AI Act: Wie die EU künstliche Intelligenz in Zukunft reguliert
von RA Mag. Stefan Gutbrunner
Systeme mit Künstlicher Intelligenz (KI) revolutionieren gerade unser Leben. Die Einsatzmöglichkeiten sind vielfältig. Artificial Intelligence kann beispielsweise zur Verbesserung von Prognosen, Optimierung von Abläufen oder Personalisierung von Dienstleistungen angewendet werden. Künstliche Intelligenz ist in der Lage, unser Leben in vielen Bereichen zu vereinfachen und die Effizienz in Unternehmen zu erhöhen. Die Anwendung von KI birgt jedoch Risiken, die die Europäische Union mit dem AI Act (KI-Gesetz) regulieren will.
Was ist der AI Act und warum ist er erforderlich?
Der AI Act ist der weltweit erste Rechtsrahmen für Künstliche Intelligenz. Das KI-Gesetz soll als Verordnung unmittelbar in den Mitgliedstaaten der EU gelten. Der Gesetzgebungsprozess ist so gut wie abgeschlossen. Derzeit liegt bereits ein zwischen dem Europäischen Parlament und dem Rat abgestimmter Vorschlag für einen Verordnungstext vor. Das EU-Parlament hat den Verordnungstext zuletzt förmlich angenommen.
Mit dem KI-Gesetz sollen in erster Linie die Gefahren beherrscht werden, die von Systemen der Künstlichen Intelligenz als einer sehr mächtigen Technologie ausgehen. Ein Risiko liegt zum Beispiel darin, dass die Algorithmen hinter den KI-Systemen für Menschen oft nicht gut nachvollziehbar sind. So kann es schwierig sein zu beurteilen, ob jemand ungerechtfertigt benachteiligt wurde, zum Beispiel bei einer beruflichen Entscheidung oder bei der Beantragung einer Leistung wie einem Kredit. Individuen können von negativen Entscheidungen betroffen sein, ohne zu wissen, auf welcher Grundlage diese Entscheidungen getroffen wurden. Darüber hinaus können KI-Systeme zur Echtzeit-Überwachung verwendet werden und die Grund- und Menschenrechte verletzen.
Die Europäische Union hat den von KI-Systemen ausgehenden Regulierungsbedarf erkannt. Dementsprechend sieht der AI Act Vorschriften für den Einsatz von KI-Anwendungen vor. Diese Vorschriften reichen von Dokumentations- und Informationspflichten über ein angemessenes Risikomanagement und Regeln in Bezug auf die Datenqualität bis hin zu gänzlichen Verboten.
Für wen wird der AI Act gelten?
Das KI-Gesetz wird für alle Anbieter:innen gelten, die KI-Systeme in die EU einführen oder in der EU betreiben. Das gilt unabhängig davon, in welchem Land die Anbieter:innen niedergelassen sind. Der AI Act wird zudem weltweit für Anbieter:innen gelten, wenn das von der KI-Anwendung hervorgebrachte Ergebnis in der EU verwendet wird. Ebenso soll der AI Act für Nutzer:innen von KI-Systemen gelten, die sich in der EU befinden (Artikel 2 AI Act).
Im vorgeschlagenen Verordnungstext wird ein KI-System als Software definiert, die auf der Grundlage von Konzepten des maschinellen Lernens, von logikgestützen Konzepten oder von statistischen Ansätzen Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren (Artikel 3 AI Act).
Der risikobasierte Ansatz des AI Act
Welche Vorschriften für ein konkretes System der Künstlichen Intelligenz gelten, hängt von seiner Risikoneigung ab. Das KI-Gesetz unterteilt KI-Anwendungen in vier Risikoklassen, je nachdem, welche Gefahren von einem KI-System ausgehen können:
- Inakzeptables Risiko (Unacceptable Risk): Alle KI-Systeme, die eine Bedrohung für die Sicherheit, die Lebensgrundlage und die Menschenrechte darstellen, werden verboten. Darunter fallen beispielsweise KI-Anwendungen, die Menschen unterschwellig beeinflussen (Verhaltensmanipulation), die die Schutzbedürftigkeit von Personen ausnutzen, die Menschen für Regierungen sozial bewerten (Social Scoring) oder für Strafverfolgungszwecke in Echtzeit überwachen sollen (Artikel 5 AI Act).
- Hohes Risiko (High Risk): Die meisten Vorschriften sieht der AI Act für KI-Anwendungen vor, die als hochriskant eingestuft sind. Deren Einsatz ist zwar zulässig, aufgrund der Risikoneigung aber stark reglementiert. Als hochriskant gelten nach dem vorgeschlagenen Verordnungstext KI-Systeme, die zum Beispiel in kritischer Infrastruktur (Verkehr, Wasser- oder Stromversorgung), in der Bildung (Bewertung von Prüfungen), auf dem Arbeitsmarkt (Reihung von Bewerbungen in Einstellungsverfahren) oder für bestimmte Dienstleistungen (Prüfung von Kreditwürdigkeit) zum Einsatz kommen. KI-Anwendungen mit hohem Risiko unterliegen strengen Verpflichtungen, bevor sie eingesetzt werden dürfen. Anbieter müssen unter anderem Maßnahmen zum Risikomanagement implementieren, die hohe Qualität der Datensätze für das maschinelle Lernen sicherstellen, die Rechenschritte protokollieren, um die Rückverfolgbarkeit der Ergebnisse zu gewährleisten, und eine umfangreiche Dokumentation mit allen erforderlichen Informationen bereithalten, damit die Behörden der Mitgliedsstaaten das KI-System überprüfen können (Artikel 6-51 AI Act).
- Begrenztes Risiko (Limited Risk): Für Artificial Intelligence, von der nur ein begrenztes Risiko ausgeht, sieht das KI-Gesetz im Wesentlichen Transparenzpflichten Darunter fallen beispielsweise Chatbots, bei denen die Nutzer künftig darauf aufmerksam zu machen sind, dass sie mit einem KI-System interagieren. Darüber hinaus müssen Anbieter sicherstellen, dass KI-generierte Inhalte identifizierbar sind. Von dieser Regelung sind unter anderem Deepfakes erfasst (Artikel 52 AI Act).
- Minimales Risiko (Minimal Risk): Das KI-Gesetz erlaubt die freie Nutzung von Künstlicher Intelligenz mit minimalem Risiko. Dazu gehören Anwendungen wie KI-fähige Videospiele oder Spamfilter. Die überwiegende Mehrheit der derzeit in der EU eingesetzten KI-Systeme fällt in diese Kategorie.
Wie geht es weiter und ab wann gilt der AI Act?
Das Europäische Parlament hat den zuvor mit dem Rat ausgearbeiteten Verordnungstext im März förmlich verabschiedet. Die Verordnung wird nun von Rechts- und Sprachsachverständigen abschließend überprüft. Sie dürfte noch vor Ende der Wahlperiode im Rahmen des sogenannten Berichtigungsverfahrens angenommen werden. Danach muss der Rat die neuen Vorschriften noch förmlich annehmen.
Die Verordnung tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft und ist – bis auf einige Ausnahmen – zwei Jahre nach ihrem Inkrafttreten uneingeschränkt anwendbar. Insbesondere Anbieter:innen von Systemen der Künstlichen Intelligenz sollten sich vorbereiten, um die neuen Verpflichtungen aus dem AI Act rechtzeitig zu erfüllen. Bei Verstößen gegen den AI Act drohen empfindliche Geldstrafen, die von der Art des Verstoßes und der Unternehmensgröße abhängen. Die Geldbußen reichen bis zu 35 Millionen Euro oder 6% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Artikel 71 AI Act).
Künstliche Intelligenz wird bereits jetzt vielfach verwendet. Eine Auseinandersetzung mit ihrem Potenzial und ihren Risiken lohnt sich unabhängig vom AI Act. Wir beobachten, dass vor allem Fragen rund um den sicheren Einsatz von KI in Unternehmen sowie rund um (die Beschaffung von) Daten für das Training von Künstlicher Intelligenz immer wichtiger werden.
Weiterlesen:
ChatGPT & Co im Büro: Guidelines für den Einsatz von KI im Unternehmen
CHG im Interview: Data Act – Gamechanger für die Datenwirtschaft?
Data Sharing: Ein Überblick zum Datenlizenzvertrag
Weiterhören
CHG im Podcast des Linde-Verlags zu KI-Guidelines: https://lindemedia.at/news/digital-monitor/191-3-minuten-recht-ki-guidelines
Disclaimer
Diese Ausführungen stellen eine allgemeine Information über den AI Act dar. Der Beitrag kann die Beratung im Einzelfall aber nicht ersetzen. Für Ihre Fragen zu diesem Thema stehen wir gern zur Verfügung.
Stefan Gutbrunner ist Rechtsanwalt bei CHG Czernich Rechtsanwälte Wien.