Mehr Transparenz und Dokumentation gefordert

AI Act zwischen Grundrechtsschutz und Innovationsbremse

11.12.2023
Von 
Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.
Nach zweieinhalb Jahren harter Verhandlungen hat sich die EU auf ein Regelwerk für den KI-Einsatz verständigt. Doch der AI Act bleibt umstritten und dürfte noch für viel Diskussionsstoff sorgen.
KI-Systeme sollen laut AI Act in verschiedene Risikoklassen eingestuft werden - je höher das Risiko, desto mehr Pflichten zu Transparenz und Dokumentation.
KI-Systeme sollen laut AI Act in verschiedene Risikoklassen eingestuft werden - je höher das Risiko, desto mehr Pflichten zu Transparenz und Dokumentation.
Foto: boscorelli - shutterstock.com

Nach einer dreitägigen Marathon-Sitzung hat sich die EU auf Regeln für den künftigen KI-Einsatz geeinigt. Der AI Act soll gewährleisten, dass KI-Systeme, die auf den europäischen Markt gebracht und in der EU eingesetzt werden, sicher sind und die Grundrechte und Werte der EU respektieren, heißt es in einer Mitteilung des Europäischen Rates. Außerdem ziele das Regelwerk auch darauf ab, Investitionen und Innovationen im Bereich der KI in Europa zu fördern.

Wie die EU den AI Act verhandelt hat:

Seit Jahren verhandeln die EU-Staaten über Regeln für die Verwendung von Künstlicher Intelligenz. Die EU-Kommission hatte das Gesetz im April 2021 auf den Weg gebracht. Nach diversen Schleifen durch die Länder und das EU-Parlament liefen seit Sommer 2023 die abschließenden Trilog-Verhandlungen. Bis zuletzt wurde hart gerungen. Eigentlich wollten alle Beteiligten den AI Act in einer letzten Sitzung am 7. Dezember 2023 unter Dach und Fach bringen. Doch daraus wurde nichts. Erst in der Nacht zum 9. Dezember meldete EU-Digitalkommissar Thierry Breton "Deal".

AI Act - das sind die wichtigsten Punkte

  • KI-Systeme sollen zukünftig in verschiedene Risikoklassen eingestuft werden. Je höher das potenzielle Risiko hinsichtlich von Auswirkungen auf persönliche Grundrechte oder die Gesellschaft allgemein, desto höher die Anforderungen an Transparenz und Dokumentation der entsprechenden KI-Anwendungen.

  • Bestimmte KI-Anwendungen sollen ganz verboten werden. Dazu zählen Systeme für eine breit angelegte Überwachung, beispielsweise durch Gesichtserkennung oder die Erfassung von Emotionen, ein Social Scoring sowie die Erfassung und Analyse von Daten, die Rückschlüsse auf die sexuelle Ausrichtung einzelner Personen sowie deren religiöse oder politische Überzeugungen erlauben. Es soll allerdings Ausnahmen geben: Die Verwendung biometrischer Echtzeit-Fernerkennungssysteme soll den Strafverfolgungsbehörden in bestimmten Situationen erlaubt werden, zum Beispiel wenn es um Die Abwehr von Bedrohungen wie Terroranschlägen oder die Suche nach Personen geht, die schwerster Verbrechen verdächtigt werden.

  • Vor allem die großen Basismodellen wie GPT von OpenAI, Googles Gemini oder Llama von Meta stehen unter besonderer Beobachtung. Laut dem AI Act müssen die Entwickler dieser sogenannten General-Purpose-AI- (GPAI-)Systeme besondere Anforderungen erfüllen. So müssten detaillierte Dokumentationen vorgelegt werden, anhand derer nachvollziehbar ist, wie dieses GPAI-Modelle trainiert und getestet worden seien. Außerdem müsse nachgewiesen werden, dass die eingesetzten Trainingsdaten urheberechtlich korrekt verwendet würden. KI-generierte Produkte wie Bilder oder Texte müssten mit einem Wasserzeichen versehen werden.

  • Die Regeln überwachen soll eine eigene KI-Behörde, die innerhalb der EU-Kommission eingerichtet werden soll. Darüber hinaus sollen auch nationale Behörden den KI-Einsatz in den einzelnen Ländern überwachen. Die dort gewonnenen Erkenntnisse würden in einem Europäischen Ausschuss für KI zusammengefasst und diskutiert. Außerdem soll mit dem AI Advisory board ein beratendes Gremium eingerichtet werden, in dem verschiedenen Interessengruppen auch aus der Zivilgesellschaft ihre Standpunkte einbringen könnten. Eine Art wissenschaftlicher Beirat soll die Politik bei der Durchsetzung des AI Act beraten.

  • Der AI Act soll nicht für Systeme gelten, die ausschließlich für militärische oder verteidigungspolitische Zwecke genutzt werden. Auch KI-Systeme, die ausschließlich zu Forschungs- und Innovationszwecken eingesetzt werden, fallen nicht unter das neue Regelwerk.

  • Wer gegen den AI Act verstößt, muss mit teilweise empfindlichen Geldstrafen rechnen. Die Höhe richtet sich nach dem weltweiten Jahresumsatz, beziehungsweise es wird ein bestimmter im Voraus festgelegter Betrag fällig - je nachdem, welcher Betrag höher ist. Bei Verstößen gegen die verbotenen KI-Anwendungen wären dies 35 Millionen Euro beziehungsweise sieben Prozent des Umsatzes, bei Verstößen gegen die Verpflichtungen des KI-Gesetzes 15 Millionen Euro beziehungsweise drei Prozent und bei Angabe falscher Informationen 7,5 Millionen Euro beziehungsweise 1,5 Prozent. Bei Bußgeldern für kleinere Unternehmen und Start-ups soll das Strafmaß etwas abgemildert werden.

  • Das Regelwerk soll Innovationen nicht abwürgen. KI-Sandboxes, die ein kontrolliertes Umfeld für die Entwicklung, Erprobung und Validierung innovativer KI-Systeme schaffen sollen, seien auch künftig möglich. Insgesamt enthalte der AI Act Auch Bestimmungen darüber, die die Erprobung von KI-Systemen unter realen Bedingungen und unter bestimmten Schutzvorkehrungen ermöglichten. Auch kleinere Unternehmen sollen hier nicht ausgeschlossen werden. Der dafür nötige Verwaltungsaufwand werde so gering wie möglich ausfallen, versprechen die Politiker.

In den nächsten Wochen wird der AI Act in seiner finalen Form ausformuliert und den EU-Gremien zur Ratifizierung vorgelegt. Deren Zustimmung gilt als Formsache. Nach Inkrafttreten des AI Act haben die einzelnen Mitgliedsstaaten zwei Jahre Zeit, das Regelwerk in nationales Recht umzuwandeln.

AI Act - das sind die ersten Reaktionen

Carme Artigas, Staatssekretärin für Digitalisierung und künstliche Intelligenz im Europäischen Rat:

Dies ist eine historische Errungenschaft und ein großer Meilenstein für die Zukunft! Die heutige Vereinbarung adressiert eine globale Herausforderung. Schließlich gehe es hier um ein sich schnell entwickelndes technologisches Umfeld in einem Schlüsselbereich für die Zukunft unserer Gesellschaften und Volkswirtschaften. Dabei ist es uns gelungen, ein äußerst heikles Gleichgewicht zu halten: die Innovation und die Verbreitung der künstlichen Intelligenz in ganz Europa zu fördern und gleichzeitig die Grundrechte unserer Bürgerinnen und Bürger uneingeschränkt zu schützen.

Patrick Breyer, Europaabgeordneter der Piratenpartei:

"Einer gesucht, alle überwacht? Mit dieser gesetzlichen Anleitung zu biometrischer Massenüberwachung kann unser Gesicht in der Öffentlichkeit immer und überall flächendeckend und verdachtslos gescannt werden. Die vermeintlichen Ausnahmen sind Augenwischerei - ständig sind doch Tausende Verdächtiger der im Gesetz genannten Straftaten durch Richterbeschluss gesucht. Unter ständiger Überwachung sind wir nicht mehr frei! In der Realität wurde mit biometrischer Massenüberwachung des öffentlichen Raums noch kein einziger Terrorist gefunden, kein einziger Anschlag verhindert, stattdessen führt sie zu unzähligen Festnahmen Unschuldiger und bis zu 99 Prozent Falschverdächtigungen. Das Gesetz legitimiert und normalisiert eine Kultur des Misstrauens. Es führt Europa in eine dystopische Zukunft eines misstrauischen High-Tech-Überwachungsstaats nach chinesischem Vorbild.

Bitkom-Hauptgeschäftsführer Bernhard Rohleder:

"Die Einigung zum AI Act ist ein politischer Schaufenster-Erfolg zu Lasten von Wirtschaft und Gesellschaft. Der Kompromiss schießt insbesondere bei der Regulierung generativer KI über das Ziel hinaus und greift tief in die Technologie ein. Die EU bindet damit den Unternehmen einen regulatorischen Klotz ans Bein. Das Risiko ist groß, dass europäische Unternehmen durch nicht praxistaugliche Vorhaben der rasanten technologischen Entwicklung künftig nicht folgen können. So wurde unnötigerweise vom bislang angestrebten anwendungsbezogenen und risikobasierten Ansatz abgewichen. Die sogenannten General Purpose AI Models werden als Technologie an sich reguliert, unabhängig von der konkreten Anwendung. Zwar soll dabei das bewährte und grundsätzlich begrüßenswerte Instrument der verpflichtenden Selbstregulierung durch sogenannte Codes of Practice genutzt werden. Allerdings sind diese nur für einen geringen Teil der gesamten Anforderungen vorgesehen, der größte Teil wird starr im Gesetz selbst fixiert. So besteht die Gefahr, dass dieses besonders wichtige KI-Feld durch Vorgaben eingeschränkt wird, die sich nicht an neue technologische Entwicklungen anpassen lassen. Wie schwierig solche notwendigen Änderungen werden dürften, haben bereits die Verhandlungen zum AI Act selbst gezeigt."

Auch in den USA denkt die Politik an eine KI-Regulierung:

Joachim Bühler, Geschäftsführer des TÜV-Verbands:

"Europa sendet mit dem AI Act ein klares Signal in die Welt: Künstliche Intelligenz muss sicher sein. Die Technologie darf Menschen nicht gefährden oder benachteiligen. Die in der KI-Verordnung verankerte risikobasierte Regulierung ist ein pragmatischer Ansatz für eine komplexe Technologie. Leistungsstarke Allzweck-KI-Systeme müssen in Zukunft grundlegende Sicherheits- und Transparenzanforderungen erfüllen. Die Europäische Union ist mit der Einigung auf den AI Act der erste Wirtschaftsraum der Welt, der ein Ökosystem für sichere und vertrauenswürdige KI schafft."

Geschäftsführer Viacheslav Gromov vom KI-Anbieter AITAD:

"Der EU AI Act macht mir große Sorgen. Ich sehe da die EU zwar als selbsternannten Vorreiter, aber im Protektionismus. Das Urheberrechts-Thema hat das Basismodell-Kritikalitätseinstufungsthema in den Schatten gestellt! Skandalös! Wir werden sehen, welche Abwanderung oder Hürden durch den Bürokratie-Wust der Dokumentation, technischen Nachweise und Datenbank-"Transparenz" wir bekommen - da freuen sich manche geopolitisch. Entweder es wird ein kämpfender Abgang der jungen Branche sein oder manche werden gerade solche wie Aleph Alpha abziehen, was deren Rettung sein kann. In den USA gabs ja nur sanfte Dekrete. Und der Vorschlag der drei Länder war ja erstaunlich spät, und auch (wie ich intern erfuhr) maßgeblich die Initiative von Frankreich. Dass Deutschland da nicht hervorgegangen ist, bedrückt mich, obwohl ich Habecks Trennung zwischen Technologie und Anwendung klug fand. Ich sehe eine weitere Chance: Das Thema KI-Haftung ist noch global weitgehend ungeklärt (siehe auch schlimme Folgen respektive das Zurückrudern der Testpilot-Projekte in LA/San Francisco). Hier hätten wir eine Chance durch Haftungsklärung, Haftungsbeschränkung und Sand Boxes sogar die KI-Branche weltweit als Standortfaktor zu uns anzuziehen, bevor die ebenfalls vorbereitete EU-Direktive zur Haftung kommt!"

Oliver Süme, Vorstandsvorsitzender des eco - Verband der Internetwirtschaft:

"Die EU wollte Vorreiter in Sachen KI Regulierung sein – ob Sie dem Digital und KI-Standort Europa mit der nun vorgelegten Einigung zum Europäischen AI Act einen Gefallen getan hat, darf allerdings bezweifelt werden. Ich bedaure insbesondere, dass es Deutschland, Frankreich und Italien nicht gelungen ist, sich mit ihrem Code-of-Conduct-Ansatz bei der Regulierung von Foundation Models und generativer KI gegen das Europäische Parlament durchzusetzen. Der Verzicht auf ein vollständiges Verbot biometrischer Echtzeit-Identifizierung im öffentlichen Raum dürfte hingegen zu einem weiteren Vertrauensverlust im Zusammenhang mit KI in der Bevölkerung führen und die Akzeptanz gegenüber neuen digitalen Technologien weiter schwächen. Alles in allem eine vertane Chance für die Aktivierung eines innovativen KI-Ökosystems in Europa. Bei der Umsetzung wird jetzt darauf zu achten sein, dass sich die Fehler der DSGVO nicht wiederholen. Wir brauchen ein echtes Level Playing Field für KI-Unternehmen in Europa."

Peter van der Putten, Director AI Lab bei Pegasystems:

"Obwohl das Europäische Parlament bis zuletzt über den Einsatz von KI-Systemen in den Bereichen Strafverfolgung und Biometrie diskutiert hat, konnte eine Einigung erzielt werden – jetzt geht es nur noch um die Details. Die EU-Gesetzgebung soll den sinnvollen Einsatz von KI fördern und ist darauf ausgelegt, Innovationen im Bereich der vertrauenswürdigen KI zu unterstützen, anstatt sie einzuschränken. Ohne die jetzt beschlossenen Regelungen kann es schlicht keine gleichen Wettbewerbsbedingungen geben und letztlich keine nachhaltige Zukunft für die KI. Es wird spannend sein, die Auswirkungen dieses „Brüsseler Effekts“ zu beobachten. Ich gehe davon aus, dass die Global Player die Kernideen als De-facto-Standard übernehmen werden, da sie diese ohnehin anwenden müssen, wenn sie mit Kunden und Bürgern in der EU zusammenarbeiten. Organisationen sind nun gesetzlich verpflichtet, sich ernsthaft mit dem verantwortungsvollen Einsatz von KI auseinanderzusetzen. Der KI-Gesetzesentwurf wird die notwendige Struktur und Orientierung bieten, um KI für die richtigen Zwecke und auf die richtige Art und Weise einzusetzen. Darüber hinaus soll er alle Beteiligten in die Lage versetzen, die zahlreichen Vorteile effektiv zu nutzen. Beispielsweise müssen Unternehmen expliziter und transparenter darlegen, wie sie automatisierte Entscheidungen treffen. Dazu gehört auch, welche Regeln und andere Lösungen sie verwenden und wie wichtige automatisierte Entscheidungen auf Voreingenommenheit getestet werden. Der AI Act ist ein wichtiger erster Schritt, der sowohl auf Rechtssicherheit als auch auf mehr Transparenz im Umgang mit der KI-Technologie abzielt. Die weitere Entwicklung bleibt auch vor dem Hintergrund der sich schnell verändernden Möglichkeiten und Anwendungsfälle von KI-Lösungen spannend zu beobachten. Für den Moment hat die EU aber die dringend benötigten Richtlinien auf den Weg gebracht."

Bernd Greifeneder, CTO und Gründer von Dynatrace:

"Auf der Suche nach mehr Transparenz im Bereich der generativen KI wird es wichtig sein, aufzuzeigen, wie diese mit anderen, besser erklärbaren Formen der KI - wie kausaler beziehungsweise prädiktiver KI - kombiniert werden können. Denn diese Arten der KI unterscheiden sich grundlegend von generativen Modellen, da sie keinem probabilistischen Ansatz folgen. Stattdessen sind sie auf Präzision ausgelegt und verwenden Graphen-basierte und statistische Modelle, die bereichsspezifische, kontextbezogene Daten nutzen. Dadurch eignen sie sich besser für spezielle Anwendungsfälle und sind resistenter gegen Halluzinationen und Verzerrungen. Sie sind außerdem so konzipiert, dass sie transparent sind, so dass die Nutzer darauf vertrauen können, dass die von ihnen generierten Antworten zu einer zuverlässigen Automatisierung führen, anstatt dass diese Erkenntnisse in der "Blackbox" der KI verborgen bleiben. Der EU AI Act wird einen guten Start haben, wenn es Klarheit über diese wichtigen Unterschiede zwischen KI-Modellen schafft."