Das EU-KI-Gesetz: Hintergrund, Entwicklungen und Zeitplan für die Umsetzung

Angesichts des Fortschritts und der Einbindung von KI-Systemen in nahezu jeden Bereich der modernen Welt sind KI-Vorschriften unvermeidlich. Wichtige Rechtsordnungen wie die Europäische Union haben bereits erste Schritte unternommen, um gesetzliche Rahmenbedingungen zu schaffen, die dringend benötigte Ordnung in einen Bereich bringen sollen, der oft als „Wilder Westen der Tech-Branche“ bezeichnet wird, und viele weitere werden folgen, da der Bedarf an staatlicher Aufsicht wächst.  

Das EU-KI-Gesetz
Das EU-KI-Gesetz ist ein wegweisendes Gesetz, das darauf abzielt, einen umfassenden Rechtsrahmen für den Einsatz und die Entwicklung von KI in allen Mitgliedstaaten zu schaffen. Als wesentlicher Bestandteil der übergeordneten digitalen Strategie der EU spiegelt das EU-KI-Gesetz einen proaktiven Ansatz wider, um den ethischen, gesellschaftlichen und technischen Herausforderungen zu begegnen, die sich aus den rasanten Fortschritten im Bereich der KI-Technologien ergeben.

Das Gesetz, das am 13. März 2024 vom Europäischen Parlament verabschiedet wurde, zielt darauf ab, ein Umfeld zu schaffen, in dem sich KI-Technologien entfalten können, um Innovation und Wirtschaftswachstum voranzutreiben und gleichzeitig sicherzustellen, dass diese Entwicklungen allen Bürgern zugutekommen und im Einklang mit dem öffentlichen Interesse stehen. Das Gesetz soll zudem gewährleisten, dass die Europäer den Möglichkeiten der KI vertrauen können.  

Das EU-KI-Gesetz wird:

• Gehen Sie gezielt auf Risiken ein, die speziell durch KI-Anwendungen entstehen. 
• KI-Praktiken, die inakzeptable Risiken bergen, sind zu verbieten. 
• Erstellen Sie eine Liste der risikoreichen Anwendungen. 
• Es sollten klare Anforderungen an KI-Systeme für risikoreiche Anwendungen festgelegt werden. 
• Festlegung spezifischer Verpflichtungen für Betreiber und Anbieter von KI-Anwendungen mit hohem Risiko. 
• Die Durchsetzung der Vorschriften sollte erfolgen, nachdem ein bestimmtes KI-System auf den Markt gebracht wurde. 
• Eine Steuerungsstruktur auf europäischer und nationaler Ebene schaffen. 
• Vor der Inbetriebnahme eines KI-Systems ist eine Konformitätsbewertung vorzunehmen.  
   

Ein risikobasierter Ansatz für die KI-Governance
Der durch das KI-Gesetz geschaffene Rechtsrahmen führt den Grundsatz ein, dass die Vorschriften umso strenger ausfallen, je höher das von einem KI-System ausgehende Risiko ist. Dieser Ansatz stellt sicher, dass KI-Systeme, die das Potenzial haben, erhebliche Auswirkungen auf die Gesellschaft oder Einzelpersonen zu haben, einer strengeren Aufsicht und Kontrolle unterliegen.

Einer der Kernaspekte des KI-Gesetzes besteht darin, bestimmte KI-Anwendungen als ein inakzeptables Risiko darstellend einzustufen und damit deren Nutzung innerhalb der Europäischen Union faktisch zu verbieten. Zu dieser Kategorie gehören KI-Anwendungen, die:

• Das menschliche Verhalten so weit zu manipulieren, dass Einzelpersonen dadurch Schaden zugefügt werden kann. Dabei handelt es sich um Systeme, die darauf ausgelegt sind, Handlungen oder Entscheidungen zu beeinflussen, die das Wohlbefinden oder die Autonomie der Betroffenen beeinträchtigen könnten. 
• Sie begünstigen eine benachteiligende Bewertung von Personen aufgrund ihres sozialen Verhaltens oder ihrer persönlichen Merkmale. Ein Paradebeispiel hierfür ist das in China eingeführte Sozialkreditsystem, das die Freiheiten und Möglichkeiten einer Person auf der Grundlage ihres sozialen Status einschränkt, der sich aus ihrem Verhalten und anderen persönlichen Merkmalen ergibt. 
• Ermöglichen Sie die Echtzeit-Fernerkennung von Personen im öffentlichen Raum und deren biometrische Identifizierung ohne deren Einwilligung. Während solche Praktiken aufgrund ihres Eingriffscharakters grundsätzlich verboten sind, sieht das Gesetz Ausnahmen zur Terrorismusbekämpfung oder zur Ermittlung bei schweren Straftaten vor und berücksichtigt damit das Gleichgewicht zwischen Datenschutzbelangen und Sicherheitserfordernissen. 
   

Alle KI-Systeme, die als Bedrohung für die Sicherheit, die Lebensgrundlagen und die Rechte der Menschen angesehen werden, werden verboten. Bildnachweis: Europäische Kommission
Zu den als risikoreich eingestuften KI-Systemen gehören solche, die in Schlüsselbereichen wie kritischer Infrastruktur (z. B. Verkehr), Bildung oder beruflicher Ausbildung (z. B. Bewertung von Prüfungen), Sicherheitskomponenten von Produkten (z. B. KI in der robotergestützten Chirurgie) und Beschäftigung (z. B. Software zur Sortierung von Lebensläufen) eingesetzt werden. KI-Systeme mit hohem Risiko unterliegen strengen Auflagen, bevor sie in Verkehr gebracht werden dürfen:

• Angemessene Systeme zur Risikobewertung und -minderung. 
• Protokollierung der Aktivitäten zur Gewährleistung der Rückverfolgbarkeit der Ergebnisse. 
• Klare und ausreichende Informationen für den Einsatzleiter. 
• Geeignete Maßnahmen zur menschlichen Überwachung, um Risiken zu minimieren. 
• Hohe Robustheit, Sicherheit und Genauigkeit. 
• Eine ausführliche Dokumentation enthält alle Informationen über das System und dessen Zweck, damit die Behörden dessen Konformität beurteilen können. 
   

KI-Systeme, die als „begrenztes Risiko“ eingestuft werden, unterliegen hingegen bestimmten Transparenzpflichten, um sicherzustellen, dass Menschen bei Bedarf informiert werden. Bei der Nutzung eines Chatbots sollten Menschen beispielsweise darauf hingewiesen werden, dass sie mit einer Maschine interagieren, damit sie eine fundierte Entscheidung darüber treffen können, ob sie das System weiterhin nutzen möchten. Anbieter müssen zudem sicherstellen, dass KI-generierte Inhalte als solche erkennbar sind.

KI-Systeme mit minimalem Risiko unterliegen keinen Einschränkungen und können frei genutzt werden. Dazu gehören Anwendungen wie KI-gestützte Videospiele oder Spamfilter.

Wer ist betroffen?
Das EU-KI-Gesetz betrifft in erster Linie Anbieter, die im weiteren Sinne als alle juristischen Personen definiert sind – seien es Behörden, Institutionen, Unternehmen oder andere Einrichtungen –, die KI-Systeme entwickeln oder deren Entwicklung in Auftrag geben. Diese weit gefasste Definition stellt sicher, dass jede Organisation, die an der Bereitstellung von KI-Technologie auf dem EU-Markt oder an der Inbetriebnahme solcher Systeme innerhalb der Union beteiligt ist, in den Anwendungsbereich des Gesetzes fällt. Zu den Pflichten der Anbieter gemäß dem Gesetz gehören unter anderem:

• Einhaltung der Menschenrechte: Sicherstellung , dass ihre KI-Systeme die Grundrechte des Einzelnen nicht beeinträchtigen, wozu der Schutz der Privatsphäre, das Diskriminierungsverbot und der Schutz personenbezogener Daten gehören. 
• Risikomanagement: Durchführung gründlicher Risikobewertungen, um potenzielle Schäden zu identifizieren und zu mindern, die ihre KI-Systeme für Einzelpersonen oder die Gesellschaft verursachen könnten.
  Transparenzmaßnahmen: Bereitstellung klarer und verständlicher Informationen darüber, wie ihre KI-Systeme funktionieren, welche Logik hinter den KI-Entscheidungen steht und welche Auswirkungen deren Einsatz hat. 
• Qualitäts- und Sicherheitsstandards: Einhaltung vordefinierter Qualitäts- und Sicherheitsstandards, die gewährleisten, dass KI-Systeme zuverlässig, sicher und für ihren Verwendungszweck geeignet sind. 
   

Das EU-KI-Gesetz regelt auch die Verantwortlichkeiten der Nutzer von KI-Systemen, darunter juristische und natürliche Personen. Damit erstreckt sich der Geltungsbereich des Gesetzes nicht nur auf Unternehmen oder Organisationen, sondern auch auf Privatpersonen.  

Gemäß dem Gesetz wird von den Nutzern von KI-Systemen erwartet, dass sie:

• Setzen Sie KI-Systeme verantwortungsbewusst ein: Befolgen Sie die Anweisungen und Richtlinien des Herstellers für den bestimmungsgemäßen und sicheren Einsatz von KI-Technologien. 
• Überwachung und Meldung: Überwachen Sie die Leistung der eingesetzten KI-Systeme und melden Sie etwaige Störungen oder Risiken, die dabei auftreten, den zuständigen Behörden oder Anbietern. 
• Daten-Governance: Stellen Sie sicher, dass alle Daten, die in Verbindung mit KI-Systemen verwendet werden, gemäß den strengen Datenschutzgesetzen der EU, wie beispielsweise der DSGVO, behandelt werden, um die Privatsphäre und die personenbezogenen Daten von Einzelpersonen zu schützen. 
   

Was wird das EU-KI-Gesetz regeln?
Das KI-Gesetz ist ein wegweisendes Gesetz, das sich mit mehreren Schlüsselbereichen im Zusammenhang mit dem Einsatz und dem Betrieb von KI-Systemen befassen wird.  

Ethik und Verantwortung
KI-Systeme können die Gesellschaft sowohl positiv als auch negativ erheblich beeinflussen. Ethische Überlegungen sind von größter Bedeutung, da die von KI-Systemen getroffenen Entscheidungen das Leben, den Lebensunterhalt und die Rechte der Menschen beeinflussen können.  

Das KI-Gesetz soll sicherstellen, dass KI auf ethische Weise entwickelt und eingesetzt wird, die Menschenrechte achtet und die Sicherheit des Einzelnen gewährleistet. Es betont die Notwendigkeit, KI-Systeme nach einem menschenzentrierten Ansatz zu gestalten, bei dem das Wohlergehen des Menschen und ethische Standards im Vordergrund stehen.

Transparenz und Rechenschaftspflicht
Eine der Herausforderungen bei KI-Systemen, insbesondere bei solchen, die auf maschinellem Lernen und Deep Learning basieren, ist ihr „Black-Box“-Charakter. Diese Undurchsichtigkeit kann es erschweren, zu verstehen, wie Entscheidungen getroffen werden, was zu Bedenken hinsichtlich Fairness, Voreingenommenheit und Diskriminierung führt.  

Das KI-Gesetz schreibt mehr Transparenz und eine umfassendere Dokumentation von KI-Systemen vor und verlangt Erläuterungen zu ihrer Funktionsweise, zur Logik hinter ihren Entscheidungen und zu den von ihnen verwendeten Daten. Dies ist von entscheidender Bedeutung, um Rechenschaftspflicht zu schaffen und sicherzustellen, dass KI-Systeme gesellschaftliche Ungleichheiten nicht aufrechterhalten oder verschärfen.

Wettbewerbsfähigkeit
Im globalen Wettlauf um technologischen Fortschritt strebt die EU an, sich als Vorreiter bei ethischen KI-Innovationen zu positionieren. Durch die Festlegung klarer, harmonisierter Vorschriften für KI zielt das KI-Gesetz darauf ab, ein stabiles und berechenbares Umfeld zu schaffen, das Investitionen und Forschung im Bereich der KI-Technologien fördert.  

Diese regulatorische Klarheit soll die Wettbewerbsfähigkeit europäischer Unternehmen auf internationaler Ebene stärken und es ihnen ermöglichen, innovativ zu sein und dabei hohe ethische und Sicherheitsstandards einzuhalten.

Vertrauen der Endnutzer
Die Akzeptanz und das Vertrauen der Öffentlichkeit in KI-Technologien sind für deren breite Einführung und den Erfolg unerlässlich. Das KI-Gesetz zielt darauf ab, das Vertrauen der Öffentlichkeit in KI-Systeme durch die Einführung solider Schutzmaßnahmen, ethischer Standards und Transparenzanforderungen zu stärken.  

Die Gewährleistung, dass KI-Technologien so eingesetzt werden, dass sie die Gesellschaft schützen und ihr zugutekommen, dürfte das Vertrauen der Bürger stärken, was für die Integration von KI in verschiedene Bereiche des täglichen Lebens und der Wirtschaft von entscheidender Bedeutung ist.

KI-Vorschriften in anderen Rechtsräumen
Die EU steht mit ihren Bemühungen zur Regulierung der KI nicht allein da – auch die Vereinigten Staaten und das Vereinigte Königreich haben bei der Einführung nationaler Vorschriften erhebliche Fortschritte erzielt.

In Kalifornien, wo führende KI-Unternehmen wie OpenAI, Microsoft und Google ihren Sitz haben, wurde kürzlich ein Gesetzentwurf eingebracht, der darauf abzielt, „klare, vorhersehbare und vernünftige Sicherheitsstandards für Entwickler der größten und leistungsstärksten KI-Systeme“ festzulegen. Dabei konzentriert sich der Ansatz ausschließlich auf die Unternehmen, die die größten Modelle entwickeln, und auf die Möglichkeit, dass diese ohne entsprechende Kontrollen weitreichenden Schaden anrichten könnten.  

Unterdessen schreibt das im Jahr 2021 eingeführte New Yorker Kommunalgesetz 144, das für Arbeitgeber gilt, die AEDTs zur Bewertung von Bewerbern einsetzen, vor, dass bei automatisierten Einstellungsverfahren eine Überprüfung auf Voreingenommenheit durchgeführt werden muss.  

Auch auf Bundesebene werden Maßnahmen ergriffen. Im Oktober erließ Präsident Biden eine Durchführungsverordnung zur Festlegung neuer Sicherheitsstandards für KI. Die Verordnung sieht folgende Maßnahmen vor:

• Entwickler der leistungsstärksten KI-Systeme müssen ihre Ergebnisse aus Sicherheitstests und andere wichtige Informationen an die US-Regierung weitergeben.  
• Entwicklung von Standards, Werkzeugen und Tests, um sicherzustellen, dass KI-Systeme sicher, geschützt und vertrauenswürdig sind.  
• Schutz vor den Risiken, die mit dem Einsatz von KI zur Herstellung gefährlicher biologischer Stoffe verbunden sind. 
• Schutz der Amerikaner vor Betrug und Täuschung durch KI, indem Standards und bewährte Verfahren zur Erkennung von KI-generierten Inhalten und zur Authentifizierung offizieller Inhalte festgelegt werden. 
• Einführung eines fortschrittlichen Cybersicherheitsprogramms zur Entwicklung von KI-Tools, mit denen Schwachstellen in kritischer Software aufgespürt und behoben werden können. 
• Befehlen Sie die Ausarbeitung eines Nationalen Sicherheitsmemorandums, das weitere Maßnahmen im Bereich KI und Sicherheit vorsieht. 
   

Unterdessen arbeiten auch die britischen Gesetzgeber an eigenen Vorschriften. Die britische Regierung veröffentlichte im März 2023 ihr KI-Weißbuch, in dem sie ihre Vorschläge zur Regulierung des Einsatzes von KI im Vereinigten Königreich darlegt. Das Weißbuch knüpft an das Strategiepapier zur KI-Regulierung an, in dem die britische Regierung ihre Vision für die Zukunft eines „innovationsfreundlichen“ und „kontextspezifischen“ Regulierungsrahmens für KI im Vereinigten Königreich vorgestellt hatte.

Das Weißbuch schlägt einen anderen Ansatz zur Regulierung von KI vor als das EU-KI-Gesetz. Anstatt neue, weitreichende Vorschriften zur Regulierung von KI im Vereinigten Königreich einzuführen, beabsichtigt die britische Regierung, gemeinsam mit bestehenden Aufsichtsbehörden wie der Financial Conduct Authority Rahmenbedingungen für die Entwicklung von KI festzulegen und diese zu befähigen, den Einsatz von KI im Rahmen ihrer jeweiligen Zuständigkeiten zu regulieren.  

Wechselwirkungen zwischen dem KI-Gesetz und der EU-DSGVO
Wenn das EU-KI-Gesetz in Kraft tritt, wird es zu den weltweit ersten und umfassendsten Vorschriften im Bereich der künstlichen Intelligenz gehören. Dies hat natürlich zu Überlegungen hinsichtlich der Auswirkungen auf die Datenschutz-Grundverordnung (DSGVO) geführt, die 2018 in Kraft getreten ist.

Das KI-Gesetz und die DSGVO unterscheiden sich hinsichtlich ihres Anwendungsbereichs. Das KI-Gesetz gilt für Anbieter, Nutzer und Beteiligte entlang der gesamten KI-Wertschöpfungskette, während die DSGVO enger gefasst ist und sich auf diejenigen bezieht, die personenbezogene Daten verarbeiten oder Waren oder Dienstleistungen – einschließlich digitaler Dienste – für betroffene Personen in der EU anbieten. KI-Systeme, die keine personenbezogenen Daten verarbeiten, fallen daher nicht unter die DSGVO.  

Allerdings gibt es hierbei einige Vorbehalte. Eine mögliche Diskrepanz zwischen dem KI-Gesetz und der DSGVO besteht in der Anforderung an Anbieter von KI-Systemen, eine menschliche Aufsicht zu ermöglichen. Es ist jedoch noch nicht definiert, welche Maßnahmen dazu ergriffen werden sollen und in welchem Umfang eine menschliche Aufsicht für bestimmte KI-Systeme erforderlich sein wird. Dies könnte zur Folge haben, dass KI-Systeme nicht als teilweise automatisiert gelten; daher könnten die Verpflichtungen gemäß Artikel 22 zur Anwendung kommen.  

Im KI-Gesetz wird zudem darauf hingewiesen, dass Anbieter von KI-Systemen mit hohem Risiko möglicherweise besondere Kategorien personenbezogener Daten verarbeiten müssen, um Vorurteile zu überwachen und aufzudecken. Interessanterweise sieht das KI-Gesetz hierfür keine ausdrückliche Rechtsgrundlage vor, und die Bestimmungen der DSGVO stellen in diesem Zusammenhang eine Grauzone dar.  

Zwar könnte gemäß der Bestimmung über berechtigte Interessen in Artikel 6 Absatz 1 Buchstabe f eine rechtmäßige Verarbeitungsgrundlage bestehen, um verzerrte Daten und Diskriminierung zu vermeiden, doch muss bei der Verarbeitung besonderer Datenkategorien zusätzlich eine Ausnahme gemäß Artikel 9 Absatz 2 erfüllt sein. Das bedeutet, dass mehr als nur ein berechtigtes Interesse erforderlich ist. Zwar könnten Systembetreiber theoretisch die ausdrückliche Einwilligung der betroffenen Personen zur Datenverarbeitung einholen, um Verzerrungen zu beseitigen, doch ist dies schlichtweg nicht durchführbar.

Dies sind zwei Beispiele für mögliche Konfliktpunkte, die zwischen dem EU-KI-Gesetz und der DSGVO auftreten könnten. Beide Rechtsrahmen sind komplexe Regelwerke mit unterschiedlichen Anwendungsbereichen, Begriffsbestimmungen und Anforderungen, was Herausforderungen hinsichtlich der Einhaltung der Vorschriften und der Einheitlichkeit mit sich bringt, die angegangen werden müssen.

Wann tritt das KI-Gesetz in Kraft?
Das KI-Gesetz sollte ursprünglich im Jahr 2022 in Kraft treten, doch wie es bei solchen großen Gesetzgebungsvorhaben immer der Fall ist, gab es Rückschläge.  

Die EU hat das KI-Gesetz am 13. März 2024 offiziell verabschiedet, nachdem die Abgeordneten des Europäischen Parlaments mit einer Mehrheit von 523 Ja-Stimmen und 461 Nein-Stimmen für dessen Annahme gestimmt hatten. Es wird nun erwartet, dass der Europäische Rat den endgültigen Wortlaut des KI-Gesetzes im April 2024 formell billigt. Nach diesem letzten formellen Schritt und dem Abschluss der sprachlichen Überarbeitung des KI-Gesetzes wird das Gesetz im Amtsblatt der EU veröffentlicht und tritt 20 Tage nach der Veröffentlichung in Kraft.

Sobald das KI-Gesetz in Kraft tritt, haben Organisationen je nach Art des von ihnen entwickelten oder eingesetzten KI-Systems zwischen sechs und 36 Monaten Zeit, um die Bestimmungen des Gesetzes zu erfüllen:

• 6 Monate für verbotene KI-Systeme; 
• 12 Monate für bestimmte Verpflichtungen in Bezug auf Allzweck-KI-Systeme; 
• 24 Monate für die meisten anderen Verpflichtungen, einschließlich der in Anhang III aufgeführten Systeme mit hohem Risiko; und 
• 36 Monate für Verpflichtungen im Zusammenhang mit risikoreichen Systemen gemäß Anhang II. 
   

Da dieses wegweisende Gesetz nun auf seine Verabschiedung zusteuert, müssen Unternehmen dessen Auswirkungen verstehen und sich auf die damit verbundenen Veränderungen vorbereiten. Diese Vorbereitung umfasst mehrere wichtige Maßnahmen, um die Einhaltung der Vorschriften zu gewährleisten und die Chancen zu nutzen, die ein gut reguliertes KI-Umfeld bieten kann.

Zunächst sollten Unternehmen ihre bestehenden KI-Systeme und -Anwendungen gründlich überprüfen. Ziel dieser Überprüfung sollte es sein, alle Bereiche zu identifizieren, in denen ihre Technologie möglicherweise nicht den künftigen Vorschriften entspricht. Angesichts der Ausrichtung des KI-Gesetzes auf Risikostufen ist es von entscheidender Bedeutung zu verstehen, wo jedes System hinsichtlich seiner potenziellen Auswirkungen auf die Rechte und die Sicherheit von Personen steht. Unternehmen müssen möglicherweise bestimmte KI-Funktionen anpassen oder einstellen, die in die Kategorien mit höherem Risiko fallen oder die gemäß dem Gesetz als inakzeptabel gelten.

Unternehmen müssen sich zudem darauf konzentrieren, solide interne Prozesse zu implementieren, die bei der Nutzung von KI für Transparenz und Rechenschaftspflicht sorgen. Dies bedeutet, transparente Dokumentationsverfahren einzuführen, sicherzustellen, dass KI-Entscheidungsprozesse nachvollziehbar sind, und Mechanismen zur Überwachung und Berichterstattung über die Leistung und die Auswirkungen der KI einzurichten.