EU AI Act verabschiedet : AI Act: So reguliert die EU in Zukunft Künstliche Intelligenz

Nach über zwei Jahren hat der europäische "AI Act" zur Regulierung der Künstlichen Intelligenz (KI) die letzte Hürde überwunden: Die EU-Mitgliedstaaten haben am Dienstag in Brüssel einstimmig für die Regulierung von Künstlicher Intelligenz (KI) gestimmt und damit den sogenannten "AI Act" endgültig verabschiedet. Dieses EU-Gesetz klassifiziert KI-Systeme nach verschiedenen Risikokategorien und sieht entsprechende Regulierungen vor. Zudem sollen künftig KI-generierte Texte, Bilder oder Videos gekennzeichnet werden müssen.

>>> xLSTM: Das kann Sepp Hochreiters ChatGPT-Alternative

Österreichs Digitalisierungsstaatssekretärin Claudia Plakolm (ÖVP) begrüßte vor dem heutigen Treffen der für Telekommunikation zuständigen EU-Minister die Kennzeichnungspflicht, insbesondere im Hinblick auf die Jugend. Diese würden im Internet "von einer Unzahl an Bildern und Videos (...) von Influencern, die es meistens gar nicht gibt, die mit wenigen Mausklicks hergestellt wurden" und die "das eigene Schönheitsempfinden massiv beeinflussen". Plakolm sieht in der KI-Regulierung auch eine Chance für den österreichischen Wirtschaftsstandort. Das Land sei gut aufgestellt in Bezug auf "Anwendungsforschung und Grundlagenforschung". Bestimmte Anwendungen wie die biometrische Kategorisierung auf Basis sensibler Merkmale oder das wahllose Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungskameras werden durch den AI Act verboten – Ausnahmen gelten für Sicherheitsbehörden. Dies sei ein schmaler Grat, sagte Plakolm gegenüber Journalisten in Brüssel. Es brauche "klare Regelungen", aber auch "Mut zur Freiheit".

Das Gesetz ist umfassend und gilt für alle, die ein Produkt oder eine Dienstleistung auf KI-Basis anbieten. Es umfasst Anwendungen, die Inhalte bereitstellen, Vorhersagen und Empfehlungen abgeben oder die Entscheidungsfindung der Nutzer beeinflussen. Dabei werden nicht nur kommerzielle Angebote berücksichtigt, sondern auch die Nutzung von KI im öffentlichen Sektor, beispielsweise bei der Strafverfolgung. Der "AI Act" soll die Datenschutz-Grundverordnung (DSGVO) ergänzen.

>>> Was haben wir vom Hype um Künstliche Intelligenz?

Grundsätzlich werden KI-Anwendungen in verschiedene Risikokategorien eingeteilt, die von "Minimal" über "Hoch" bis "Inakzeptabel" reichen. Je nach Risikoeinstufung müssen die Anbieter bestimmten Sicherheits- und Transparenzanforderungen entsprechen. Anbieter von KI-Programmen, die potenziell die Gesundheit, Sicherheit, Bürgerrechte, Umwelt, Demokratie, Wahlen und Rechtsstaatlichkeit gefährden könnten, müssen für eine Zulassung eine Reihe von Auflagen erfüllen. Dazu gehört unter anderem eine Analyse der möglichen Auswirkungen der Anwendung auf die Grundrechte. Für KI, die als weniger riskant eingestuft wird, gelten vor allem Transparenzregeln. Inhalte, die von solchen Programmen erstellt werden, müssen als solche gekennzeichnet werden, damit die Nutzer selbst entscheiden können, wie sie diese verwenden wollen.

Der "AI Act" verbietet eine Reihe von KI-Anwendungen, die als inakzeptabel gelten. Dazu zählen biometrische Kategorisierungssysteme, die sensible Merkmale wie politische oder religiöse Überzeugungen, sexuelle Orientierung oder ethnische Zugehörigkeit erfassen. Ebenso untersagt ist das wahllose Durchsuchen des Internets oder von Überwachungskamera-Aufnahmen zur Erstellung von Gesichtsdatenbanken. KI darf weder zur Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen verwendet werden, noch dürfen Programme zur Verhaltensmanipulation eingesetzt werden. Anwendungen, die menschliche Schwächen aufgrund von Alter, Behinderung, sozialer oder wirtschaftlicher Lage ausnutzen, sind ebenfalls verboten. Darüber hinaus ist es untersagt, KI zur Erstellung eines Bewertungssystems für soziales oder persönliches Verhalten ("Social Scoring") zu nutzen.

>>> So hilft KI knappe Personalressourcen besser zu nutzen

Der Einsatz von KI in der Strafverfolgung war bis zuletzt stark umstritten. Behörden dürfen biometrische Echtzeit-Erkennung im öffentlichen Raum verwenden, um Opfer von Entführungen, Menschenhandel und sexueller Gewalt zu identifizieren sowie unmittelbare Terrorismusgefahren abzuwehren. Darüber hinaus darf KI zur Fahndung nach Personen genutzt werden, die terroristischer Straftaten, schwerer Verbrechen, der Mitgliedschaft in kriminellen Organisationen oder Umweltkriminalität verdächtigt werden. Der Entwurf des Europaparlaments hatte solche Anwendungen verboten, aber die EU-Staaten bestanden auf Ausnahmen zum Schutz der nationalen Sicherheit.

GPAIS steht für General Purpose AI Systems oder allgemein einsetzbare KI. Diese Gesetzeskategorie wurde kurzfristig für die relativ neue Generative KI eingeführt. Programme wie ChatGPT können anhand weniger Stichworte vollständige Texte oder Bilder erstellen und in verschiedenen Anwendungsbereichen genutzt werden. Als 2021 mit der Arbeit am "AI Act" begonnen wurde, war diese Technologie der breiten Öffentlichkeit noch unbekannt.

>>> Wann ersetzt KI unsere Jobs, Herr Mück?

Die Anbieter von GPAIS beziehungsweise Grundlagenmodellen ("Foundation Models") müssen Transparenzpflichten erfüllen. Dazu gehören eine detaillierte technische Dokumentation und Informationen über die Daten, die für das Training der KI verwendet wurden. Zudem sollen sie sicherstellen, dass die EU-Urheberrechtsgesetze eingehalten werden. Bei als systemisch riskant eingestuften Foundation Models müssen die Anbieter ihre Modelle zusätzlich umfangreich testen, evaluieren und Risiken minimieren. Außerdem besteht eine Meldepflicht für schwerwiegende Vorfälle.