EU KI-Verordnung 2024 : AI Act: So reguliert die EU künstliche Intelligenz in Europa

Die Europäische Union hat einen großen Schritt in Richtung der Regulierung Künstlicher Intelligenz (KI) unternommen. Nach intensiven Gesprächen zwischen Vertretern der Mitgliedsstaaten und des Europaparlaments kündigte EU-Binnenmarktkommissar Thierry Breton die Einigung auf einen neuen Rechtsrahmen an. Dieser Moment markiert die EU als den ersten Kontinent weltweit, der spezifische Regeln für den Einsatz von KI einführt. "Historisch! Die EU wird der allererste Kontinent, der klare Regeln für die Nutzung von KI setzt", schrieb Breton im Kurzbotschaftendienst X (früher Twitter).

>>> KI Hype und Wirklichkeit: Schachmatt, Menschheit?

Die Präsidentin der Europäischen Kommission, Ursula von der Leyen, betonte nach dem Abschluss der über 35 Stunden andauernden Verhandlungen die Bedeutung des KI-Gesetzes (AI Act) als weltweite Premiere. Dieses Regelwerk bietet einen rechtlichen Rahmen für die Entwicklung von KI-Technologien, der nicht nur auf Innovation abzielt, sondern auch das Vertrauen der Menschen in diese Technologien stärkt. Außerdem würden "Sicherheit und Grundrechte von Menschen und Unternehmen" geschützt.

Mit dieser Gesetzgebung setzt die EU neue Maßstäbe in der globalen Diskussion um ethische Standards und Regulierungen im Bereich der Künstlichen Intelligenz. Sie betont die Notwendigkeit, die Entwicklung dieser fortschrittlichen Technologien mit dem Schutz der Grundrechte und der persönlichen Sicherheit zu vereinbaren. In Österreich wird der neue KI-Rechtsrahmen der Europäischen Union quer durch das politische Spektrum begrüßt.

>>> Sepp Hochreiter: „Ich möchte Open AI vom Markt fegen“

Österreichs Staatssekretär für Digitalisierung, Florian Tursky (ÖVP), hat die Einigung auf den ersten Rechtsrahmen für Künstliche Intelligenz (KI) in der Europäischen Union als bedeutenden Meilenstein gelobt. In einer kürzlich veröffentlichten Mitteilung hob Tursky hervor, dass dieser Schritt nicht nur das Vertrauen in neue Technologien stärken, sondern auch die europäischen Werte und Grundrechte im digitalen Raum fördern wird. Er betonte die Wichtigkeit klarer Regeln und Vorgaben für Unternehmen, um Rechtssicherheit zu gewährleisten, sowie die Bedeutung von Transparenz und Datenschutz für die Bürgerinnen und Bürger. "Für die Bürgerinnen und Bürger ist die Transparenz und der Schutz ihrer persönlichen Daten wichtig", so Tursky.

>>> EU AI Act: Welche Compliance-Vorgaben muss Künstliche Intelligenz erfüllen?

Barbara Thaler, ÖVP-Europaparlamentarierin, teilt diese positive Einschätzung. Sie sieht in dem Verhandlungsergebnis eine Gelegenheit für Europa, globaler Vorreiter in der Regulierung von KI zu werden. Thaler betonte die Notwendigkeit, keine Angst vor KI zu haben, sondern vielmehr die Risiken konsequent zu regulieren und den Fokus auf die Möglichkeiten und das Potenzial dieser Technologien zu richten. Ihr zufolge sendet das KI-Gesetz ein wichtiges Signal an Wettbewerber in den USA und Asien und stellt einen entscheidenden Schritt in der digitalen Politik dar.

Claudia Gamon, Mitglied der NEOS, sieht in dem AI Act eine Chance, die öffentliche Angst vor Künstlicher Intelligenz zu mindern und gleichzeitig ihre vielfältigen Potenziale, etwa in der Krebsbekämpfung und im Umweltschutz, zu fördern. Sie betont, dass das Gesetz nicht nur Bürgerrechte schützen, sondern auch wirtschaftliche Innovationen ankurbeln wird, wodurch es unsere Zukunft maßgeblich prägen kann.

>>> AI-Spitzenforscher Brandstetter: "Von allen Kommentaren hier einen Screenshot gemacht – für später“

Andreas Schieder, SPÖ-Delegationsleiter im EU-Parlament, hebt hervor, dass besonders gefährliche KIs, die zur Verbreitung von Desinformation und Fake-Inhalten genutzt werden könnten, streng reguliert werden. Er fordert zudem, dass Gewerkschaften in den Prozess miteinbezogen werden sollten, um die Auswirkungen von KI auf die Arbeitswelt zu adressieren.

>>> AI-Spitzenforscher Johannes Brandstetter: Der Rückkehrer

Mariana Kühnel, stellvertretende Generalsekretärin der Wirtschaftskammer (WKÖ), sieht in dem geplanten Rechtsrahmen eine gelungene Balance zwischen Innovation und Regulierung. Sie argumentiert, dass der Rahmen Investitionen und Innovationen fördert, während er gleichzeitig bestehende Rechte durch ein hohes Schutzniveau sichert. Kühnel fordert die schnelle Schaffung nationaler Strukturen für die Umsetzung der Verordnung und plädiert für die Einrichtung einer serviceorientierten KI-Behörde in Österreich, um Unternehmen bei der Implementierung zu unterstützen.

Trotz der breiten politischen Unterstützung für den neuen KI-Rechtsrahmen der EU gibt es auch kritische Stimmen aus der Wirtschaft. Der Branchenverband DigitalEurope sieht in den neuen Vorgaben eine zusätzliche Belastung für Unternehmen. Der Bundesverband der Deutschen Industrie (BDI) äußert Bedenken, dass das Ziel des "EU AI Act", einen sicheren und vertrauensbildenden Rechtsrahmen auf Basis eines risikobasierten Ansatzes zu schaffen, nur teilweise erreicht wurde. Nach Meinung des BDI gefährden die neuen Regelungen die Wettbewerbs- und Innovationsfähigkeit der Unternehmen und bieten nicht die benötigte Rechtssicherheit, da die Kriterien für die Regulierung als unausgereift angesehen werden.

>>> Die Zukunft des Maschinenbaus: Wie KI und Diversität den Wandel vorantreiben

Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung, erklärt, dass der Kompromiss die KI-gestützte Transformation der deutschen Wirtschaft bremst, die insbesondere für die Bewältigung von Herausforderungen wie Fachkräftemangel und Energiewende dringend benötigt wird. Sie warnt davor, dass Europa das Risiko eingeht, den Anschluss an globale KI-Entwicklungen zu verlieren. "Europa riskiert auf diesem Weg, den Anschluss an die weltweiten KI-Entwicklungen zu verlieren."

>>> Studie: Schafft KI eher Arbeit als sie zu vernichten?

Zusätzlich dazu meldet die Datenschutzgruppe European Digital Rights Bedenken an. Insbesondere kritisieren sie, dass das KI-Gesetz erstmalig Schritte unternimmt, um die öffentliche Gesichtserkennung in der gesamten EU zu legalisieren. Sie bezeichnen das Gesamtpaket zur biometrischen Überwachung und zum Profiling als bestenfalls mäßig und zeigen damit auf, dass die Datenschutzbedenken noch nicht vollständig adressiert sind. Diese Kritikpunkte unterstreichen die Notwendigkeit einer ausgewogenen Herangehensweise, die sowohl Innovation fördert als auch Datenschutz und ethische Standards berücksichtigt.

Nach der politischen Einigung auf den KI-Rechtsrahmen der EU am vergangenen Freitagabend steht nun die Ausarbeitung der technischen Details an. Die neuen Regeln sollen insbesondere die Qualität der für die Entwicklung von Algorithmen verwendeten Daten sichern und Urheberrechtsverletzungen in der KI-Entwicklung verhindern. Zudem wird gefordert, dass Entwickler eindeutig kennzeichnen müssen, wenn Texte, Bilder und Töne durch Künstliche Intelligenz erstellt wurden.

Für "risikoreiche" KI-Anwendungen, wie in kritischer Infrastruktur, bei Sicherheitsbehörden und in der Personalverwaltung, sind verschärfte Vorgaben geplant. Hier sollen unter anderem menschliche Kontrolle über KI-Systeme, technische Dokumentationen und ein Risikomanagementsystem vorgeschrieben werden.

>>> BoschGPT: KI-Sprachmodell von Bosch wird zum Vorbild für heimische Industrie

Die EU-Kommission hatte bereits im April 2021 einen ersten KI-Verordnung Entwurf für diesen Rechtsrahmen vorgelegt, doch die Verhandlungen zogen sich über einen längeren Zeitraum hin. Besonders die großen Mitgliedsländer Deutschland, Frankreich und Italien äußerten Bedenken gegenüber zu strengen Auflagen, die die Entwicklung von Zukunftstechnologien gefährden könnten. Der deutsche Digital- und Verkehrsminister Volker Wissing mahnte zu einem international abgestimmten Vorgehen und warnte vor einem EU-Alleingang. Es gibt Befürchtungen, dass solche Vorschriften Start-up-Unternehmen wie Aleph Alpha in Deutschland und Mistral AI in Frankreich in ihrer Entwicklung behindern könnten.

Diese Diskussionen spiegeln die komplexe Balance wider, die zwischen der Förderung von Innovationen und dem Schutz von Rechten und Sicherheiten in der schnell wachsenden Welt der Künstlichen Intelligenz gefunden werden muss.

Das Thema Künstliche Intelligenz erlangte vor etwa einem Jahr durch die Veröffentlichung des Chatbots ChatGPT von OpenAI erhebliche Aufmerksamkeit. ChatGPT, das in der Lage ist, auf Basis kurzer Eingabeaufforderungen Essays, Gedichte oder Unterhaltungen zu generieren, machte die Potenziale und gleichzeitig die Risiken von KI für ein breites Publikum deutlich. Diese Entwicklung hat die Debatte um die Notwendigkeit einer regulierten Nutzung von KI intensiviert.

Ein zentraler Streitpunkt in den EU-Gesprächen war die biometrische Überwachung. Der Gesetzesentwurf des Europaparlaments sieht ein Verbot für automatisierte Gesichtserkennung vor, was von Kritikern als mögliche Verletzung von Bürgerrechten angesehen wird. Die EU-Staaten setzten sich für Ausnahmeregelungen ein, die den nationalen Sicherheitsinteressen, der Verteidigung und militärischen Zwecken dienen sollen. Die jüngste Einigung sieht jedoch Beschränkungen für den Einsatz biometrischer Identifizierungssysteme durch Strafverfolgungsbehörden vor, deren Details noch ausgearbeitet werden müssen.

>>> Regulierung von KI: Wie künstliche Intelligenz die Gesellschaft verändert

Das Gesetz enthält zudem Verbote zur Manipulation oder Ausnutzung von Schwächen der Nutzer durch KI. Verbraucher sollen das Recht erhalten, Beschwerden einzureichen und angemessene Antworten zu bekommen. Bei Verstößen sind Geldstrafen zwischen 7,5 und 35 Millionen Euro vorgesehen. Mit dem AI Act positioniert sich die EU weltweit an der Spitze der KI-Regulierung und könnte als Blaupause für Länder dienen, die die Regulierungen der USA als zu locker und die Chinas als zu restriktiv ansehen.

Obwohl das Europaparlament und die Mitgliedstaaten der EU dem Vereinbarungsentwurf noch zustimmen müssen, gilt dies als reine Formsache. Dieser Schritt unterstreicht die Entschlossenheit der EU, führend in der Etablierung ethischer und sicherer Standards für die Nutzung von KI zu sein.

Nach der Grundsatzeinigung von Europaparlament, EU-Kommission und EU-Staaten auf den sogenannten EU KI-Verordnung, der Künstliche Intelligenz regulieren soll, haben Forscher auf positive Aspekte, aber auch Schattenseiten des möglichen Kompromisses hingewiesen. "Der AI-Act steht besser da als wir das (...) gedacht haben", sagte Philipp Hacker von der Europa-Universität Viadrina in Frankfurt (Oder). Bei den Grundmodellen wie dem GPT scheine ein Kompromiss gefunden worden zu sein. "Das hieße, dass sich die deutsche, französische und italienische Fundamentalopposition gegen die harte, verbindliche Regulierung nicht durchgesetzt hat", sagte der Professor für Recht und Ethik der digitalen Gesellschaft. Mit Selbstregulierung komme man hier nicht weiter, glaubt er. "Wenn einer wie Elon Musk bei Twitter keine Lust mehr darauf hat, dann gibt es keine Handhabe", ist Hacker überzeugt.

Die Forderung, die Basismodelle nicht zu regulieren, sei auf starkes Lobbying zurückzuführen "und hat mich enttäuscht. Der Vorschlag einer Selbstregulierung ist fast empörend", stimmte die österreichische Technologie- und Regulierungsforscherin Sandra Wachter von der Universität Oxford (Großbritannien) zu. Selbstregulierung sei nichts anderes als die Möglichkeit, sich an Regeln zu halten oder eben auch nicht. Hier brauche es eine entsprechende Gesetzgebung. "Sich auf das Gefühl eines Unternehmens zu verlassen, ist da nicht genug", sagte Wachter bei einem Pressegespräch des deutschen Science Media Center (SMC).

>>> Einsatz der KI in der Industrie: So funktioniert Digitalisierung

Bei der Regulierung von KI-Basismodellen, die auf riesigen Datensätzen basieren, gebe es zwei unterschiedliche Systemebenen. Eine Regulierung werde für alle Modelle gelten "und relativ harmlos sein", eine andere für große, potenziell riskante Modelle. Die erste betrifft die Transparenz, die Trainingsdaten und das Urheberrecht, wo das Unternehmen die Vorkehrungen darlegt, die es getroffen hat, um zu verhindern, dass urheberrechtlich geschütztes Material verwendet wird, zu dessen Verwendung es nicht berechtigt ist.

"Das ist mir zu wenig, weil auch Modelle, die nicht den absoluten Top-Modellen entsprechen, durchaus mit signifikanten Risiken einhergehen können. Da müsste man noch nachbessern, etwa bei Vorkehrungen zu Cybersicherheit, damit nicht Schadsoftware geschrieben und Bio-Terrorismus betrieben werden kann," so der Experte. Bei den großen Modellen scheint es, dass die Kategorie vom Trainingsaufwand oder von der Anzahl der Rechenschritte abhängt, die während des Trainings durchgeführt werden. "Aktuelle Modelle wie GPT4 oder Bard müssen hier erfasst werden und nicht erst künftige Modelle. Neben diesem Anhaltspunkt braucht es aber weitere Kriterien wie Risikomanagement oder Teams, die das System in einer überwachten Prozedur dazu bringen, etwas zu tun, was es nicht tun soll", so Hacker.

>>> Industrielle KI: Die besten Use Cases von Blum bis Plansee

Das von der Industrie stark propagierte Red Teaming, also das Testen der Systemsicherheit, sei gut, greife aber zu kurz, meinte Wachter. "Das ist, wie wenn man wissen will, ob in einem Haus etwas Gefährliches ist, und man nicht reingeht und untersucht, was dort los ist, sondern nur den Türsteher fragen darf. Ich kann testen, indem ich frage, wie ich eine Bombe bauen kann. So kann man Probleme aufdecken, aber nicht systematisch testen", erklärte die Forscherin. Hier müsse man viel mehr Einblick bekommen.

Es sei auch notwendig, die gesamte Lieferkette zu "verrechtlichen", also die Basismodelle, die Anwendungen wie ChatGPT und die Nutzer in die Verantwortung zu nehmen. "Man stelle sich eine Bergquelle vor, die vergiftetes Wasser an Haushalte liefert, und man würde überall Filter einbauen, anstatt zur Quelle zu gehen und das Problem dort zu lösen", verglich Wachter. "Wenn man die Basismodelle ausnimmt, wird die Regulierungslast auf die nachfolgenden Bereiche verschoben. Tausend Mal den Fehler in der Anwendung auszubessern ist schlechter als das Problem an der Basis anzugehen", meinte auch Hacker.

>>> AI und das Problem fehlerhafter Daten

Dem Argument, dass eine verbindliche Regelung der Basismodelle ein wirtschaftliches Hemmnis darstelle, hielt er entgegen: Die Entwicklungskosten lägen bei rund 60 Millionen Euro, die Kosten für die verbindliche Sicherung der Systeme aber nur bei einem Prozent davon. "Das halte ich für gerechtfertigt. Wer Champions League spielen will, muss sich an die Champions League-Regeln halten", so Hacker. Für Wachter ist das Argument vergleichbar damit, dass die Autoindustrie nur dann Fahrzeuge auf den europäischen Markt bringen will, wenn sie keine Gurte einbauen muss und die Fahrer keinen Führerschein brauchen.

Auch eigene europäische Basismodelle wären von Vorteil, so die Expertin. Derzeit säßen die meisten Entwickler in China oder Amerika, "da ergibt sich eine Abhängigkeit. Wenn die Quelle weg ist, hat niemand mehr etwas zu trinken." Hier sei Geld das große Thema, um Alternativen aufbauen zu können. Der Rückstand in Europa sei "bedrohlich", so Hacker, der auch auf geopolitische Gefahren hinwies, da KI zunehmend militärisch genutzt werde. Es brauche ein umfassendes Milliardenpaket.

Bei der Regulierung von KI-Basismodellen, die auf riesigen Datensätzen basieren, gebe es zwei unterschiedliche Systemebenen. Eine Regulierung werde für alle Modelle gelten "und relativ harmlos sein", eine andere für große, potenziell riskante Modelle. Die erste betrifft die Transparenz, die Trainingsdaten und das Urheberrecht, wo das Unternehmen die Vorkehrungen darlegt, die es getroffen hat, um zu verhindern, dass urheberrechtlich geschütztes Material verwendet wird, zu dessen Verwendung es nicht berechtigt ist.

"Das ist mir zu wenig, weil auch Modelle, die nicht den absoluten Top-Modellen entsprechen, durchaus mit signifikanten Risiken einhergehen können. Da müsste man noch nachbessern, etwa bei Vorkehrungen zu Cybersicherheit, damit nicht Schadsoftware geschrieben und Bio-Terrorismus betrieben werden kann," so der Experte. Bei den großen Modellen scheint es, dass die Kategorie vom Trainingsaufwand oder von der Anzahl der Rechenschritte abhängt, die während des Trainings durchgeführt werden. "Aktuelle Modelle wie GPT4 oder Bard müssen hier erfasst werden und nicht erst künftige Modelle. Neben diesem Anhaltspunkt braucht es aber weitere Kriterien wie Risikomanagement oder Teams, die das System in einer überwachten Prozedur dazu bringen, etwas zu tun, was es nicht tun soll", so Hacker.

>>> Industrielle KI: Die besten Use Cases von Blum bis Plansee

Das von der Industrie stark propagierte Red Teaming, also das Testen der Systemsicherheit, sei gut, greife aber zu kurz, meinte Wachter. "Das ist, wie wenn man wissen will, ob in einem Haus etwas Gefährliches ist, und man nicht reingeht und untersucht, was dort los ist, sondern nur den Türsteher fragen darf. Ich kann testen, indem ich frage, wie ich eine Bombe bauen kann. So kann man Probleme aufdecken, aber nicht systematisch testen", erklärte die Forscherin. Hier müsse man viel mehr Einblick bekommen. Es sei auch notwendig, die gesamte Lieferkette zu "verrechtlichen", also die Basismodelle, die Anwendungen wie ChatGPT und die Nutzer in die Verantwortung zu nehmen. "Man stelle sich eine Bergquelle vor, die vergiftetes Wasser an Haushalte liefert, und man würde überall Filter einbauen, anstatt zur Quelle zu gehen und das Problem dort zu lösen", verglich Wachter. "Wenn man die Basismodelle ausnimmt, wird die Regulierungslast auf die nachfolgenden Bereiche verschoben. Tausend Mal den Fehler in der Anwendung auszubessern ist schlechter als das Problem an der Basis anzugehen", meinte auch Hacker.

>>> AI und das Problem fehlerhafter Daten

Dem Argument, dass eine verbindliche Regelung der Basismodelle ein wirtschaftliches Hemmnis darstelle, hielt er entgegen: Die Entwicklungskosten lägen bei rund 60 Millionen Euro, die Kosten für die verbindliche Sicherung der Systeme aber nur bei einem Prozent davon. "Das halte ich für gerechtfertigt. Wer Champions League spielen will, muss sich an die Champions League-Regeln halten", so Hacker. Für Wachter ist das Argument vergleichbar damit, dass die Autoindustrie nur dann Fahrzeuge auf den europäischen Markt bringen will, wenn sie keine Gurte einbauen muss und die Fahrer keinen Führerschein brauchen.

Auch eigene europäische Basismodelle wären von Vorteil, so die Expertin. Derzeit säßen die meisten Entwickler in China oder Amerika, "da ergibt sich eine Abhängigkeit. Wenn die Quelle weg ist, hat niemand mehr etwas zu trinken." Hier sei Geld das große Thema, um Alternativen aufbauen zu können. Der Rückstand in Europa sei "bedrohlich", so Hacker, der auch auf geopolitische Gefahren hinwies, da KI zunehmend militärisch genutzt werde. Es brauche ein umfassendes Milliardenpaket.