Nach einer mehrjährigen Verhandlungsphase hat das EU-Parlament das erste umfassende Gesetz für Künstliche Intelligenz (KI, engl. Aritificial Intelligence/AI) beschlossen. Es ist weltweit das erste Gesetz dieser Art, dass die KI umfassend reguliert und in Risikogruppen einteilt. Zurzeit können KI-Systeme und Tools noch machen, was sie wollen, da es bis gestern kein Gesetz zur Regulierung gab. Das wird sich in Zukunft jedoch ändern.
Der AI Act
Die Regeln im AI Act sollen die Grundrechte, die Demokratie, die Rechtsstaatlichkeit und die ökologische Nachhaltigkeit vor sogenannten Hochrisiko-KI-Systemen schützen. Ebenso soll das Gesetz Innovationen deutlich vorantreiben und so die EU zur Führungsrolle im Bereich KI führen. Zusätzlich sind in diesem Regelwerk die Verpflichtungen der KI-Systeme hinterlegt. Die Verpflichtungen unterscheiden sich von System zu System, je nachdem welches Risiko und welche Auswirkungen das jeweilige System hat. Zudem verbietet der AI Act gezielt KI-Systeme und Anwendungen, die die Bürger in ihren Rechten bedrohen.
Verbote durch den AI Act
Der AI Act verbietet ganz klar Systeme, die uns Bürger in unseren Rechten bedrohen. Zu diesen Systemen gehören bspw. alle Systeme, die in irgendeiner Art und Weise zu unserer Überwachung genutzt werden könnten. Dazu zählen KI-Systeme, die uns Bürger mittels sensibler Merkmale biometrisch Kategorisieren oder unsere Gesichter wahllos auslesen.
Ebenso sind KI-Systeme verboten, die unsere Emotion erkennen und analysieren können. Dabei ist es egal, ob die Emotionen von einem Unternehmen oder in der Schule analysiert werden. Systeme, die das Sozialverhalten bewerten können, sind genauso verboten. Somit ist das auch sogenannte Social Scoring, also eine Maßnahme, um die Bürger mit Punkten zu bewerten, verboten.
Das Gesetz verbietet außerdem Künstliche Intelligenz, die dazu genutzt wird, den Menschen in seinem Verhalten zu beeinflussen oder mögliche Schwächen von Menschen auszunutzen. Zusätzlich ist die vorrausschauende Polizeiarbeit verboten, die ausschließlich auf der Erstellung eines Profils oder der Merkmalbewertung einer Person beruht.
Ausnahmen
Allerdings gibt es auch Ausnahmen für gewisse Systeme. Zu diesen Systemen gehören Fernidentifizierungssysteme, die mittels biometrischen Daten Personen identifizieren können. Diese Systeme dürfen nur von Strafverfolgungsbehörden und ausschließlich mit speziell behördlicher oder gerichtlicher Genehmigung verwendet werden. Wenn die Systeme zur Identifizierung in Echtzeit genutzt werden, müssen strenge Sicherheitsbestimmungen eingehalten werden. So darf die Identifizierung zum Beispiel nur mit einer räumlichen und einer zeitlichen Beschränkung stattfinden.
Das Gericht kann den Einsatz eines solchen Systems bei der Suche nach einer vermissten Person, bei der Suche nach Menschenhändlern oder um einen Terroranschlag zu verhindern, gestatten. Eine nachträgliche Identifizierung gilt als hochriskant. Diese benötigt eine gerichtliche Genehmigung, welche mit einer Straftat in Verbindung steht, ansonsten darf sie nicht durchgeführt werden.
Verpflichtungen für Hochrisiko-KI-Systeme
Zu den KI-Systemen, die als hochriskant eingestuft sind, gehören alle Systeme, die die Gesundheit, die Sicherheit, die Grundrechte, die Demokratie, den Rechtsstaat und die Umwelt gefährden. Um genutzt werden zu dürfen, müssen diese Systeme strenge Auflagen und Anforderungen erfüllen.
Kennzeichnung KI-generierter Inhalte
KI-generierte Bilder, Videos und Audiodateien müssen in Zukunft gekennzeichnet werden. Diese Kennzeichnung muss eindeutig erkennbar sein. Bisher werden die Bilder und Videos zwar dutzendfach generiert, aber nur in den seltensten Fällen auch wirklich gekennzeichnet. Viele wissen nicht, ob das Video echt oder ein sogenannter Deepfake ist.
In der Vergangenheit gab es damit viele Probleme, da zum Beispiel eine KI mit der Stimme von US-Präsident Joe Biden fingierte Anrufe durchgeführt hat. Dabei hat die KI dazu aufgerufen, nicht zu den Vorwahlen zu gehen. Ein weiteres Problem ist die Flut an Videos, in denen Prominente anscheinend pornografische Szenen darstellen.
Wann kommt der AI Act?
Der AI Act kann nun in Kraft treten. Die EU-Mitgliedsstaaten haben nun zwei Jahre Zeit, nach und nach die verbotenen Systeme zu entfernen und außer Betrieb zu nehmen. Nach zwei Jahren sollen alle Punkte, die im AI Act festgehalten sind, umgesetzt sein. Dazu müssen die Mitgliedsstaaten auch Sanktionen festlegen, sollten sich Unternehmen nicht an die Vorschriften halten. Privatpersonen können sich bei nationalen Behörden über die Nichteinhaltung beschweren.
Gewisse Regelungen des AI Acts treten bereits nach sechs, neun oder 12 Monate in Kraft und müssen bis dahin umgesetzt werden. Für andere Regelungen gibt es auch etwas länger Zeit.
Fazit
Der „Wilde Westen“ der Künstlichen Intelligenz, ganz ohne Regeln, hat nun ein Ende. Die Regeln treten nach und nach in Kraft und sorgen für eine gewisse Stabilität. Compliance wird immer teurer für Unternehmen. Aber dafür wird „Made in EU“ eine Art Qualitätssicherung für den sensiblen Umgang mit Daten. Das Siegel steht somit für vertrauenswürdige KI.
Ihr Agenturteam von Lenner Online Marketing