KI-Gesetz

Das KI-Gesetz (Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz) ist der weltweit erste umfassende Rechtsrahmen für KI. Ziel der Vorschriften ist es, eine vertrauenswürdige KI in Europa zu fördern.

Das KI-Gesetz enthält klare risikobasierte Regeln für KI-Entwickler und -Bereitsteller in Bezug auf spezifische Anwendungen von KI. Das KI-Gesetz ist Teil eines umfassenderen Pakets politischer Maßnahmen zur Unterstützung der Entwicklung einer vertrauenswürdigen KI, das auch das KI-Innovationspaket, die Einführung von KI-Fabriken und den koordinierten KI-Plan umfasst. Zusammen gewährleisten diese Maßnahmen Sicherheit, Grundrechte und eine auf den Menschen ausgerichtete KI und stärken die Akzeptanz, die Investitionen und die Innovation im Bereich KI in der gesamten EU.

Um den Übergang zum neuen Rechtsrahmen zu erleichtern, hat die Kommission den KI-Pakt ins Leben gerufen, eine freiwillige Initiative, die darauf abzielt, die künftige Umsetzung zu unterstützen, mit Interessenträgern zusammenzuarbeiten und KI-Anbieter und -Anbieter aus Europa und darüber hinaus aufzufordern, die wichtigsten Verpflichtungen des KI-Gesetzes vorzeitig zu erfüllen. 

Warum brauchen wir Regeln für KI?

Das KI-Gesetz stellt sicher, dass die Europäer darauf vertrauen können, was KI zu bieten hat. Während die meisten KI-Systeme auf kein Risiko beschränkt sind und zur Lösung vieler gesellschaftlicher Herausforderungen beitragen können, schaffen bestimmte KI-Systeme Risiken, die wir angehen müssen, um unerwünschte Ergebnisse zu vermeiden.

Zum Beispiel ist es oft nicht möglich herauszufinden, warum ein KI-System eine Entscheidung oder Vorhersage getroffen und eine bestimmte Maßnahme ergriffen hat. So kann es schwierig werden, zu beurteilen, ob jemand ungerechtfertigt benachteiligt wurde, beispielsweise in einer Einstellungsentscheidung oder in einem Antrag auf ein öffentliches Leistungssystem.

Obwohl die bestehenden Rechtsvorschriften einen gewissen Schutz bieten, reichen sie nicht aus, um die spezifischen Herausforderungen anzugehen, die KI-Systeme mit sich bringen können.

Ein risikobasierter Ansatz

Das KI-Gesetz definiert vier Risikostufen für KI-Systeme:

Inakzeptables Risiko

Alle KI-Systeme, die als eindeutige Bedrohung für die Sicherheit, den Lebensunterhalt und die Rechte der Menschen gelten, sind verboten. Das KI-Gesetz verbietet acht Praktiken, nämlich:

1. schädliche KI-basierte Manipulation und Täuschung
2. schädliche KI-basierte Ausnutzung von Schwachstellen
3. Soziales Scoring
4. Gefährdungsbeurteilung oder -vorhersage für einzelne Straftaten
5. Ungezieltes Scraping des Internets oder CCTV-Materials zur Erstellung oder Erweiterung von Gesichtserkennungsdatenbanken
6. Emotionserkennung an Arbeitsplätzen und Bildungseinrichtungen
7. biometrische Kategorisierung zur Ableitung bestimmter geschützter Merkmale
8. Biometrie-Fernidentifizierung in Echtzeit für Strafverfolgungszwecke in öffentlich zugänglichen Räumen

Hohes Risiko

KI-Anwendungsfälle, die schwerwiegende Risiken für Gesundheit, Sicherheit oder Grundrechte darstellen können, werden als hochriskant eingestuft. Zu diesen risikoreichen Anwendungsfällen gehören:

• KI-Sicherheitskomponenten in kritischen Infrastrukturen (z. B. Verkehr), deren Ausfall das Leben und die Gesundheit der Bürger gefährden könnte
• KI-Lösungen, die in Bildungseinrichtungen eingesetzt werden und die den Zugang zu Bildung und den Verlauf des Berufslebens einer Person bestimmen können (z. B. Bewertung von Prüfungen)
• KI-basierte Sicherheitskomponenten von Produkten (z.B. KI-Anwendung in der robotergestützten Chirurgie)
• KI-Tools für die Beschäftigung, das Management von Arbeitnehmern und den Zugang zur Selbstständigkeit (z. B. CV-Sortierungssoftware für die Einstellung)
• Bestimmte KI-Anwendungsfälle, die genutzt werden, um Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen zu gewähren (z. B. Kreditbewertung, die den Bürgern die Möglichkeit verwehrt, einen Kredit zu erhalten)
• KI-Systeme zur biometrischen Fernidentifizierung, Emotionserkennung und biometrischen Kategorisierung (z. B. KI-System zur rückwirkenden Identifizierung eines Ladendiebs)
• KI-Anwendungsfälle in der Strafverfolgung, die in die Grundrechte der Menschen eingreifen können (z. B. Bewertung der Zuverlässigkeit von Beweismitteln)
• KI-Anwendungsfälle im Migrations-, Asyl- und Grenzkontrollmanagement (z. B. automatisierte Prüfung von Visumanträgen)
• KI-Lösungen für die Justizverwaltung und demokratische Prozesse (z. B. KI-Lösungen zur Vorbereitung von Gerichtsurteilen)

Hochrisiko-KI-Systeme unterliegen strengen Verpflichtungen, bevor sie in Verkehr gebracht werden können:

• angemessene Risikobewertungs- und Risikominderungssysteme
• hohe Qualität der Datensätze, die das System speisen, um das Risiko diskriminierender Ergebnisse zu minimieren
• Protokollierung der Aktivitäten, um die Rückverfolgbarkeit der Ergebnisse zu gewährleisten
• ausführliche Dokumentation, die alle erforderlichen Informationen über das System und seinen Zweck enthält, damit die Behörden seine Konformität bewerten können
• klare und angemessene Informationen für den Betreiber
• angemessene menschliche Aufsichtsmaßnahmen
• Hohe Robustheit, Cybersicherheit und Genauigkeit

Transparenzrisiko

Dies bezieht sich auf die Risiken, die mit der Notwendigkeit von Transparenz in Bezug auf den Einsatz von KI verbunden sind. Mit dem KI-Gesetz werden spezifische Offenlegungspflichten eingeführt, um sicherzustellen, dass Menschen informiert werden, wenn dies zur Wahrung des Vertrauens erforderlich ist. Beispielsweise sollten Menschen bei der Verwendung von KI-Systemen wie Chatbots darauf aufmerksam gemacht werden, dass sie mit einer Maschine interagieren, damit sie eine fundierte Entscheidung treffen können.

Darüber hinaus müssen Anbieter generativer KI sicherstellen, dass KI-generierte Inhalte identifizierbar sind. Darüber hinaus sollten bestimmte KI-generierte Inhalte klar und sichtbar gekennzeichnet werden, nämlich Deep Fakes und Texte, die veröffentlicht werden, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren.

Minimales oder kein Risiko

Das KI-Gesetz führt keine Regeln für KI ein, die als minimales oder kein Risiko angesehen werden. Die überwiegende Mehrheit der derzeit in der EU eingesetzten KI-Systeme fällt in diese Kategorie. Dazu gehören Anwendungen wie KI-fähige Videospiele oder Spamfilter.

Wie funktioniert das alles in der Praxis für Anbieter von Hochrisiko-KI-Systemen?

Wie funktioniert das alles in der Praxis für Anbieter von Hochrisiko-KI-Systemen?

Sobald ein KI-System auf dem Markt ist, sind die Behörden für die Marktüberwachung zuständig, die Betreiber gewährleisten die menschliche Aufsicht und Überwachung, und die Anbieter verfügen über ein System zur Überwachung nach dem Inverkehrbringen. Anbieter und Betreiber werden auch schwerwiegende Vorfälle und Fehlfunktionen melden.

Eine Lösung für den vertrauenswürdigen Einsatz großer KI-Modelle

Allzweck-KI-Modelle können eine Vielzahl von Aufgaben erfüllen und werden zur Grundlage für viele KI-Systeme in der EU. Einige dieser Modelle könnten systemische Risiken bergen, wenn sie sehr leistungsfähig oder weit verbreitet sind. Um eine sichere und vertrauenswürdige KI zu gewährleisten, sieht das KI-Gesetz Vorschriften für Anbieter solcher Modelle vor. Dazu gehören Transparenz und urheberrechtliche Vorschriften. Bei Modellen, die systemische Risiken bergen können, sollten die Anbieter diese Risiken bewerten und mindern.

Die Vorschriften des KI-Gesetzes über allgemeine KI werden im August 2025 in Kraft treten. Das Amt für künstliche Intelligenz erleichtert die Ausarbeitung eines Verhaltenskodex zur Ausgestaltung dieser Regeln. Der Kodex sollte ein zentrales Instrument für Anbieter sein, um die Einhaltung des KI-Gesetzes unter Einbeziehung modernster Verfahren nachzuweisen. 

Governance und Umsetzung

Das Europäische Amt für KI und die Behörden der Mitgliedstaaten sind für die Umsetzung, Überwachung und Durchsetzung des KI-Gesetzes zuständig. Der KI-Beirat, das Wissenschaftliche Gremium und der Beirat steuern und beraten die Governance des KI-Gesetzes. Erfahren Sie mehr über die Governance und Durchsetzung des KI-Gesetzes.  

Nächste Schritte

Das KI-Gesetz trat am 1. August 2024 in Kraft und wird zwei Jahre später, am 2. August 2026, in vollem Umfang anwendbar sein, mit einigen Ausnahmen:

• Verbote und KI-Kompetenzverpflichtungen, die ab dem 2. Februar 2025 in Kraft getreten sind
• Die Governance-Regeln und die Verpflichtungen für KI-Modelle mit allgemeinem Verwendungszweck treten am 2. August 2025 in Kraft.
• Die Vorschriften für Hochrisiko-KI-Systeme, die in regulierte Produkte eingebettet sind, haben eine verlängerte Übergangsfrist bis zum 2. August 2027.