Veröffentlicht: 8. April 2024
Mitwirkende: Matt Kosinski
Das Gesetz über künstliche Intelligenz der EU (KI-Gesetz der EU) ist ein Gesetz, das die Entwicklung und Nutzung von künstlicher Intelligenz in der Europäischen Union (EU) regelt. Das Gesetz verfolgt bei der Regulierung einen auf Risiken basierenden Ansatz, indem es unterschiedliche Regeln für KI-Systeme anwendet, je nachdem, welche Bedrohungen sie für die menschliche Gesundheit, Sicherheit und Rechte darstellen.
Das KI-Gesetz der EU, das als weltweit erstes umfassendes Framework für KI-Anwendungen gilt, verbietet einige KI-Anwendungsbereiche vollständig und legt für andere strenge Sicherheits- und Transparenzstandards fest.
Das Gesetz schreibt auch gezielte Regeln für die Entwicklung, das Training und den Einsatz von KI-Modellen mit allgemeinem Verwendungszweck vor, wie z. B. die Foundation Models, auf denen ChatGPT und Google Gemini basieren.
Die Strafen für die Nichteinhaltung können bis zu 35.000.000 EUR oder 7 % des weltweiten Jahresumsatzes eines Unternehmens betragen, je nachdem, welcher Betrag höher ist.
So wie die Datenschutz-Grundverordnung (DSGVO) der EU andere Nationen zur Verabschiedung von Datenschutzgesetzen inspiriert hat, gehen Experten davon aus, dass das KI-Gesetz der EU die Entwicklung von strengeren KI-Governance- und Ethikstandards weltweit vorantreiben wird.
Registrieren und IDC-Bericht lesen
Das KI-Gesetz der EU gilt für Anbieter, Anwender, Importeure und Vertreiber von KI-Systemen und -Modellen in der EU.
Das Gesetz definiert KI-Systeme als Systeme, die mit einem gewissen Grad an Autonomie Eingaben verarbeiten können, um Outputs zu erzeugen, die Menschen und Umgebungen beeinflussen. Zu diesen einflussreichen Outputs gehören Dinge wie Vorhersagen, Entscheidungen und Inhalte.
Im Gesetzestext bezieht sich der Begriff KI-Modell hauptsächlich auf künstliche Intelligenz mit allgemeinem Verwendungszweck (General-purpose AI, GPAI), die für die Entwicklung verschiedener KI-Systeme angepasst werden kann. Zum Beispiel ist das große Sprachmodell GPT-4 ein KI-Modell. Der ChatGPT-Chatbot, der auf GPT-4 basiert, ist ein KI-System.
Weitere wichtige Begriffe im Gesetz:
Das KI-Gesetz der EU gilt für Personen und Unternehmen außerhalb Europas, wenn ihre KI-Tools oder die Outputs dieser Tools in der EU verwendet werden.
Nehmen wir an, ein Unternehmen in der EU sendet Kundendaten an einen Dritten außerhalb der EU, und dieser Dritte verwendet KI, um die Kundendaten zu verarbeiten, und sendet die Ergebnisse an das Unternehmen zurück. Da das Unternehmen den Output des KI-Systems dieses Drittanbieters innerhalb der EU nutzt, ist der Drittanbieter an das KI-Gesetz der EU gebunden.
Anbieter außerhalb der EU, die KI-Services in der EU anbieten, müssen autorisierte Vertreter in der EU benennen, um die Einhaltung der Vorschriften in ihrem Namen zu koordinieren.
Der Geltungsbereich des Gesetzes ist zwar weit gefasst, aber einige Anwendungsbereiche der KI sind davon ausgenommen. Dazu gehören:
Das KI-Gesetz der EU enthält eine Reihe von Vorschriften, die die verantwortungsvolle Nutzung und Entwicklung von KI unterstützen sollen. Zu den wichtigsten Bestimmungen gehören das Verbot gefährlicher KI, Standards für die Entwicklung und den Einsatz von KI mit hohem Risiko, Transparenzverpflichtungen und Regeln für Modelle mit allgemeinem Verwendungszweck.
Es ist erwähnenswert, dass viele der Feinheiten des KI-Gesetzes der EU in Bezug auf die Umsetzung noch nicht geklärt sind. So heißt es in dem Gesetz, dass die Europäische Kommission weitere Leitlinien zu einzelnen Anforderungen veröffentlichen wird, so zum Beispiel im Zusammenhang mit Plänen zur Überwachung nach dem Markteintritt und bzgl. Zusammenfassungen von Schulungsdaten.
Das KI-Gesetz der EU teilt KI-Systeme je nach Risikostufe in verschiedene Kategorien ein. Der Begriff Risiko bezieht sich hier auf die Wahrscheinlichkeit und den Schweregrad des potenziellen Schadens, den eine KI für die Gesundheit, Sicherheit oder die Menschenrechte verursachen könnte.
Im Großen und Ganzen befasst sich das Gesetz mit vier Kategorien von KI-Risiken:
· Inakzeptables Risiko
· Hohes Risiko
- Begrenztes Risiko
· Minimales Risiko
KI-Anwendungen, die ein inakzeptables Risikoniveau darstellen, sind verboten. Das KI-Gesetz der EU listet explizit alle verbotenen KI-Praktiken auf, darunter:
Die Europäische Kommission behält sich das Recht vor, diese Liste zu überprüfen und zu ändern, sodass es möglich ist, dass in Zukunft weitere KI-Anwendungsfälle verboten werden.
Der Großteil des Gesetzes befasst sich mit KI-Systemen mit hohem Risiko. Es gibt zwei Möglichkeiten, wie ein System nach dem KI-Gesetz der EU die Einstufung „hohes Risiko“ erhalten kann: wenn es in einem regulierten Produkt verwendet wird oder wenn es ausdrücklich als risikoreich eingestuft wird.
Produkte in einigen Bereichen, wie Spielzeug, Funkgeräte und medizinische Geräte, werden bereits durch bestehende EU-Gesetze reguliert. Alle KI-Systeme, die als Sicherheitskomponenten dieser regulierten Produkte dienen oder die selbst als regulierte Produkte fungieren, gelten automatisch als Systeme mit hohem Risiko.
Das Gesetz listet auch bestimmte KI-Anwendungsfälle auf, die immer die Einstufung „hohes Risiko“ erhalten. Dazu gehören:
Wie bei der Liste der verbotenen KI kann die Europäische Kommission diese Liste in Zukunft aktualisieren.
Anbieter von Systemen mit hohem Risiko müssen diese Regeln befolgen:
Wenn ein KI-System in eine der Kategorien mit hohem Risiko fällt, aber keine erhebliche Bedrohung für Gesundheit, Sicherheit oder Rechte darstellt, können Anbieter auf diese Anforderungen verzichten. Der Anbieter muss nachweisen, dass das System kein Risiko darstellt, und die Aufsichtsbehörden können Unternehmen für eine falsche Klassifizierung von Systemen bestrafen.
KI-Systeme mit begrenztem Risiko sind Systeme, die bestimmte Transparenzverpflichtungenerfüllen. Dabei handelt es sich um Regeln, die bestimmte KI-Typen unabhängig von ihrem Risikoniveau einhalten müssen. Zu diesen Regeln gehören:
Die Kategorie mit minimalem Risiko (manchmal auch als „Kategorie mit minimalem oder keinem Risiko“ bezeichnet) umfasst KI-Tools, die nicht direkt mit Menschen interagieren oder die, wenn sie es tun, nur sehr geringe wesentliche Auswirkungen haben. Beispiele hierfür sind E-Mail-Spam-Filter und KI in Videospielen. Viele gängige KI-Anwendungsfälle lassen sich heute in diese Kategorie einordnen.
Die meisten Regeln des KI-Gesetzes gelten nicht für KI mit minimalem Risiko (obwohl einige möglicherweise die oben aufgeführten Transparenzverpflichtungen erfüllen müssen).
Da GPAI-Modelle („General purpose artificial intelligence“) so anpassungsfähig sind, kann es schwierig sein, sie nach dem Risikoniveau zu kategorisieren. Aus diesem Grund enthält das KI-Gesetz der EU eine separate Regelung, die explizit für GPAI gilt.
Alle Anbieter von GPAI-Modellen müssen Folgendes sicherstellen:
Die meisten kostenlosen Open-Source-GPAI-Modelle sind von den ersten beiden Anforderungen ausgenommen. Sie müssen lediglich die Urheberrechtsgesetze einhalten und Zusammenfassungen der Trainingsdaten zur Verfügung stellen.
Nach dem KI-Gesetz der EU stellen einige GPAI-Modelle ein systemisches Risiko dar. Man spricht von einem systemischen Risiko, wenn ein Modell das Potenzial hat, der öffentlichen Gesundheit, der Sicherheit oder den Grundrechten ernsthaften, weitreichenden Schaden zuzufügen.
Dem Gesetz zufolge stellt ein Modell ein systemisches Risiko dar, wenn es „erhebliche Auswirkungen“ haben kann. Im Wesentlichen bedeutet dies, dass die Fähigkeiten des Modells denen der fortschrittlichsten verfügbaren GPAI entsprechen oder diese übertreffen.
Das Gesetz verwendet Trainingsressourcen als Schlüsselkriterien für die Identifizierung systemischer Risiken. Wenn die kumulative Rechenleistung, die zum Trainieren eines Modells verwendet wird, mehr als 1025 Gleitkommaoperationen (Floating Point Operations, FLOPs) beträgt, wird davon ausgegangen, dass es hohe Auswirkungen haben kann und ein systemisches Risiko darstellt.
Die Europäische Kommission kann ein Modell auch als systemisches Risiko einstufen, wenn sie feststellt, dass das Modell ähnliche Auswirkungen hat wie die zuvor erwähnten Fähigkeiten mit hohen Risiken, auch wenn das Modell den FLOPs-Schwellenwert nicht erreicht.
GPAI-Modelle, die ein systemisches Risiko darstellen – einschließlich kostenloser Open-Source-Modelle – müssen alle oben genannten Anforderungen sowie einige zusätzliche Verpflichtungen erfüllen:
Anbieter von GPAI-Modellen können die Einhaltung der Vorschriften sicherstellen, indem sie freiwillige Verhaltensregeln übernehmen, die das KI-Büro der EU derzeit ausarbeitet. Man geht davon aus, dass die Verhaltensregeln innerhalb von neun Monaten nach Inkrafttreten des Gesetzes fertiggestellt werden. Anbieter, die diese Verhaltensregeln nicht übernehmen, müssen die Einhaltung der Vorschriften auf andere Weise nachweisen.
Anbieter, Anwender, Importeure und Distributoren sind im Allgemeinen dafür verantwortlich, dass die KI-Produkte, die sie entwickeln, verwenden oder in Umlauf bringen, den Vorschriften entsprechen. Sie müssen Beweise für die Einhaltung der Vorschriften dokumentieren und diese auf Anfrage den Behörden vorlegen. Sie müssen auch Informationen austauschen und zusammenarbeiten, um sicherzustellen, dass jedes Unternehmen in der KI-Lieferkette das KI-Gesetz der EU einhalten kann.
Anbieter und Anwender müssen außerdem sicherstellen, dass Mitarbeiter oder andere Parteien, die im Namen des Unternehmens mit KI arbeiten, über die erforderlichen KI-Kenntnisse verfügen, um verantwortungsvoll mit KI umzugehen.
Über diese allgemeinen Anforderungen hinaus hat jede Partei ihre eigenen spezifischen Verpflichtungen.
Importer und Distributoren müssen sicherstellen, dass die KI-Systeme und -Modelle, die sie in Umlauf bringen, dem KI-Gesetz der EU entsprechen.
Ein Importeur oder Distributor gilt als KI-Anbieter, wenn er ein Produkt mit seinem eigenen Namen oder seinem Markenzeichen versieht oder eine wesentliche Änderung am Produkt vornimmt. In diesem Fall muss der Importeur oder Distributor allen im Gesetz dargelegten Pflichten eines Anbieters nachkommen.
Die Durchsetzung des Gesetzes wird auf mehrere verschiedene Stellen aufgeteilt.
Auf EU-Ebene hat die Europäische Kommission das KI-Büro eingerichtet, um die einheitliche Anwendung des Gesetzes in den Mitgliedstaaten zu koordinieren. Das KI-Büro wird auch die GPAI-Regeln direkt durchsetzen, mit der Möglichkeit, Unternehmen zu bestrafen und Korrekturmaßnahmen zu erzwingen.
Einzelne Mitgliedsstaaten benennen nationale zuständige Behörden, um alle Nicht-GPAI-Vorschriften durchzusetzen. Das Gesetz verlangt, dass jeder Staat zwei verschiedene Behörden einrichtet: eine Marktaufsichtsbehörde und eine Benachrichtigungsbehörde.
Die Marktaufsichtsbehörden stellen sicher, dass die Unternehmen das KI-Gesetz der EU einhalten. Sie können Beschwerden von Verbrauchern entgegennehmen, Verstöße untersuchen und Geldbußen gegen Unternehmen verhängen.
Benachrichtigungsbehörden beaufsichtigen Dritte, die Konformitätsbewertungen für neue risikoreiche KI-Produkte durchführen.
Beim Einsatz verbotener KI-Praktiken können Unternehmen mit einer Geldstrafe von bis zu 35.000.000 EUR oder 7 % des weltweiten Umsatzes belegt werden, je nachdem, welcher Betrag höher ist.
Bei anderen Verstößen, einschließlich Verstößen gegen die GPAI-Regeln, können Unternehmen mit einer Geldstrafe von bis zu 15.000.000 EUR oder 3 % des weltweiten Umsatzes belegt werden, je nachdem, welcher Betrag höher ist.
Für die Angabe falscher oder irreführender Informationen an Behörden können Unternehmen mit einer Geldstrafe von bis zu 7.500.000 EUR oder 1 % ihres Umsatzes belegt werden, je nachdem, welcher Betrag höher ist.
Insbesondere sieht das KI-Gesetz der EU unterschiedliche Regeln für die Verhängung von Geldstrafen für Start-ups und andere kleine Unternehmen vor. Für diese Unternehmen ist die Geldbuße der niedrigere der beiden möglichen Beträge. Dies steht im Einklang mit den allgemeinen Bemühungen des Gesetzes, sicherzustellen, dass die Anforderungen nicht so hoch sind, dass kleinere Unternehmen vom KI-Markt ausgeschlossen werden.
Das Europäische Parlament genehmigte das KI-Gesetz der EU am 13. März 2024. Der Europäische Rat wird eine letzte Kontrollrunde abschließen und das Gesetz wird 20 Tage nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft treten. Beobachter gehen davon aus, dass dies im Mai 2024 geschehen wird.
Das Gesetz wird erst 2026 in vollem Umfang in Kraft treten, wobei verschiedene Bestimmungen nach und nach eingeführt werden:
Auf nur einer Plattform können Sie KI in Ihrem Unternehmen bereitstellen und integrieren, alle Datenquellen verwalten und verantwortungsvolle KI-Workflows beschleunigen.
Vereinfachen Sie Datagovernance, Risikomanagement und die Einhaltung gesetzlicher Vorschriften mit IBM OpenPages – einer hoch skalierbaren, KI-gestützten und einheitlichen GRC-Plattform.
Unser neuestes E-Book skizziert die wichtigsten Bausteine der KI-Governance und stellt ein detailliertes KI-Governance-Framework vor, das Sie in Ihrem Unternehmen anwenden können.
Entdecken Sie das transformative Potenzial von verantwortungsvoller KI für Ihr Unternehmen und erfahren Sie mehr über die entscheidenden Treiber für die Einführung ethischer KI-Praktiken.
Nehmen Sie an der Diskussion teil, warum Unternehmen die KI-Governance priorisieren müssen, um verantwortungsvolle KI zu implementieren.
Erfahren Sie, wie Data Governance sicherstellt, dass Unternehmen das Beste aus ihren Datenbeständen herausholen.
Erklärbare KI ist für ein Unternehmen von entscheidender Bedeutung, wenn es darum geht, Vertrauen zu schaffen, wenn KI-Modelle in der Produktion eingesetzt werden.
Die KI-Ethik ist ein multidisziplinäres Gebiet, das sich mit der Frage befasst, wie die positiven Auswirkungen der KI optimiert und gleichzeitig Risiken und negative Folgen reduziert werden können. Erfahren Sie mehr über den Ansatz von IBM im Bereich KI-Ethik.