AI-Act: So will die EU Künstliche Intelligenz in die Schranken weisen
Noch im Juni soll in der EU der AI-Act in Kraft treten. Er regelt verschiedene Aspekte der Entwicklung und Nutzung von Künstlicher Intelligenz. In erster Linie durch Firmen, Behörden und Forschungseinrichtungen. Was heisst das genau?
Künstliche Intelligenz (KI) wird in der Europäischen Union Regeln unterworfen. Dazu tritt noch im Juni der AI-Act in Kraft – ein Gesetz, das Rat und Parlament kürzlich verabschiedet haben. Die Regeln sollen die Gefahren von KI-Modellen in Schach halten.
Bis das Gesetz in allen Facetten umgesetzt ist, dauert es bis zu zwei Jahre. Allerdings gibt es für einzelne Ausnahmen kürzere, aber auch längere Übergangsfristen.
Der AI-Act in aller Kürze
Das Gesetz geht von einem risikobasierten Ansatz aus. Das bedeutet: Je höher das, dass die Anwendung eines Modells Menschen schaden können, desto höher ist die Hürde, dass es benutzt werden darf. Allerdings gibt es gewisse Ausnahmen. So zum Beispiel für Strafverfolgungsbehörden. Darüber sind Datenschützer und Menschenrechtsgruppen gar nicht erfreut.
Wie funktioniert der Risikoansatz?
Es gibt drei Risikogruppen (eigentlich vier, wobei die zwei tiefsten zusammengefasst werden):
Ein unannehmbares Risiko
KI-Anwendungen gelten gemäss Artikel 5, Nummer 1 als «unannehmbar riskant», wenn sie:
- menschliches Verhalten manipulieren
- einem Verhalten oder einer Charakteristik eines Menschen einen Wert zuweisen (Social Credit / Social Scoring)
- menschliche Schwächen oder Schutzbedürftigkeit ausnutzen
- in Echtzeit öffentliche Systeme erkennen und so eine biometrische Identifizierung eines Menschen ermöglichen.
Beim letzten Punkt streiten sich einige Akteure noch. Dafür gibt es zwei Gründe. Erstens: Es wurden hier zwei Ausnahmen beschlossen – Terrorismusabwehr und Verfolgung schwerer Straftaten. Zweitens: Die Definition des Begriffs «Echtzeit» ist nicht klar. Kritische Stimmen befürchten, dass auch Sekundenbruchteile nach einem Moment als nicht mehr als «Echtzeit» definiert werden können – und darum das Verbot der biometrischen Identifizierung gebeugt werde.
Ein hohes Risiko (Hochrisiko-KI-Systeme)
Als KI-System mit hohem Risiko gelten Modelle, die eine erhebliche Gefahr für Gesundheit, Sicherheit oder Grundrechte darstellen. Zum Beispiel Systeme, die im Strassenverkehr eingesetzt werden, in Krankenhäusern, bei der Strafverfolgung oder im Bankwesen (und viele mehr).
Quelle: Shutterstock
Wenn ein System als «Hochrisiko-KI-System» eingestuft wird, gelten besondere Regeln. Anbieter haften dafür, dass ihre Systeme diese einhalten. Das wird kontrolliert. Sie müssen zum Beispiel ein sogenanntes Risikomanagement- und ein Qualitätssystemsystem (Artikel 9 aufbauen. Auch müssen sie erklären, wie es sich für die Nutzer auswirkt, wenn ihre KI-Modelle genutzt werden und vorher eine Schulung bieten und noch einiges mehr. Dies ist im Artikel 8 (ff.) geregelt.
Ein geringes oder minimales Risiko
Ob und wie sich KI-Modelle mit geringem oder minimalem Risiko definieren, erfährst du im AI-Act unter Artikel 52. Es sind Systeme, die mit Menschen interagieren oder Inhalte erzeugen.
Darunter fallen beispielsweise Chatbots, In-Game-KI, Spamfilter, Suchalgorithmen und Deep Fakes. Letztere müssen aber als solche gekennzeichnet werden. Wenn solche Systeme mit Personen interagieren, muss der Person das bekanntgegeben werden. Beispiel: Verwendet ein Online-Shop ChatGPT für Support-Angelegenheiten, muss im Chatfenster klar stehen, dass du nicht mit einem Menschen, sondern mit einer KI sprichst.
Übrigens: Falls du für ein Unternehmen an einem AI-Modell arbeitest, kannst du durch einen Fragebogen herausfinden, in welche Kategorie das Modell eingeteilt werden könnte. Danach siehst du die Verpflichtungen und wie bald nach Einführung des AI-Acts du diesen Folge leisten musst.
Wie genau definiert die EU Künstliche Intelligenz
Die EU fasst die Definition von KI ziemlich weit. Sie gilt nicht nur für Large Language Models wie ChatGPT oder Gemini. In einem 18-seitigen Dokument steht ausführlich, was alles dazu zählt.
Ich erspare dir die Lektüre und liste dir die definitorischen Merkmale auf. Eine Software gilt als Künstlichen Intelligenz, wenn sie:
- Konzepte des Machine- oder Deep Learnings nutzt ODER
- Logik- und wissensgestützte Konzepte nutzt ODER
- Statistische Ansätze, Schätz-, Such- und Optimierungsmethoden beherrscht
um damit
- von Menschen festgelegte Ziele zu verfolgen ODER
- Ergebnisse oder Inhalte prognostiziert oder empfiehlt ODER
- ihr Umfeld beeinflusst
Wer muss sich an diesen AI-Act halten?
Grundsätzlich alle, die ein KI-System entwickeln, zur Verfügung stellen oder selber nutzen. Also in erster Linie Firmen, Forschungsinstitute oder Behörden. Ausnahmen gibt es aber auch hier. Zum Beispiel greift der AI-Act nicht wie gewohnt, wenn es sich um ein KI-System handelt, welches ausschliesslich für militärische Zwecke verwendet wird. Wichtig zu wissen: Es betrifft auch Firmen in der Schweiz und in anderen Ländern der Welt. Sobald ein KI-Modell in der EU erreichbar ist und eingesetzt werden kann.
Wer prüft, ob das Gesetz eingehalten wird?
Zunächst sind die einzelnen Mitgliedsstaaten dafür verantwortlich, dass der AI-Act befolgt wird. Diese sind verpflichtet, Aufsichtsbehörden zur Überwachung einzurichten. Ausserdem gibt es auf EU-Ebene das Amt für Künstliche Intelligenz. Dieses arbeitet mit den nationalen Behörden zusammen und koordiniert etwa gemeinsame Aktionen.
Quelle: consilium.europa.eu
Wer sich nicht an den AI-Act hält, kann bestraft werden. Wie schon beim Digital Markets Act und anderen EU-Gesetzen, sind die Strafen nicht von Pappe. Bei verbotenen KI-Praktiken werden Bussen bis zu 35 Millionen Euro fällig – oder bis sieben Prozent des weltweiten Jahresumsatzes der fehlbaren Firma. Deren Jahresumsatz beträgt 134.9 Milliarden US-Dollar. Eine Busse für Meta könnte also bis zu 9.4 Milliarden US-Dollar betragen, sieben Prozent des Jahresumsatzes von 135 Milliarden.
Bei Verstössen im Hochrisikobereich legt die EU die Bussengrenze bei 15 Millionen oder drei Prozent des Jahreseinkommens fest. Die Übermittlung von Falschinformationen kostet darüber hinaus bis zu 7,5 Millionen Euro oder ein Prozent des Jahresumsatzes.
Wie geht es nun weiter?
Dieser Tage tritt der AI-Act in Kraft. Binnen zwei Jahren danach sind alle Fristen abgelaufen und er ist vollständig anwendbar. Aber natürlich gibt es auch hier verschiedene Fristen:
- KI-Systeme mit unannehmbaren Risiko werden binnen sechs Monaten verboten und dürfen dann nicht mehr verwendet werden. Also zum Ende des Jahres 2024.
- Für KI-Systeme im Allgemeinen gelten die Anwendungsregeln nach 12 Monaten. Darunter fallen etwa ChatGPT oder Google Gemini.
- Bei KI-Systemen, die als Hochrisiko eingestuft werden und die heute schon existieren, dauert es länger. Dort greift der AI-Act erst nach 36 Monaten, weil die Anpassung gemäss EU länger dauern und heikler sind.
Die zuvor erwähnten KI-Aufsichten und die entsprechende Struktur müssen die EU-Staaten 12 Monate nach dem Inkrafttreten etabliert haben.
Jedes Jahr – auch nach Ablauf der Fristen – kontrolliert die EU-Kommission, ob sie an der Kategorisierung oder sonst am Gesetz etwas ändern müssen. Schliesslich entwickelt sich KI rasant weiter.
Titelbild: Shutterstock
33 Personen gefällt dieser Artikel
Seit ich herausgefunden habe, wie man bei der ISDN-Card beide Telefonkanäle für eine grössere Bandbreite aktivieren kann, bastle ich an digitalen Netzwerken herum. Seit ich sprechen kann, an analogen. Wahl-Winterthurer mit rotblauem Herzen.
