In einer Welt, in der Künstliche Intelligenz (KI) zunehmend unser tägliches Leben durchdringt, ist die Frage nach Ethik, Transparenz und Verantwortlichkeit bei der Entwicklung und Anwendung von KI-Technologien von entscheidender Bedeutung. Die Europäische Union hat einen wegweisenden Schritt unternommen, um diese Fragen anzugehen und die Zukunft der Künstlichen Intelligenz in Europa zu gestalten. Der „EU AI Act“ ist ein ehrgeiziges Gesetzgebungspaket, das das Potenzial hat, die KI-Landschaft in Europa grundlegend zu verändern.
In diesem Blogartikel werden wir in die Tiefen des EU AI Act eintauchen, um zu verstehen, was dieser bedeutet, welche Auswirkungen er auf Unternehmen hat und wie er die Weichen für ethische KI in der EU stellt. Von strengen Regulierungen bis hin zu visionären Zielen: Wir werden die Schlüsselaspekte dieses Gesetzes beleuchten und analysieren, wie es die Art und Weise beeinflussen wird, wie KI-Technologien in Europa entwickelt und genutzt werden.
Begleite uns auf dieser Reise in die Welt des EU AI Act, um zu erfahren, wie die EU die Weichen für eine verantwortungsbewusste und ethische KI-Zukunft in Europa stellt.
Was ist der EU AI Act?
Die Europäische Union (EU) hat kürzlich den EU AI Act (auch KI-Verordnung oder KI-Gesetz) vorgeschlagen, der die Entwicklung und Nutzung von Systemen der künstlichen Intelligenz (AI) in der gesamten EU regeln soll. Die EU arbeitet bereits seit einiger Zeit an einem entsprechenden Gesetzesprojekt, dem Artificial Intelligence Act (AIA). Die technologischen Entwicklungen sind jedoch rasant, und manchmal werden sie von den Diskussionsprozessen einfach überholt, was die Fertigstellung des AIA erschwert hat.
Nun ist das KI-Gesetz vom Europäischen Parlament verabschiedet worden und muss noch von der EU-Kommission und den Mitgliedstaaten im sogenannten Trilog abgestimmt werden, bevor es offiziell in Kraft tritt. Es wird erwartet, dass bis Ende des Jahres eine Einigung erzielt wird. Danach haben die Unternehmen zwei Jahre Zeit, sich an die veränderten Rahmenbedingungen anzupassen.
Ziel des EU AI Act ist es, einen vertrauenswürdigen Rahmen zu schaffen, in dem Unternehmen von der Entwicklung von KI-Systemen profitieren können und gleichzeitig die Rechte und die Sicherheit der Menschen gewahrt bleiben.
Den Entwurf des Gesetzes und die zugehörigen Anhänge finden sich hier: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52021PC0206.
KI-Regulierung in Deutschland
Eine gesetzliche Regelung aus Deutschland zum Thema KI ist derzeit nicht geplant (siehe hierzu auch: https://www.bundestag.de/resource/blob/ 940164/51d5380e12b3e121af9937bc 69afb6a7/WD-5-001-23-pdf-data.pdf).
Derzeit wird auf Regierungsebene intensiv über die KI-Regulierung diskutiert, so soll es auch am Rande eines Treffens zwischen Olaf Scholz und Emmanuel Macron Anfang Oktober 2023 um dieses Thema gegangen sein.
Die Risikoklassen des EU AI Acts
Das KI-Gesetz sieht einen risikobasierten Ansatz vor, um KI nach ihrem Einsatzgebiet und Anwendungsbereich zu klassifizieren und entsprechend zu regulieren. Die Regelungen sind jedoch bisher nicht final, die Auflistung dient somit lediglich als Orientierung.
1 Unannehmbares Risiko
Bereiche, in denen KI als Bedrohung für Menschen wahrgenommen wird, sollen als unannehmbares Risiko klassifiziert werden. Hier ist der Einsatz von KI verboten.
Hierbei handelt es sich um Bereiche, wie:
- kognitive Verhaltensmanipulation und -steuerung: wenn gefährliches Verhalten durch KI gefördert wird
- Social Scoring: wenn Menschen durch KI nach ihrem Verhalten, sozialem Status und persönlichen Merkmalen eingeordnet werden
- biometrische Fernidentifizierung in Echtzeit: z.B. Gesichtserkennung.
2 Hochrisiko-KI-Systeme
Hier muss zwischen zwei Bereichen unterschieden werden:
a) Einsatz in Geräten, die den europäischen Produktsicherheitsgesetzen unterfallen: Spielzeug, Luftfahrt, Fahrzeuge, medizinische Geräte und Aufzüge.
b) KI-Systeme in sonstigen spezifischen Bereichen:
- biometrische Identifizierung und Kategorisierung von natürlichen Personen;
- Verwaltung und Betrieb von kritischen Infrastrukturen;
- allgemeine und berufliche Bildung;
- Beschäftigung, Verwaltung der Arbeitnehmer und Zugang zur Selbstständigkeit;
- Zugang zu und Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten und Leistungen;
- Strafverfolgung;
- Verwaltung von Migration, Asyl und Grenzkontrollen;
- Unterstützung bei der Auslegung und Anwendung von Gesetzen.
Möglicherweise wird der Anwendungsbereich von b) nochmals erweitert, im Gespräch waren beispielsweise der Einsatz von KI auf Social Media und bei der öffentlichen Meinungsbildung.
Der Einsatz von KI in diesem Zusammenhang muss laufend überwacht und das Risiko durch den Verantwortlichen abgeschätzt werden, um negative Konsequenzen für Personen zu vermeiden.
3 KI mit begrenztem Risiko
Hierunter fällt primär die generative KI. Hierbei handelt es sich KI-Modelle, die Inhalte generieren können.
Für diese gelten zusätzliche Transparenzanforderungen:
- Inhalt als KI-generiert ausweisen
- Gestaltung der KI derart, dass illegale Inhalte nicht erzeugt werden können
- Veröffentlichung von Zusammenfassungen urheberrechtlich geschützter Daten, die für das Training verwendet
4 KI mit minimalem Risiko
KI mit minimalem Risiko (also alle Anwendungsbereiche, die nicht unter 1–3 fallen) unterliegt lediglich minimalen Transparenzanforderungen.
Wie die Tabelle zeigt, fokussiert sich das Regelungssystem klar auf Hochrisiko-KI-Systeme, weshalb diese Risikostufe die meisten Anforderungen des EU AI Acts treffen.
Auffällig ist auch, dass KI-Systeme, deren Risiko als minimal eingeschätzt wird, grundsätzlich freien Zugang zum europäischen Markt haben. D. h. KI-Systeme mit minimalem Risiko unterliegen keinen zusätzlichen Pflichten, die über bereits bestehende Rechtsvorschriften hinausgehen
Ziel der Verhandlungen innerhalb der EU ist, gemeinsam mit den Mitgliedsstaaten eine Einigung bis Ende des Jahres zu erzielen.
Welche Auswirkungen hat der EU AI Act auf melibo?
Nach unserer Auffassung unterfällt das Kerngeschäftsfeld (Chatbots) von melibo lediglich den Bereichen 3. und 4. Sollte melibo auf Social Media oder in anderen besonderen Anwendungsbereichen zum Einsatz kommen, dann könnten sich zusätzliche Anforderungen ergeben, die jedoch aktuell bisher nicht ausreichend klar feststehen.
Aufgrund der Relevanz dieses Themas möchte unser CEO und Gründer, Felix Stelzer, Stellung beziehen und seine Einschätzung mit uns teilen:
Erfassung durch Datenschutz-Gesetze
KI wird aufgrund ihres weiten Anwendungsbereiches durch andere deutsche Gesetzgebungen erfasst und teilweise reguliert.
Alle datenschutzrechtlichen Anforderungen ergeben sich aus der DSGVO und dem deutschen Bundesdatenschutzgesetz (BDSG). KI untersteht damit genauso den allgemeinen Regelungen zu Verarbeitungen personenbezogener Daten wie auch alle anderen Verarbeitungen.
Einige Regelungen adressieren zusätzlich speziell„automatisierte Entscheidungsfindungen“. So hat zum Beispiel ein Betroffener nach Art. 22 DSGVO das Recht, eine KI-Entscheidung durch ein Menschen überprüfen zu lassen, wenn die Entscheidung erhebliche Folgen für ihn hat.
Die Datenschutzkonferenz (DSK) hat sich in einem Positionspapier zu weiteren datenschutzrechtlichen Anforderungen geäußert. Dies ist unter: https://www.lda.brandenburg.de/sixcms/media.php/9/Positionspapier_TO-Massnahmen_KI-Systeme.pdf abrufbar und beschäftigt sich insbesondere mit TOMs, die für den Betrieb von KI geboten werden.
Es kann mit weiteren aufsichtsbehördlichen Entscheidungen und Positionierungen zu diesem Thema in naher Zukunft gerechnet werden.
Behördliche Entscheidungen
Die italienische Aufsichtsbehörde hat mit ChatGPT den Einsatz des bekanntesten KI-Tools innerhalb von Italien verboten und die Sperrung angeordnet.
Als Gründe für die Entscheidung wurden eine Reihe von Gründen genannt, z.B. das Fehlen einer Datenverarbeitungsgrundlage, fehlende Transparenz über die Datenverarbeitung gegenüber Nutzern und den Export von personenbezogenen Daten in die USA.
Allerdings hatte sich OpenAI erkennbar auch keine Mühe gegeben, die Datenverarbeitung nach den geltenden Datenschutzgesetzen auszugestalten.
Somit kann weder die Entscheidung der Behörde in Italien auf Deutschland übertragen werden, noch kann aus dem Beispiel ChatGPT geschlussfolgert werden, dass sich geltendes Datenschutzrecht und KI nicht vereinen lassen.
Ein Ausblick: was können wir vom EU AI Act erwarten?
Die Regulierung von KI ist ein geeignetes Instrument, um Sicherheit, Robustheit, Datenschutz, Compliance und Ethik von KI-Systemen zu gewährleisten. All diese Maßnahmen tragen dazu bei, das Vertrauen und die Akzeptanz in KI-Systeme zu erhöhen. Jedoch ist die Regulierung von KI eine komplexe Aufgabe, die eine ausgewogene Berücksichtigung der technologischen Entwicklung, der sozialen Auswirkungen und der rechtlichen Aspekte erfordert.
Die Europäische Union unternimmt bedeutende Schritte, um als erste in der Welt Regeln für Unternehmen festzulegen, die künstliche Intelligenz (KI) einsetzen. Damit hofft sie, globale Standards zu setzen, und sogar die USA zu überholen.
Angesichts der rasanten Entwicklung der KI-Technologien könnte der EU AI Act zur Grundlage dafür werden, wie wir in Zukunft mit KI-Systemen arbeiten. Außerdem könnten klare Grenzen die Unsicherheiten verringern, die viele Menschen in Bezug auf KI empfinden.
Die EU steht jedoch vor der Herausforderung, sich an die raschen Fortschritte im Bereich der KI anzupassen und das KI-Gesetz so zu formulieren, dass es universell anwendbar ist und langfristig funktionieren kann.
Die Verabschiedung der KI-Verordnung kann wohl erst für Mitte 2025 erwartet werden, ein In-Krafttreten ist dann wahrscheinlich erst für die Jahre 2026 bzw. -27 möglich.