KI und Recht

Bei dem AI-Act handelt es sich um eine Produktregulierung, die EU-weite Mindestanforderungen für KI-Systeme einführt und dabei einen risikobasierten Ansatz verfolgt: Je höher das Risiko ist, desto strenger sind auch die Pflichten. 

Anbieter, Einführer, Händler und Betreiber von (Hochrisiko-)KI-Systemen müssen diverse Auflagen erfüllen. Während KI-Systeme mit einem inakzeptablen Risiko gänzlich verboten werden und für Hochrisiko-KI-Systeme strenge technische und organisatorische Anforderungen gelten, unterliegen Anwendungen mit geringem Risiko lediglich bestimmten Transparenz- und Informationspflichten. Besondere Vorschriften wird es zudem für Generative KI geben, sogenannte KI-Modelle mit allgemeinem Verwendungszweck, darunter auch solche, die Inhalte wie Texte und Bilder generieren.

KI-Systeme und Anwendungen, die eine Bedrohung oder Benachteiligung von Personen darstellen, fallen unter die Kategorie des inakzeptabel hohen Risikos, das zur Verbotsentscheidung führt. Die Liste der gemäß Art. 5 des AI Acts verbotenen KI-Praktiken enthält Anwendungen, die europäische Werte verletzen, indem sie gegen Grundrechte verstoßen und daher ein inakzeptables Risiko für betroffene Personen darstellen würden. Diese reichen von staatlichen Bewertungssystemen (Social Scoring) bis hin zu sprachgesteuerten Spielzeugen, die durch kognitive Verhaltensmanipulation potenziell gefährliches Verhalten fördern könnten.

Von Hochrisiko-Anwendungen wird gesprochen, wenn sie potenziell erhebliche Gefahren für die Gesundheit, Sicherheit oder die grundlegenden Rechte Einzelner darstellen können. Beispiele hierfür sind autonome Fahrzeuge, Software zur CV-Sortierung für Personalbeschaffungsverfahren oder Kreditwürdigkeitsprüfungen, die Personen den Zugang zu Darlehen verweigern könnten. Ähnliche Risiken bestehen bei der Bewertung der Zuverlässigkeit von Beweisen in der Strafverfolgung oder bei der automatisierten Prüfung von Visumanträgen. Anbieter solcher Systeme müssen unter anderem ein Qualitätsmanagementsystem implementieren, das die Einhaltung der KI-Verordnung sicherstellt, sowie ein Risikomanagementsystem, das den gesamten Lebenszyklus eines Hochrisiko-KI-Systems abdeckt. Zusätzlich dazu müssen detaillierte technische Dokumentationen über das KI-System erstellt werden. Der AI–Act legt auch spezifische technische Anforderungen für Hochrisiko-KI-Systeme fest, wie beispielsweise die Protokollierung von Vorgängen und Ereignissen, um die Rückverfolgbarkeit der Funktionsweise des Systems sicherzustellen. Wenn zum Training des Modells Daten verwendet werden, müssen die Trainings-, Validierungs- und Testdatensätze den Anforderungen von Art. 10 der KI-Verordnung genügen.

Ein begrenztes Risiko besteht in der mangelnden Transparenz bei der Nutzung von KI. Der AI-Act führt spezifische Transparenzverpflichtungen ein. Beispielsweise müssen Nutzer bei der Interaktion mit KI-Systemen wie Chatbots darüber informiert werden, dass sie mit einer Maschine kommunizieren. Ein weiteres Beispiel sind die geplanten digitalen Wasserzeichen, um Täuschung zu verhindern. Betreiber von KI-Systemen, die Bild-, Audio- oder Videoinhalte erzeugen oder manipulieren und als Deep Fake gelten könnten, sind verpflichtet, offenzulegen, dass die Inhalte künstlich erstellt oder verändert wurden.

Die Regulierung von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) eine der größten Herausforderungen dar. Diese Systeme, die flexibel genug sind, um in einer Vielzahl von Anwendungen eingesetzt zu werden, erfordern eine sorgfältige Betrachtung ihrer potenziellen Risiken und Auswirkungen.

Eines der umstrittensten Themen bei den Verhandlungen über den AI Act war genau diese Regulierung von KI-Modellen mit allgemeinem Verwendungszweck. GPAIs sind fortschrittliche KI-Systeme, die mit umfangreichen Datensätzen trainiert wurden und in der Lage sind, diverse Aufgaben zu erfüllen. Ihr charakteristisches Merkmal ist die Fähigkeit, sich in viele nachgelagerte Systeme oder Anwendungen zu integrieren. Beispiele für solche GPAIs sind ChatGPT, Bard von Google, LLaMA von Meta und andere ähnliche Systeme.

Die Regelungen des AI Acts, insbesondere in den Artikeln 52 ff., legen fest, dass Anbieter von GPAI spezielle Anforderungen erfüllen müssen. Dazu gehört die Bereitstellung einer technischen Dokumentation und detaillierte Informationen über die verwendeten Trainingsdaten. Für GPAIs, die ein hohes systemisches Risiko darstellen, gelten zusätzlich noch strengere Vorgaben. Diese Vorgaben sollen sicherstellen, dass die Technologie sicher und verantwortungsvoll genutzt wird und mögliche Gefahren minimiert werden.

Trotz der generellen Regelungen gibt es spezifische Ausnahmen für KI-Systeme, die unter freien oder Open-Source-Lizenzen angeboten werden; grundsätzlich fallen diese nicht unter die Verordnung. Eine wichtige Ausnahme bildet jedoch der Fall, dass GPAIs als Hochrisiko-Systeme eingestuft werden. Dies ist der Fall, wenn sie in den Verkehr gebracht, in ein System integriert oder als systemrelevant qualifiziert werden.

Die Regulierung von GPAI im Rahmen des AI Acts spiegelt die Notwendigkeit wider, mit der dynamischen Natur von KI-Technologien Schritt zu halten und gleichzeitig die öffentliche Sicherheit und die ethischen Standards zu wahren. Dies erfordert eine kontinuierliche Anpassung der gesetzlichen Rahmenbedingungen, um mit den technologischen Entwicklungen mithalten zu können und gleichzeitig effektiven Schutz zu bieten.

Wann kommt der EU AI Act?

Nach mehr als zwei Jahren der Ausarbeitung und Verhandlung des AI Acts haben die EU-Gesetzgeber endlich einen Konsens erzielt. Am 2. Februar 2024 haben die Mitgliedstaaten der Europäischen Union im Ausschuss der Ständigen Vertreter die Verordnung einstimmig gebilligt. In der Plenatssitzung am 13. März 2024  gab das EU-Parlament grünes Licht für das Gesetz. Der AI Act wird voraussichtlich im Mai/Juni 2024 in Kraft treten und 24 Monate später Anwendung finden, sodass Unternehmen bis 2026 Zeit haben, ihre Maßnahmen den neuen Anforderungen anzupassen. Einige Vorschriften sind jedoch auch schon früher anwendbar: Die Verbote von KI-Systemen mit einem inakzeptablen Risiko greifen bereits nach sechs Monaten. 

Auf der EU Artificial Intelligence Act Website findest du weitere Informationen, Schlüsseltexte und vieles mehr.

Gemäß dem AI Act soll jeder EU-Mitgliedstaat eine nationale Aufsichtsbehörde benennen. Diese Behörde hat die Aufgabe, die Anwendung und Umsetzung der KI-Verordnung zu überwachen. Sie stellt sicher, dass die KI-Systeme innerhalb ihres Zuständigkeitsbereiches den festgelegten Normen entsprechen und keine Risiken für Bürger oder Verbraucher darstellen.

Die nationalen Aufsichtsbehörden sind zudem im Europäischen Ausschuss für künstliche Intelligenz vertreten. Dieser Ausschuss fungiert als Koordinierungsplattform und Beratungsgremium, das die verschiedenen nationalen Behörden vernetzt und ihre Aktivitäten koordiniert. Er spielt eine entscheidende Rolle bei der Schaffung einer einheitlichen Regulierungslandschaft für KI in Europa und dient als zentrales Forum für den Austausch von Best Practices und regulatorischen Ansätzen.

Zusätzlich zur Einrichtung der nationalen Behörden und des Europäischen Ausschusses wurde innerhalb der Europäischen Kommission ein spezielles Amt für künstliche Intelligenz (AI Office) eingerichtet. Dieses Amt ist spezifisch dafür zuständig, die Einhaltung der Vorschriften bezüglich KI-Modellen mit allgemeinem Verwendungszweck zu überwachen. Es überprüft die Compliance der KI-Anwendungen, die in der EU vertrieben werden, und stellt sicher, dass diese den hohen Anforderungen an Sicherheit und Ethik genügen.

Verstöße gegen den AI Act können hohe Bußgelder nach sich ziehen, was die Bedeutung einer stringenten Überwachung und Durchsetzung der Regulierungen unterstreicht. Die festgelegten Strafen sollen als Abschreckung dienen und die korrekte Implementierung und Nutzung von KI-Technologien fördern, um einen verantwortungsvollen Umgang mit dieser mächtigen Technologie zu gewährleisten.

Der AI-Act wird zweifellos weitreichende Auswirkungen auf Unternehmen und Entwickler von KI-Technologien haben. Wie hoch der Aufwand für die Anpassung an die neuen Regelungen sein wird, hängt vom jeweiligen Use Case ab. 

Betrachten wir Frontnow als Anwendungsbeispiel: Frontnow entwickelt KI-gestützte Tools für Onlinehändler, indem das Unternehmen verschiedenartige KI-Systeme, einschließlich generativer KI, kombiniert. Ziel ist es, Produkte zu erschaffen, die einerseits das Kundenerlebnis von Onlineshops verbessern und andererseits zu höheren Conversion-Raten, besserem Ranking und gesteigertem Umsatz führen. Solche Anwendungsfälle, in denen ein Unternehmen spezielle KI-Werkzeuge für seine Kunden entwickelt, werden zukünftig massenhaft auftreten. Ein Alleinstellungsmerkmal von Frontnow ist die ausschließliche Nutzung von Daten und Informationen, die von den Kunden bereitgestellt werden. Frontnow verzichtet komplett auf die Sammlung persönlicher Daten und stützt sich nur auf die Fragestellungen, die als Input dienen. Dies minimiert das Risiko von Halluzinationen – also der Generierung falscher Informationen durch das KI-System. Ein weiterer interessanter Punkt ist die Bewertung der generativen KI-Modelle, die Frontnow einsetzt. Unternehmen, die KI-Modelle verwenden, müssen flexibel bleiben und auf Neuerungen reagieren können, die durch die Einführung des AI Acts entstehen. Jeder Anwendungsfall ist jedoch einzigartig und muss individuell bewertet werden, um seine spezifischen Auswirkungen zu ermitteln.

Eine zentrale Anforderung des AI Acts ist das Risikomanagement. Organisationen müssen für KI-Anwendungen eine umfassende Risikobewertung durchführen, um mögliche Auswirkungen auf Gesellschaft, Umwelt und Persönlichkeitsrechte genau zu analysieren und zu bewerten. Darüber hinaus werden bestimmte Anforderungen an die Datenqualität gestellt. Die für das Training verwendeten Daten müssen relevant, repräsentativ, fehlerfrei und vollständig sein. Zudem sind eine automatisierte Protokollierung des Betriebs und eine umfassende technische Dokumentation erforderlich. Gegenüber den Nutzer:innen gelten bestimmte Anforderungen zur Transparenz und Information. Außerdem müssen eine menschliche Aufischt und ein Eingriff in das KI-System möglich sein. 

Um die Vorgaben des AI Act rechtzeitig zu erfüllen, sollten Verantwortliche folgende Schritte beachten: 

• Erstellen Sie eine detaillierte Liste aller KI-Systeme und Anwendungsfälle in Ihrem Unternehmen.
• Ordnen Sie Ihre KI-Systeme und Anwendungen gemäß dem AI Act einer Risikokategorie zu. 
• Implementieren Sie die Vorgaben des AI Acts auf Basis Ihrer Risikokategorisierung technisch und organisatorisch in Ihre Prozesse.
• Schaffen Sie Strukturen, die KI-Systeme und relevante Vorgänge dauerhaft strukturiert überwachen und berichten.

Auf diese Weise können sie sicherstellen, dass sie die Vorschriften sowie  ethische Standards einhalten und ihre KI-Angebote erfolgreich in einer sich schnell entwickelnden Rechtslandschaft positionieren.

Während die EU den AI Act umsetzt, herrscht auf der anderen Seite des Atlantiks das Motto "Innovate first, regulate second". Unter diesem Ansatz können Innovationstreiber wie Microsoft, Google und Meta weiterhin agieren. Dies könnte dazu führen, dass die EU im globalen Wettbewerb einen Nachteil erleidet. 

Im Gegensatz zum einheitlichen Regulierungsansatz der Europäischen Union, der zusätzliche Governance-Strukturen vorsieht, entscheidet sich Großbritannien für einen sektoralen Ansatz zur Regulierung von KI-Technologien. Existierende Regulierungsbehörden sollen ihre bestehenden Befugnisse nutzen, um auf die Herausforderungen und Chancen, die KI mit sich bringt, zu reagieren. Die Regierung hat fünf sektorübergreifende Grundsätze definiert – Sicherheit und Robustheit, angemessene Transparenz und Nachvollziehbarkeit, Fairness, Verantwortlichkeit und Governance sowie Anfechtbarkeit und Rechtsmittel –, die von den Regulierungsbehörden interpretiert und angewendet werden sollen. Trotz der Flexibilität des aktuellen Ansatzes deutet die Regierung darauf hin, dass für bestimmte Anwendungen von KI in der Zukunft gesetzliche Regulierungen erforderlich sein könnten. 

Im Oktober des vergangenen Jahres erließ die Biden-Regierung die ersten Leitlinien zum Umgang mit künstlicher Intelligenz (Executive Order on Safe, Secure, and Trustworthy Artificial Intelligence). Diese legen Sicherheitsstandards im Umgang mit KI fest und bauen auf einer Reihe von freiwilligen Verpflichtungen auf. Neu ist die Anforderung, dass Entwickler der leistungsstärksten KI-Systeme ihre Modelle Sicherheitstests unterziehen und die Ergebnisse den Behörden melden müssen, bevor sie veröffentlicht werden. Dies betrifft insbesondere Modelle, die eine potenzielle Gefahr für die nationale Sicherheit, die Wirtschaft oder die öffentliche Gesundheit darstellen könnten. Zudem sollen Bundesbehörden Methoden entwickeln, um von KI generierte Inhalte zu markieren und der Gefahr von Deepfakes – manipulierten Video- und Audioaufnahmen – entgegenzuwirken. Die Tragweite des Dekrets ist begrenzt und beinhaltet hauptsächlich Empfehlungen und Richtlinien für Behörden, ohne verpflichtende Maßnahmen für private Unternehmen vorzusehen. 

Es besteht kein Zweifel, dass die potenziellen Risiken der KI sowohl in den USA als auch in der UK und der EU erkannt wurden. Allerdings scheint die EU, ähnlich wie im Fall der Datenschutzgrundverordnung, einen stärkeren regulatorischen Ansatz zu verfolgen, während die USA vorerst eher auf freiwillige Maßnahmen setzen. Welcher Ansatz letztendlich erfolgreicher sein wird, um KI ethisch korrekt und gleichzeitig die Chancen der Technologie im internationalen Wettbewerb zu nutzen, bleibt abzuwarten.

Die EU unternimmt mit dem AI Act einen wichtigen Schritt, um den Einsatz von KI verantwortungsvoll zu regulieren. Versucht wird, der schnellen Weiterentwicklung von KI-Technologien gerecht zu werden, indem man mit dynamischen Regulierungsansätzen reagiert. Durch eine sorgfältige Anpassung an die neuen rechtlichen Anforderungen können Unternehmen dazu beitragen, eine ethische und vertrauenswürdige KI-Landschaft zu schaffen, die sowohl den Bedürfnissen der Verbraucher als auch den Zielen der Gesellschaft gerecht wird.

Während die Verordnung darauf abzielt, vorhersehbare Schäden durch KI zu minimieren, birgt sie auch Herausforderungen und Unsicherheiten. Die Verordnung ist geprägt von einer Vielzahl unbestimmter Rechtsbegriffe, was potenziell zu Rechtsunsicherheit führen kann und zahlreiche Detailfragen aufwirft. Der AI-Act wird zweifellos Auswirkungen auf den technischen und personellen Aufwand haben, den Unternehmen betreiben müssen, um die regulatorischen Vorgaben zu erfüllen. Dies kann zu erhöhten Kosten und einem zusätzlichen administrativen Aufwand führen. Es bleibt abzuwarten, wie effektiv die Verordnung letztendlich sein wird und welche Anpassungen möglicherweise erforderlich sind, um sicherzustellen, dass sie sowohl den Schutz der Verbraucher als auch die Förderung von Innovationen angemessen berücksichtigt.

Zur Autorin

Eva Dröghoff ist Rechtsreferendarin beim Brandenburgischen Oberlandesgericht mit einer starken Leidenschaft für die Schnittstelle von Recht und Technologie. Diese Schnittstelle gestaltet sie nebenbei als Legal Trainee bei Aleph-Alpha aktiv mit. Seit Mai 2022 arbeitet sie zudem beim Legal Tech Verband Deutschland an der Digitalisierung und Innovation des deutschen Rechtsmarkts. Nach ihrem Studium der Rechtswissenschaften in Heidelberg und Münster absolvierte sie im August 2022 ihr Erstes Juristisches Staatsexamen. Anschließend absolvierte sie einen Masters of Laws (Spezialisierung: Law and Technology) an der Tel Aviv University. Dort setzte sie sich intensiv mit dem Thema Responsible AI auseinander.

Quellen 

• https://data.consilium.europa.eu/doc/document/ST-14954-2022-INIT/de/pdf
• https://digital-strategy.ec.europa.eu/de/policies/regulatory-framework-ai
• https://publica-rest.fraunhofer.de/server/api/core/bitstreams/d8c295d7-229b-4d98-9bc4-a0607662483c/conte
• https://www.whitehouse.gov/briefing-room/statements-releases/2023/10/30/fact-sheet-president-biden-issues-executive-order-on-safe-secure-and-trustworthy-artificial-intelligence/