um den neuen KI-Vorschriften der EU zu entsprechen, müssen Hochrisikosysteme hochwertige Datensätze für Schulungen, Validierungen und Tests bereitstellen. In einigen Fällen muss eine Grundrechte-Folgenabschätzung (Fundamental Right Impact Assessment, FRIA) durchgeführt werden, die gegebenenfalls mit der Datenschutz-Folgenabschätzung (Privacy Impact Assessment, PIA) kombiniert werden kann.

Bevor ein KI-System in Betrieb genommen wird, muss ein technisches Dokument auf dem neuesten Stand geführt werden und den Behörden die Konformität des KI-Systems nachgewiesen werden. Insbesondere müssen Anbieter von KI-Systemen mit hohem Risiko nachweisen, dass sie die Anforderungen an Protokollüberwachung, Genauigkeit, Robustheit und Cybersicherheit erfüllen. Transparenz in der Entwurfs- und Entwicklungsphase von KI-Systemen mit hohem Risiko ist unerlässlich, damit die Anwender die Ergebnisse eines Systems interpretieren und angemessen nutzen können. Darüber hinaus muss eine menschliche Aufsicht während des Betriebs der KI gewährleistet sein, insbesondere durch Mensch-Maschine-Schnittstellen.

Zusätzlich zur Ermittlung des relevanten Risikograds muss eine Organisation ihre genaue Rolle verstehen, um die geltenden Anforderungen zu ermitteln. Organisationen können sein:

  • Anbieter: Entwickelt, bringt auf dem EU-Markt in Verkehr oder verwendet ein KI-System innerhalb seiner eigenen Architektur.
  • Anwender: Integriert ein bestehendes KI-System in seine eigenen Einrichtungen und Prozesse.
  • Importeur: Befinde sich in der EU und verwendet ein KI-System von außerhalb der EU.
  • Händler: Teil der Lieferkette (außer dem Anbieter oder Importeur) und stellt ein KI-System auf dem EU-Markt zur Verfügung.

 

4. Besondere Behandlung von Allzweck-KI (General Purpose AI, GPAI)

GPAI-Systeme sind KI-Systeme, die auf der Grundlage großer Datenmengen trainiert werden und in der Lage sind, zahlreiche Aufgaben für (und über) verschiedene Anwendungen hinweg auszuführen. Diese Systeme zielen darauf ab, ein Anpassungs- und Denkvermögen zu erreichen, das mit der menschlichen Intelligenz vergleichbar ist.

Anbieter dieser KI-Systeme unterliegen einem besonderen Regelwerk, das sie verpflichtet, bestimmte risikobezogene Anforderungen zu erfüllen, wie z. B. die Erstellung technischer Dokumentationen, Transparenz gegenüber den Anwendern und die Einhaltung der Urheberrechtsrichtlinie.

Einige GPAI können aufgrund der Auswirkungen auf den EU-Markt oder negativer Auswirkungen auf die öffentliche Gesundheit, die Sicherheit, die öffentliche Sicherheit, die Grundrechte oder die Gesellschaft als Ganzes ein systematisches Risiko darstellen. Diese Systeme werden einer genaueren Prüfung unterzogen, wobei die zuständigen Behörden die Einhaltung strengerer Verpflichtungen genau überwachen.

 

5. Governance, Sanktionen und Fristen

Die institutionelle Governance wird durch die Schaffung des KI-Büros durchgesetzt, das die Umsetzung der Verordnung in Bezug auf GPAI überwacht und kontrolliert. Der Europäische Ausschuss für künstliche Intelligenz, der sich aus Vertretern jedes Mitgliedstaats zusammensetzt, wird für die Koordinierung der nationalen Behörden und die Bereitstellung von technischem und regulatorischem Fachwissen zuständig sein. Ähnlich wie der Europäische Datenschutzausschuss (European Data Protection Board, EDSA) in seinem Bereich wird auch dieser Ausschuss Beratung anbieten und Empfehlungen und schriftliche Stellungnahmen zu relevanten Fragen im Zusammenhang mit der Verordnung abgeben. Auf nationaler Ebene werden von jedem EU-Mitgliedstaat Behörden benannt, die die Einhaltung der Vorschriften durch Organisationen in ihren jeweiligen Ländern sicherstellen und unterstützen.

Was die Sanktionen betrifft, so sieht das KI-Gesetz ein abgestuftes Strafsystem vor, das sich nach der Schwere der Nichteinhaltung richtet. Die Geldbußen reichen von 3 % des weltweiten Umsatzes des Unternehmens oder 15 Millionen Euro bis zu 7 % oder 35 Millionen Euro, wobei der höchste Betrag beibehalten wird. Im Vergleich dazu liegen die Geldbußen nach der DSGVO zwischen 2 % und 4 % des weltweiten Umsatzes.

Wie sieht der Zeitplan aus? Seit dem 1. August 2024 ist die KI-Verordnung in Kraft, die schrittweise angewendet wird, wobei die risikoreichsten Anwendungsfälle als erste behandelt werden.

Der Countdown läuft. Es ist Zeit, sich auf den neuesten Stand zu bringen!

Das EU-Gesetz zur KI ist in Kraft getreten

  • Teilen