KI-Gesetz

Das KI-Gesetz (Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz) ist der weltweit erste umfassende Rechtsrahmen für KI. Ziel der Vorschriften ist es, eine vertrauenswürdige KI in Europa zu fördern.

Das KI-Gesetz enthält klare risikobasierte Regeln für KI-Entwickler und -Einführer in Bezug auf spezifische Anwendungen von KI. Das KI-Gesetz ist Teil eines umfassenderen Pakets politischer Maßnahmen zur Unterstützung der Entwicklung vertrauenswürdiger KI, das auch das KI-Innovationspaket, die Einführung von KI-Fabriken und den koordinierten Plan für KI umfasst. Gemeinsam gewährleisten diese Maßnahmen Sicherheit, Grundrechte und menschenzentrierte KI und stärken die Akzeptanz, Investitionen und Innovation im Bereich KI in der gesamten EU.

Um den Übergang zum neuen Rechtsrahmen zu erleichtern, hat die Kommission den KI-Pakt ins Leben gerufen, eine freiwillige Initiative, die darauf abzielt, die künftige Umsetzung zu unterstützen, mit Interessenträgern zusammenzuarbeiten und KI-Anbieter und -Einführer aus Europa und darüber hinaus einzuladen, die wichtigsten Verpflichtungen des KI-Gesetzes vorzeitig zu erfüllen. 

Warum brauchen wir KI-Regeln?

Das KI-Gesetz stellt sicher, dass die Europäer darauf vertrauen können, was KI zu bieten hat. Während die meisten KI-Systeme auf kein Risiko beschränkt sind und zur Lösung vieler gesellschaftlicher Herausforderungen beitragen können, bergen bestimmte KI-Systeme Risiken, die wir angehen müssen, um unerwünschte Ergebnisse zu vermeiden.

Zum Beispiel ist es oft nicht möglich herauszufinden, warum ein KI-System eine Entscheidung oder Vorhersage getroffen und eine bestimmte Maßnahme ergriffen hat. Daher kann es schwierig werden, zu beurteilen, ob jemand unfair benachteiligt wurde, beispielsweise in einer Einstellungsentscheidung oder in einem Antrag auf ein öffentliches Versorgungssystem.

Die bestehenden Rechtsvorschriften bieten zwar einen gewissen Schutz, reichen jedoch nicht aus, um die besonderen Herausforderungen anzugehen, die KI-Systeme mit sich bringen können.

Ein risikobasierter Ansatz

Das KI-Gesetz definiert vier Risikostufen für KI-Systeme:

Inakzeptables Risiko

Alle KI-Systeme, die als klare Bedrohung für die Sicherheit, die Lebensgrundlagen und die Rechte der Menschen angesehen werden, sind verboten. Das KI-Gesetz verbietet acht Praktiken, nämlich:

1. schädliche KI-basierte Manipulation und Täuschung
2. schädliche KI-basierte Ausnutzung von Schwachstellen
3. Soziales Scoring
4. Individuelle Risikobewertung oder -vorhersage von Straftaten
5. ungezieltes Abkratzen von Internet- oder CCTV-Material zur Erstellung oder Erweiterung von Gesichtserkennungsdatenbanken
6. Emotionserkennung an Arbeitsplätzen und Bildungseinrichtungen
7. biometrische Kategorisierung zur Ableitung bestimmter geschützter Merkmale
8. biometrische Echtzeit-Fernidentifizierung für Strafverfolgungszwecke in öffentlich zugänglichen Räumen

Hohes Risiko

KI-Anwendungsfälle, die schwerwiegende Risiken für die Gesundheit, die Sicherheit oder die Grundrechte darstellen können, werden als hochriskant eingestuft. Zu diesen Anwendungsfällen mit hohem Risiko gehören:

• KI-Sicherheitskomponenten in kritischen Infrastrukturen (z. B. Verkehr), deren Ausfall das Leben und die Gesundheit der Bürger gefährden könnte
• KI-Lösungen in Bildungseinrichtungen, die den Zugang zu Bildung und den Verlauf des Berufslebens einer Person bestimmen können (z. B. Bewertung von Prüfungen)
• KI-basierte Sicherheitskomponenten von Produkten (z.B. KI-Anwendung in der robotergestützten Chirurgie)
• KI-Instrumente für die Beschäftigung, das Management von Arbeitnehmern und den Zugang zur Selbständigkeit (z. B. Software zur Auswahl von Lebensläufen für die Einstellung)
• Bestimmte KI-Anwendungsfälle, die genutzt werden, um den Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen zu ermöglichen (z. B. Kreditwürdigkeitsprüfung, die den Bürgern die Möglichkeit verwehrt, einen Kredit zu erhalten)
• KI-Systeme zur biometrischen Fernidentifizierung, Emotionserkennung und biometrischen Kategorisierung (z. B. KI-System zur rückwirkenden Identifizierung eines Ladendiebes)
• KI-Anwendungsfälle in der Strafverfolgung, die die Grundrechte der Menschen beeinträchtigen können (z. B. Bewertung der Zuverlässigkeit von Beweismitteln)
• KI-Anwendungsfälle im Migrations-, Asyl- und Grenzkontrollmanagement (z. B. automatisierte Prüfung von Visumanträgen)
• KI-Lösungen für die Rechtspflege und demokratische Prozesse (z. B. KI-Lösungen zur Vorbereitung von Gerichtsurteilen)

Hochrisiko-KI-Systeme unterliegen strengen Verpflichtungen, bevor sie in Verkehr gebracht werden können:

• angemessene Risikobewertungs- und Risikominderungssysteme
• hohe Qualität der Datensätze, mit denen das System versorgt wird, um das Risiko diskriminierender Ergebnisse zu minimieren
• Protokollierung der Aktivitäten zur Gewährleistung der Rückverfolgbarkeit der Ergebnisse
• ausführliche Dokumentation mit allen erforderlichen Informationen über das System und seinen Zweck für die Behörden zur Bewertung seiner Konformität
• klare und angemessene Informationen für den Betreiber
• angemessene Maßnahmen der menschlichen Aufsicht
• hohe Robustheit, Cybersicherheit und Genauigkeit

Begrenztes Risiko

Dies bezieht sich auf die Risiken, die mit der Notwendigkeit der Transparenz in Bezug auf den Einsatz von KI verbunden sind. Mit dem KI-Gesetz werden spezifische Offenlegungspflichten eingeführt, um sicherzustellen, dass Menschen informiert werden, wenn dies zur Wahrung des Vertrauens erforderlich ist. Zum Beispiel sollten Menschen bei der Verwendung von KI-Systemen wie Chatbots darauf hingewiesen werden, dass sie mit einer Maschine interagieren, damit sie eine fundierte Entscheidung treffen können.

Darüber hinaus müssen Anbieter generativer KI sicherstellen, dass KI-generierte Inhalte identifizierbar sind. Darüber hinaus sollten bestimmte KI-generierte Inhalte klar und sichtbar gekennzeichnet werden, d. h. Deep Fakes und Texte, die veröffentlicht werden, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren.

Minimales oder kein Risiko

Mit dem KI-Gesetz werden keine Vorschriften für KI eingeführt, die als minimal oder nicht risikobehaftet gelten. Die überwiegende Mehrheit der derzeit in der EU verwendeten KI-Systeme fällt in diese Kategorie. Dazu gehören Anwendungen wie KI-fähige Videospiele oder Spamfilter.

Wie funktioniert das alles in der Praxis für Anbieter von Hochrisiko-KI-Systemen?

Wie funktioniert das alles in der Praxis für Anbieter von Hochrisiko-KI-Systemen?

Sobald ein KI-System auf dem Markt ist, sind die Behörden für die Marktüberwachung zuständig, die Betreiber stellen die menschliche Aufsicht und Überwachung sicher und die Anbieter verfügen über ein System zur Überwachung nach dem Inverkehrbringen. Anbieter und Betreiber werden auch schwerwiegende Vorfälle und Fehlfunktionen melden.

Eine Lösung für den vertrauenswürdigen Einsatz großer KI-Modelle

KI-Modelle mit allgemeinem Verwendungszweck können eine Vielzahl von Aufgaben erfüllen und werden zur Grundlage für viele KI-Systeme in der EU. Einige dieser Modelle könnten systemische Risiken mit sich bringen, wenn sie sehr fähig oder weit verbreitet sind. Um eine sichere und vertrauenswürdige KI zu gewährleisten, werden mit dem KI-Gesetz Vorschriften für Anbieter solcher Modelle eingeführt. Dazu gehören Transparenz und urheberrechtliche Vorschriften. Bei Modellen, die systemische Risiken bergen können, sollten die Anbieter diese Risiken bewerten und mindern.

Die Vorschriften des KI-Gesetzes über KI mit allgemeinem Verwendungszweck werden im August 2025 in Kraft treten. Das Amt für künstliche Intelligenz erleichtert die Ausarbeitung eines Verhaltenskodex zur Präzisierung dieser Vorschriften. Der Kodex sollte ein zentrales Instrument für Anbieter darstellen, um die Einhaltung des KI-Gesetzes unter Einbeziehung modernster Verfahren nachzuweisen. 

Governance und Umsetzung

Das Europäische Amt für künstliche Intelligenz und die Behörden der Mitgliedstaaten sind für die Umsetzung, Überwachung und Durchsetzung des KI-Gesetzes zuständig. Der KI-Rat, das Wissenschaftliche Gremium und das Beirat steuern und beraten die Governance des KI-Gesetzes. Weitere Einzelheiten zur Governance und Durchsetzung des KI-Gesetzes finden Sie hier.  

Nächste Schritte

Das KI-Gesetz trat am 1. August 2024 in Kraft und wird zwei Jahre später, am 2. August 2026, uneingeschränkt anwendbar sein, mit einigen Ausnahmen:

• Verbote und KI-Kompetenzverpflichtungen, die ab dem 2. Februar 2025 in Kraft getreten sind
• Die Governance-Regeln und die Verpflichtungen für KI-Modelle mit allgemeinem Verwendungszweck gelten ab dem 2. August 2025.
• Die Vorschriften für Hochrisiko-KI-Systeme, die in regulierte Produkte eingebettet sind, haben einen verlängerten Übergangszeitraum bis zum 2. August 2027.