Der EU AI Act: Eine neue Ära für künstliche Intelligenz in Europa
Künstliche Intelligenz („KI“) birgt zweifellos eine Vielzahl an Vorteilen und Chancen für unsere Gesellschaft. Mit KI kann etwa eine bessere Gesundheitsfürsorge, ein sicherer Verkehr, eine effizientere Fertigung sowie eine billigere und nachhaltigere Energieversorgung erreicht werden. Dabei dürfen jedoch nicht die Nachteile und Herausforderungen ignoriert werden, die mit dem Einsatz von KI verbunden sind. Von Datenschutz- und Sicherheitsbedenken bis hin zu Diskriminierung, Verzerrung („bias“) und ethische Fragen gibt es viele Aspekte, die bei der Entwicklung und dem Betrieb von KI-Systemen berücksichtigt werden müssen.
- 02. Oktober. 2023
[field title]
[field lso_team_function]
Um die Vorteile nutzen bzw. die Nachteile von KI reduzieren zu können, wagte die Europäische Kommission im April 2021 den weltweit ersten Versuch, KI zu regulieren, indem sie einen Vorschlag für ein Gesetz über KI (dem sogenannten „EU AI Act“) veröffentlichte (COM [2021] 206 final). Ziel der Verordnung ist es, „harmonisierte Vorschriften für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von Systemen der künstlichen Intelligenz“ in der EU zu schaffen. Seit 2021 hat sich nicht nur die Technik weiterentwickelt (wie etwa zuletzt ChatGPT gezeigt hat), sondern nimmt auch der Gesetzestext weiter Form an.
Zuletzt im Juni 2023 haben die Abgeordneten des Europäischen Parlaments mit großer Mehrheit ihre Position zum EU AI Act verabschiedet. Durch ihre Änderungen zum Kommissionsvorschlag wollen sie sicherstellen, dass KI-Systeme von Menschen entwickelt werden sowie sicher, transparent, nachvollziehbar, nicht diskriminierend und umweltfreundlich sind. Damit beginnen nun die Trilog-Verhandlungen über die endgültige Fassung der Verordnung.
Der nachfolgende Artikel schildert, was der EU AI Act unter KI-Systeme versteht und beleuchtet, welche Verpflichtungen für KI-Systeme bestehen. Zudem werden ein kritischer Blick auf die letzten Neuerungen sowie das Verhältnis zur DSGVO geworfen, bevor am Ende ein Resümee gezogen wird.
(Un-)Klarer Begriff von „Systeme der künstlichen Intelligenz“?
Im rechtlichen Kontext werden Legaldefinitionen verwendet, um Rechtsbegriffe zu erklären sowie deren Bedeutung festzulegen. Begriffsdefinitionen dienen vor allem dazu, Unklarheiten bei der Anwendung von Gesetzen zu vermeiden, bei der Interpretation zu helfen und eine einheitliche Auslegung sicherzustellen.
Der EU AI Act gilt für KI-Systeme, die innerhalb der EU in Verkehr gebracht, in Betrieb genommen oder genutzt werden. Somit beschränkt sich der Anwendungsbereich des EU AI Acts auf die Anwendung von KI-Systemen. Aus Gründen der Rechtssicherheit ist es daher wichtig, dass eine möglichst klare und verbindliche Definition besteht.
Hinsichtlich der Definition des Begriffs „Systeme der künstlichen Intelligenz“ („KI-System“) gibt es jedoch unterschiedliche Vorschläge:
- Laut Kommissionsvorschlag vom April 2021 handelt es sich bei KI-Systeme um Systeme, die mittels bestimmter Techniken und Konzepten (wie zB maschinelles Lernen, Deep Learning, Expertensysteme, statistische Ansätze etc) entwickelt und die Ziele vom Menschen festgelegt worden sind. Dazu bestimmt Anhang I die Techniken und Konzepte. Der Anhang ist sodann in Kritik geraten, weil der Katalog sehr unterschiedliche Konzepte erfasst, wenig trennscharf ist und so einen weiten Anwendungsbereich eröffnen würde.
- Hingegen formulierte das Europäische Parlament die Definition in ihrem Kompromisstext technologieneutral. Demnach sind unter KI-Systeme autonome Systeme zu verstehen, die mit ihren Ergebnissen ihre physische bzw. virtuelle Umgebung beeinflussen. Damit orientiert sich das Europäische Parlament an jener Definition, die die OECD verwendet.
Gemein haben alle Vorschläge, dass KI-Systeme Ergebnisse (wie etwa Vorhersagen, Empfehlungen oder Entscheidungen) hervorbringen, die die interagierende Umgebung beeinflussen kann. Unter Umfeldbeeinflussung fällt etwa die Steuerung einer Maschine, der algorithmische Börsenhandel oder das Einwirken einer Empfehlung des KI-Systems auf eine menschliche Entscheidungsperson.
Insgesamt ist die Definition der Kommission weiter als die des Parlaments. Jedoch werden Systeme recht bald einmal als KI-Systeme qualifiziert werden, da in der Regel immer eine Art Vorhersage, Empfehlung oder Entscheidung geliefert wird, die ihre Umgebung beeinflusst, indem diese eine bestimmte Handlung vornimmt (oder nicht).
Welche Anforderungen an KI-Systeme sieht der EU AI Act vor?
Wurde das System als KI-System eingestuft, ist im nächsten Schritt festzustellen, welche Anforderungen der EU AI Act an das KI-System vorsieht.
Dazu folgt der EU AI Act einem risikobasierten Ansatz. D.h. die Anforderungsintensität passt sich an jenes Risiko an, das vom konkreten KI-System ausgeht. Je größer und wahrscheinlicher ein drohender Schaden bzw Risiko ist, desto strenger ist das Normenkorsett des KI-Systems.
Der EU AI Act unterscheidet dazu in vier Risikostufen:
1. Verbotene Systeme mit unannehmbarem Risiko
2. Hochrisiko-KI-Systeme mit hohem Risiko
3. KI-Systeme mit geringem Risiko
4. KI-Systeme, die ein Risiko im Einzelfall bergen (sog. minimales Risiko)
Der Begriff „Risiko“ ist im EU AI Act nicht definiert. Entsprechend dem traditionellen Begriffsverständnis beschreibt Risiko die Kombination aus Wahrscheinlichkeit des Auftretens einer Gefahr, die einen Schaden verursacht, und dem Schweregrad dieses Schadens.
Abhängig von der Einordnung des KI-Systems in die Risikoklasse knüpft der EU AI Act an verschiedene Compliance- und Informationspflichten:
Wie die Tabelle zeigt, fokussiert sich das Regelungssystem klar auf Hochrisiko-KI-Systeme, weshalb diese Risikostufe die meisten Anforderungen des EU AI Acts treffen.
Auffällig ist auch, dass KI-Systeme, deren Risiko als minimal eingeschätzt wird, grundsätzlich freien Zugang zum europäischen Markt haben. D.h. KI-Systeme mit minimalem Risiko unterliegen keinen zusätzlichen Pflichten, die über bereits bestehende Rechtsvorschriften hinausgehen.
Letzte Neuerungen
Generative KI-Systeme
Die slowenische Ratspräsidentschaft hat mit zweckoffenen Systemen eine weitere Kategorie von KI-Systemen vorgeschlagen – diese werden auch als generative KI-Systeme, „general purpose“ Systeme oder „Foundation-Modelle“ bezeichnet. Solche Systeme können allgemeine Grundkompetenzen ausführen, wie etwa Bild- und Spracherkennung, Generierung von Audio- und Videodateien, Mustererkennung, Beantwortung von Fragen oder Übersetzungen. Somit stehen mit solchen KI-Systemen eine Vielzahl an Einsatzmöglichkeiten offen, auf denen weitere Trainingsvorgänge und Softwareentwicklung aufsetzen können.
Derzeit ist noch offen, ob solche generativen KI-Systeme auch den Pflichten des EU AI Acts unterworfen werden sollen. Die Abgeordneten zum Europäischen Parlament haben etwa in ihren Änderungen vorgesehen, dass solche Systeme nahezu denselben Verpflichtungen wie Hochrisiko-KI-Systeme unterworfen werden sollen. So fordert das Parlament, dass generative Modelle wie ChatGPT zusätzliche Transparenzanforderungen erfüllen und beispielsweise offenlegen müssen, dass die Inhalte durch KI generiert wurden. Zudem sollen diese Modelle so konzipiert sein, dass keine illegalen Inhalte generiert sowie die verwendeten Trainingsdaten veröffentlicht werden.
Dieser Änderungsvorschlag des Parlaments löst auf einigen Seiten Kritik aus: Durch die starke Regulierung von Foundation-Modellen, unabhängig vom Anwendungsfall, wären Entwickler von solchen Systemen mit unverhältnismäßigen Compliance-Kosten konfrontiert, wodurch die Entwicklung gehemmt werden könnte. Bemängelt wird auch, dass Entwickler von Foundation-Modellen für die Nichteinhaltung zur Verantwortung gezogen werden können. Dabei wird nicht zwischen kommerzieller und Open Source Software unterschieden. Da bei der Entwicklung von Foundation-Modellen nicht gänzlich ausgeschlossen werden kann, dass diese Systeme anschließend für schädliche Zwecke verwendet werden, würde diese Regelung zu einem erhöhten Risiko für Anbieter solcher Modelle führen.
Innovationsforderung
Um Innovation im Bereich KI zu fördern, haben die Abgeordneten Ausnahmen für Forschungstätigkeiten und KI-Komponenten unter Open-Source-Lizenzen erarbeitet. Die Vorschläge fördern Reallabore (sog. „regulatory sandboxes“) oder kontrollierte Umgebungen, die von öffentlichen Behörden eingerichtet werden, um KI vor ihrem Einsatz zu testen.
Beschwerderechte für Betroffene
Ebenso wollen die Abgeordneten zum Europäischen Parlament das Recht der betroffenen Bürger dahingehend stärken, indem Beschwerdemöglichkeiten über KI-Systeme einzurichten sind und sie Erklärungen der von KI-Systemen getroffenen Entscheidungen zu erhalten haben.
Verhältnis EU AI Act und DSGVO
Im Verhältnis zur DSGVO soll der EU AI Act allenfalls einen ergänzenden Charakter einnehmen. Der Anwendungsbereich beider EU-Rechtsakte unterscheidet sich klar: Während die DSGVO die Verarbeitung von personenbezogenen Daten regelt, reguliert der EU AI Act den Einsatz von KI-Systemen. Zusätzlich unterteilt der EU AI Act die im Zusammenhang mit KI verwendeten Datensätze hinsichtlich ihrer konkreten Verwendung in Trainings-, Validierungs- und Testdaten.
Hinsichtlich Hochrisiko-KI-Systeme gibt der EU AI Act klare Anforderungen für Data Governance vor (vgl. Art 10 EU AI Act). Zur Data Governance gehören unter anderem die Auswahl (geeigneter und qualitativer) Datensätze und die Identifizierung von möglichen Datenlücken. Grundsätzlich sollen Daten repräsentativ, vollständig, richtig, verfügbar, ausreichend und geeignet sein. Ein essenzielles Element der Data Governance umfasst auch die Vermeidung von möglichen Verzerrungen („bias“) und Diskriminierungen. Diese Anforderungen sind geeignet, die Qualität der Datensätze sicherzustellen und gleichzeitig die Gefahr von Diskriminierung aufgrund unzureichend gewählter Daten zu reduzieren.
Bezüglich der Verarbeitung von personenbezogenen Daten gibt es durch den EU AI Act (derzeit) keine neuen Vorgaben – vielmehr sind die diesbezüglichen Bestimmungen der DSGVO einzuhalten.
Resümee
Die Regulierung von KI ist ein geeignetes Instrument, um Sicherheit, Robustheit, Datenschutz, Compliance und Ethik von KI-Systemen zu gewährleisten. All diese Maßnahmen tragen dazu bei, das Vertrauen und die Akzeptanz in KI-Systeme zu erhöhen. Jedoch ist die Regulierung von KI eine komplexe Aufgabe, die eine ausgewogene Berücksichtigung der technologischen Entwicklung, der sozialen Auswirkungen und der rechtlichen Aspekte erfordert.
Wir von Leftshift One begrüßen grundsätzlich eine Regulierung von KI. Der Regelungsinhalt vom EU AI Act geht in vielen Bereichen in die richtige Richtung und wird bereits heute von uns umgesetzt. So sind Transparenz, Nachvollziehbarkeit, Trustworthy oder Datenhoheit seit jeher fixer Bestandteil in unserer Philosophie und werden auch in unseren Kundenprojekten proaktiv gelebt. Jedoch würden wir weitere Klarstellungen hinsichtlich der Definition von KI-Systemen begrüßen. Bei generativen KI-Systemen wäre wichtig, dass es zu keiner Überregulierung kommt, da vor allem in diesem Bereich die Entwicklung nicht verlangsamt werden darf.
Mit der positiven Abstimmung im EU-Parlament haben nun die weiteren Verhandlungen mit den EU-Mitgliedstaaten im Rat sowie der Kommission über die endgültige Ausgestaltung des Verordnungstextes begonnen. Voraussichtlich wird bis Ende 2023 eine Einigung erzielt werden. Wir werden die Entwicklungen weiter gespannt verfolgen.
Wie wir bei Leftshift One den AI EU Act schon heute in seinem Kern umsetzen, erzählen wir in einem nächsten Beitrag zu diesem spannenden Thema!
Am 26.7. findet unser nächster AI Legal Talk statt, indem die häufigsten Fragen rund um den KI-Projekte beantwortet werden. Mehr Informationen und Anmeldung.
Literaturverzeichnis
- Europäische Kommission, Ein europäischer Ansatz für künstliche Intelligenz, abrufbar unter https://digital-strategy.ec.europa.eu/de/policies/european-approach-artificial-intelligence (Stand 27.06.2023)
- Europäisches Parlament, KI-Gesetz: Ein Schritt näher an ersten Regeln für künstliche Intelligenz (11.05.2023), abrufbar unter https://www.europarl.europa.eu/news/de/press-room/20230505IPR84904/ki-gesetz-ein-schritt-naher-an-ersten-regeln-fur-kunstliche-intelligenz (Stand 27.06.2023
Philipp Nöhrer ist seit 4 Jahren der Inhouse AI Legal and Compliance Experte bei Leftshift One. Expertise und Publikationen:
- HTL Kaindorf für Informatik
- Diplomstudium Jus und Masterstudium IT-Recht & Management.
- Evaluating the trustworthiness of AI applications – Lessons learned from an audit
Nutzen sie jetzt die Vorteile von Generativer KI in ihrem Unternehmen.
Machen Sie den ersten Schritt in Richtung einer sicheren und maßgeschneiderten ChatGPT-Alternative für Ihr Unternehmen. Egal ob Sie E-Mails, Dateien und Dokumente klassifizieren oder Kundenanfragen beantworten wollen, wir finden gemeinsam mit Ihnen den passenden Anwendungsfall. Hinterlassen Sie hier Ihre Kontaktdaten und erhalten Sie exklusive Informationen darüber, wie Leftshift One Ihnen die Chancen der generativen KI eröffnen kann.
Zur Bearbeitung Ihrer Anfrage verarbeiten wir die Daten, die Sie im Formular gegenüber angeben. Vielen Dank fürs Ausfüllen!