Das geplante Gesetz der EU über künstliche Intelligenz

Sie ist in aller Munde und bekommt wohl bald auch ein eigenes EU-Gesetz: die künstliche Intelligenz (KI). Am 13. März 2024 hat das Europäische Parlament das sogenannte KI-Gesetz – auch: AI Act (vom englischen Ausdruck Artificial Intelligence) – verabschiedet. Damit ist der formale Gesetzgebungsprozess zwar noch nicht ganz abgeschlossen (es fehlt noch die Zustimmung des Rates), aber doch sehr weit fortgeschritten. Grund genug, um unter die Lupe zu nehmen, wie die EU KI-Anwendungen regulieren will.

Vor der Frage, was im Entwurf für das KI-Gesetz (das eigentliche eine Verordnung ist und einen ganz schön langen Titel hat) steht, stellt sich eine andere: Was ist KI eigentlich? Das ist gar nicht so leicht zu beantworten. Nach einem Definitionsansatz ist KI die Fähigkeit einer Maschine, menschliche Fähigkeiten wie logisches Denken, Lernen, Planen und Kreativität zu imitieren. Auch das KI-Gesetz enthält eine Definition, konkret für „KI-Systeme“, die ist jedoch etwas komplizierter.

Gemäß Art 3 Ziffer 1 KI-Gesetz-Entwurf ist ein KI-System „ein maschinengestütztes System, das für einen in wechselndem Maße autonomen Betrieb ausgelegt [ist], das nach seiner Einführung anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ergebnisse wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen hervorgebracht werden, die physische oder virtuelle Umgebungen beeinflussen können“. Alles klar?

Von autonom fahrenden Autos und Chatbots über Industrieroboter hin zu ChatGPT sind die Anwendungen jedenfalls schon heute zahlreich und dürften noch weiter zunehmen.

No risk, no regulation

Der 113 Artikel und 13 Anhänge umfassende Entwurf des KI-Gesetzes unterscheidet im Wesentlichen verschiedene Risikokategorien des KI-Einsatzes und knüpft daran dementsprechende Rechtsfolgen. Unter „Risiko“ ist dabei die Kombination aus der Wahrscheinlichkeit eines Schadens und der Schwere dieses Schadens zu verstehen.

Unterschieden werden verbotene Praktiken im KI-Bereich, Hochrisiko-Systeme, transparenzbedürftige KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck (und darunter solche mit systemischem Risiko). Für KI-Systeme, die kein oder nur ein minimales Risiko bergen (beispielsweise Spamfilter), gibt es schließlich keine Vorgaben.

Zu den ausdrücklich verbotenen Praktiken gehören z. B. Systeme zur Emotionserkennung am Arbeitsplatz und in Schulen. Auch die Bewertung von sozialem Verhalten ist unzulässig, wenn sie zu einer ungerechtfertigten Schlechterstellung von Personen führt. Selbst für Strafverfolgungsbehörden ist überdies die Nutzung von biometrischen Echtzeit-Fernidentifizierungssystemen (die der Erkennung von Personen dienen) nur unter strengen Voraussetzungen erlaubt, etwa um gezielt nach vermissten Personen zu suchen oder einen Terroranschlag zu verhindern.

Bei Missachtung des Verbots dieser KI-Praktiken werden Geldbußen von bis zu 35.000.000 (= 35 Millionen!) Euro oder – im Falle von Unternehmen – von bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt.

Zwischen Luftfahrtsicherheit und Daunenjacken-Papst

Als Hochrisiko-System sind z. B. Anwendungen zu werten, die als Sicherheitskomponenten bei der zivilen Luftfahrt dienen. Für solche Systeme bestehen detaillierte Vorgaben und Pflichten der Betreiberinnen, es bedarf etwa eines Qualitätsmanagementsystems und menschlicher Aufsicht über die Anwendung während ihrer Verwendung.

Bestimmte KI-Systeme werden als besonders transparenzbedürftig gesehen. Davon umfasst sind beispielsweise Anwendungen, die Deepfakes erstellen. Das sind laut KI-Gesetz-Entwurf „durch KI erzeugte oder manipulierte Bild-, Ton- oder Videoinhalte, die wirklichen Personen, Gegenständen, Orten oder anderen Einrichtungen oder Ereignissen ähneln und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen würden“.

Ein bekanntes Beispiel ist ein Deepfake-Foto des Papstes mit „einer pompösen, weiß glänzenden Daunenjacke, die an den Stil von Rappern erinnert“ (siehe Bild und Zeitungsartikel dazu hier). Betreiberinnen solcher KI-Systeme, die Deepfakes erzeugen, werden grundsätzlich offenlegen müssen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.

Während das geplante KI-Gesetz viel regelt, ist auch bemerkenswert, was es aussparen soll: So werden die Regelungen unter anderem nicht für KI-Systeme gelten, die ausschließlich für militärische Zwecke oder Zwecke der nationalen Sicherheit oder ausschließlich zur wissenschaftlichen Forschung verwendet werden.

Kurz gesagt

• Der Kern des Entwurfes für ein KI-Gesetz der EU ist die Unterscheidung unterschiedlicher KI-Systeme aufgrund des Risikos, das von ihnen ausgeht.

• Bestimme Praktiken im KI-Bereich sollen überhaupt verboten werden, z. B. Systeme zur Emotionserkennung am Arbeitsplatz und in Schulen.

• Geplant ist unter anderem auch, dass Deepfakes grundsätzlich als solche gekennzeichnet werden müssen.