Standort & Politik

Das erste KI-Gesetz der Welt

Der vom Europäischen Parlament verabschiedete „AI-Act" ist die weltweit erste staatliche Regulierung künstlicher Intelligenz. Die Parlamentarier stimmten am 13. März mehrheitlich für das Gesetz. Dies kann nun in Kraft treten. Es regelt, wofür KI in der EU verwendet werden darf und unter welchen Bedingungen. Anbieter und KI-Betreiber werden durch den AI Act stärker in die Pflicht genommen. Unternehmen, die ihren Verpflichtungen nicht nachkommen, müssen mit Bußgeldern rechnen.
Die EU verfolgt im AI Act einen risikobasierten Ansatz: Der Anwendungsbereich der Verordnung wird in Risikokategorien eingeteilt. Je nach Risikokategorie eines KI-Systems gelten unterschiedliche Regeln und Pflichten für Entwickler, Anwender und Importeure. Der AI Act tritt 20 Tage nach Veröffentlichung im Journal der EU in Kraft. Vollständig angewendet wird er nach 24 Monaten, also voraussichtlich ab Mai 2026. Bis dahin haben die Unternehmen Zeit, Prozesse und Produkte den neuen Anforderungen entsprechend anzupassen

KI-Systeme mit inakzeptablem Risiko

In die Risikokategorie „Systeme mit inakzeptablem Risiko” stuft der AI-Act jene Anwendungen ein, die eine Gefahr für elementare Bürgerrechte darstellen. Dazu gehören beispielsweise:
  • Systeme zur Emotionserkennung am Arbeitsplatz oder im Bildungsbereich
  • Sozial-Punkte-Systeme (Social Scoring)
  • Systeme zur biometrischen Gesichtserkennung (enge Ausnahmen nur im Bereich der Strafverfolgung und Terrorismusbekämpfung und nur unter bestimmten Auflagen wie z.B. der richterlichen Anordnung möglich) sowie
  • Systeme, die menschliches Verhalten manipulieren oder die Verletzlichkeit besonders schutzbedürftiger Menschen missbräuchlich ausnutzen.

Hochrisiko-KI-Systeme  

Die Kategorie „Hochrisiko-KI-Systeme” umfasst KI-Systeme, die ein erhebliches Schadenspotenzial für Demokratie, Gesundheit, Bildung, Umwelt oder Sicherheit bergen können. Solche Hochrisiko-KI-Systeme sind zum Beispiel:
  • Medizinische Geräte
  • Transportsysteme
  • KI-Systeme der kritischen Infrastruktur
  • KI-Systeme aus Bereichen essenzieller privater und öffentlicher Dienstleistungen (z.B. aus dem Bereich der Banken u. Gesundheitsversorgung)
  • KI-Systeme im Bildungsbereich und
  • KI-Anwendungen im Rechtswesen.
Die KI-Systeme dieser beiden Kategorien müssen einem effektiven Risikomanagement unterzogen werden und unterliegen bestimmten Transparenz- und Dokumentationspflichten. Sie müssen stets eine menschliche Kontrolle gewährleisten. Hierzu soll unter anderem auch die Einrichtung eines Beschwerdesystems für Nutzer beitragen.

KI-Systeme mit allgemeinem Verwendungszweck

© Tada Images/AdobeStock
Allgemein verwendbare KI-Systeme wie ChatGPT oder Gemini haben weniger strenge Anforderungen zu erfüllen als andere Risikogruppen. Dennoch müssen sie transparent und verantwortungsbewusst eingesetzt werden, um mit dem EU-Urheberrecht übereinzustimmen. Außerdem sollten Zusammenfassungen der verwendeten Trainingsdaten verfügbar sein. Bilder, Audiodateien und Videos, die durch KI manipuliert wurden, einschließlich sogenannter „deepfakes“, müssen als solche deutlich gekennzeichnet sein.

Bei Verstößen drohen KI-Unternehmen Bußgelder

Unternehmen, die ihren Verpflichtungen aus dem AI Act nicht nachkommen, müssen mit Bußgeldern rechnen, die je nach Art des Verstoßes variieren:
  • Wer verbotene KI-Systeme anbietet, dem drohen Bußgelder in Höhe von bis zu 35 Mio. EUR oder drei Prozent des weltweiten Jahresumsatzes.
  • Wer als Entwickler, Anbieter, Betreiber oder Importeur von Hochrisiko-KI-Systemen seine Pflichten nicht erfüllt, kann mit Bußgeldern von bis zu 15 Mio. EUR oder drei Prozent des weltweiten Jahresumsatzes belegt werden.
  • Für die Übermittlung falscher oder unvollständiger Informationen an die zuständigen Behörden können Geldbußen von bis zu 7,5 Mio. EUR oder ein Prozent des weltweiten Jahresumsatzes erhoben werden.
Die Entscheidung, ob auf den bestimmten Betrag oder den prozentualen Jahresumsatz abzustellen ist, hängt von der Art des betroffenen Unternehmens ab: Bei KMU soll grundsätzlich die im Ergebnis niedrige Alternative gelten, bei großen Unternehmen hingegen stets die höhere.

Für KMU sieht der AI Act die Möglichkeit von „regulatory sandboxes“ vor – das sind Reallabore, die das Testen von Anwendungen in einem abgegrenzten regulierungsfreien Raum unter Aufsicht ermöglichen. Auch KI-Systeme im Bereich der Forschung und Entwicklung genießen einen Sonderstatus.