Startseite
Themen
EU AI Act
Aktualisiert: 20. Juni 2024
Beitragende: Matt Kosinski und Mark Scapicchio
Das Gesetz über künstliche Intelligenz der EU, auch bekannt als (KI-Gesetz der EU oder KI-Verordnung, ist ein Gesetz, das die Entwicklung und Nutzung von künstlicher Intelligenz (KI) in der Europäischen Union (EU) regelt. Das Gesetz verfolgt im Rahmen der Regulierung einen risikobasierten Ansatz und wendet je nach Risiko unterschiedliche Regeln auf KI an.
Das KI-Gesetz der EU, das als weltweit erstes umfassendes Framework für KI gilt, verbietet einige KI-Anwendungsbereiche vollständig und legt für andere strenge Anforderungen an Governance, Risikomanagement und Transparenz fest.
Das Gesetz schafft auch Regeln für allgemeine Modelle der künstlichen Intelligenz, wie z. B. IBMs Granite und das auf Open-Source basierende Foundation Model Llama 3 von Meta.
Die Strafen können je nach Art des Verstoßes zwischen 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes und 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes liegen.
So wie die Datenschutz-Grundverordnung (DSGVO) der EU andere Nationen zur Verabschiedung von Datenschutzgesetzen inspiriert hat, gehen Experten davon aus, dass das KI-Gesetz der EU die Entwicklung von Standards in den Bereichen KI-Governance und Ethik weltweit vorantreiben wird.
Das KI-Gesetz der EU gilt für eine Vielzahl von Akteuren in der KI-Wertschöpfungskette (z. B. Anbieter, Anwender, Importeure, Händler, Produkthersteller und autorisierte Vertreter). Erwähnenswert sind die Definitionen von Anbietern, Anwendern und Importeuren im Rahmen KI-Verordnung.
Anbieter sind Personen oder Organisationen, die KI-Systeme oder KI-Modelle mit allgemeinem Verwendungszweck (General-Purpose AI, GPAI) entwickeln oder in ihrem Auftrag entwickeln lassen und es unter ihrem Namen oder ihrer Marke auf den Markt bringen oder in Betrieb nehmen.
Das Gesetz definiert ein KI-System als ein System, das mit einem gewissen Grad an Autonomie Eingaben verarbeiten kann, um daraus Rückschlüsse auf die Erzeugung von Ausgaben zu ziehen (z. B. Vorhersagen, Empfehlungen, Entscheidungen, Inhalte), die physische oder virtuelle Umgebungen beeinflussen können. Es definiert GPAI als KI-Modelle, die eine signifikante Universalität aufweisen und in der Lage sind, ein breites Spektrum unterschiedlicher Aufgaben kompetent auszuführen, und die in eine Vielzahl von nachgelagerten KI-Systemen oder -Anwendungen integriert werden können. Ein Foundation Model ist zum Beispiel ein GPAI; ein Chatbot oder ein Tool mit generativer KI, das auf diesem Modell aufbaut, wäre ein KI-System.
Anwender sind Personen oder Unternehmen, die KI-Tools nutzen. Zum Beispiel wäre ein Unternehmen, das einen intelligenten Chatbot für die Bearbeitung von Kundenserviceanfragen nutzt, ein Anwender.
Importeure sind in der EU ansässige oder niedergelassene Personen und Organisationen, die KI-Systeme einer außerhalb der EU ansässigen Person oder eines Unternehmens auf den EU-Markt bringen.
Das KI-Gesetz der EU gilt auch für Anbieter und Anwender außerhalb der EU, wenn ihre KI oder das Output der KI in der EU verwendet werden.
Nehmen wir zum Beispiel an, ein Unternehmen in der EU sendet Daten an einen KI-Anbieter außerhalb der EU, der die Daten mit Hilfe von KI verarbeitet und die Ergebnisse dann an das Unternehmen in der EU zurücksendet, um sie zu nutzen. Da der Output des KI-Systems des Anbieters in der EU verwendet wird, ist der Anbieter an das KI-Gesetz der EU gebunden.
Anbieter außerhalb der EU, die KI-Services in der EU anbieten, müssen autorisierte Vertreter in der EU benennen, um die Einhaltung der Vorschriften in ihrem Namen zu koordinieren.
Der Geltungsbereich des Gesetzes ist zwar weit gefasst, aber einige Anwendungsbereiche der KI sind davon ausgenommen. Die rein persönliche Nutzung von KI und KI-Modellen und -Systemen, die nur für die wissenschaftliche Forschung und Entwicklung verwendet werden, sind Beispiele für ausgenommene Einsatzmöglichkeiten von KI.
Das KI-Gesetz der EU reguliert KI-Systeme auf der Grundlage der Risikostufe. Risiko bezieht sich hier auf die Wahrscheinlichkeit und Schwere des potenziellen Schadens. Einige der wichtigsten Bestimmungen sind:
KI-Systeme, die nicht in eine der Risikokategorien des KI-Gesetzes der EU fallen, unterliegen nicht den Anforderungen des Gesetzes (diese werden oft als „minimale Risikokategorie“ bezeichnet), obwohl einige von ihnen möglicherweise Transparenzverpflichtungen erfüllen müssen und sie andere bestehende Gesetze einhalten müssen. Beispiele hierfür können E-Mail-Spam-Filter und Videospiele umfassen. Viele gängige KI-Anwendungsfälle lassen sich heute in diese Kategorie einordnen.
Es ist erwähnenswert, dass viele der Feinheiten des KI-Gesetzes der EU in Bezug auf die Umsetzung noch nicht geklärt sind. So heißt es in dem Gesetz, dass die Europäische Kommission weitere Leitlinien zu einzelnen Anforderungen veröffentlichen wird, so zum Beispiel im Zusammenhang mit Plänen zur Überwachung nach dem Markteintritt und bzgl. Zusammenfassungen von Schulungsdaten.
Das KI-Gesetz der EU führt ausdrücklich bestimmte verbotene KI-Praktiken auf, die ein unannehmbares Risiko darstellen. Die Entwicklung oder Verwendung eines KI-Systems, das Menschen absichtlich zu schädlichen Entscheidungen verleitet, die sie andernfalls nicht treffen würden, wird in dem Gesetz als inakzeptables Risiko für die Nutzer angesehen und gilt als verbotene KI-Praxis.
Die EU-Kommission kann die im Gesetz enthaltene Liste der verbotenen Praktiken ändern. Dementsprechend ist es möglich, dass in Zukunft weitere KI-Praktiken verboten werden.
Eine unvollständige Liste der verbotenen KI-Praktiken zum Zeitpunkt der Veröffentlichung dieses Artikels umfasst:
KI-Systeme werden im Rahmen des KI-Gesetzes der EU als risikoreich eingestuft, wenn es sich um ein Produkt oder eine Sicherheitskomponente eines Produkts handelt, das/die unter bestimmte EU-Gesetze fällt, auf die im Gesetz verwiesen wird, wie z. B. die Gesetze zur Sicherheit von Spielzeug und In-vitro-Diagnostika.
Das Gesetz führt auch bestimmte Verwendungszwecke auf, die generell als risikoreich gelten, darunter KI-Systeme, die wie folgt eingesetzt werden:
Für die in dieser Liste aufgeführten Systeme kann eine Ausnahme möglich sein, wenn das KI-System keine erhebliche Bedrohung für die Gesundheit, die Sicherheit oder die Rechte von Personen darstellt. Das Gesetz legt Kriterien fest, von denen eines oder mehrere erfüllt sein müssen, bevor eine Ausnahme ausgelöst werden kann (z. B. wenn das KI-System eine enge verfahrenstechnische Aufgabe erfüllen soll). Wenn sich der Anbieter auf diese Ausnahme beruft, muss er seine Bewertung dokumentieren, dass das System kein hohes Risiko darstellt. Die Aufsichtsbehörden können Einsicht in diese Bewertung verlangen. Die Ausnahmeregelung gilt nicht für KI-Systeme, die automatisch personenbezogene Daten verarbeiten, um bestimmte Aspekte des Lebens einer Person zu bewerten oder vorherzusagen, wie z. B. ihre Produktpräferenzen (Profiling), die immer als risikoreich gelten.
Wie bei der Liste der verbotenen KI-Praktiken kann die EU-Kommission auch die Liste der KI-Systeme mit hohem Risiko in Zukunft aktualisieren.
KI-Systeme mit hohem Risiko müssen besonderen Anforderungen genügen. Nachfolgend einige Beispiele:
Für bestimmte Arten von KI bestehen zusätzliche Transparenzpflichten. Nachfolgend einige Beispiele:
Im Folgenden stellen wir einige Verpflichtungen für die wichtigsten Betreiber von KI-Systemen mit hohem Risiko in der KI-Wertschöpfungskette (Anbieter und Anwender) vor.
Anbieter von KI-Systemen mit hohem Risiko müssen unter anderem folgende Anforderungen erfüllen:
Anwender von KI-Systemen mit hohem Risiko werden Verpflichtungen haben, darunter:
Das KI-Gesetz der EU schafft separate Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI). Anbieter von GPAI-Modellen haben unter anderem folgende Verpflichtungen:
Wenn ein GPAI-Modell als systemrelevantes Risiko eingestuft wird, haben die Anbieter zusätzliche Verpflichtungen. Ein systemisches Risiko ist ein Risiko, das sich auf die hochgradig auswirkungsreichen Fähigkeiten von GPAI-Modellen bezieht, die aufgrund ihrer Reichweite oder aufgrund tatsächlicher oder vernünftigerweise vorhersehbarer negativer Auswirkungen auf die öffentliche Gesundheit, die öffentliche Sicherheit, die Grundrechte oder die Gesellschaft als Ganzes, die sich in großem Umfang über die gesamte Wertschöpfungskette ausbreiten können, einen erheblichen Einfluss auf den EU-Markt haben. Das Gesetz verwendet Trainingsressourcen als eines der Kriterien für die Identifizierung systemischer Risiken. Wenn die kumulative Rechenleistung, die zum Trainieren eines Modells verwendet wird, mehr als 1025 Gleitkommaoperationen (Floating Point Operations, FLOPs) beträgt, wird davon ausgegangen, dass es hohe Auswirkungen haben kann und ein systemisches Risiko darstellt. Außerdem kann die EU-Kommission ein Modell in die Kategorie der systemischen Risiken einordnen.
Anbieter von GPAI-Modellen, die ein Systemrisiko darstellen, einschließlich freier, quelloffener Modelle, müssen einige zusätzliche Verpflichtungen erfüllen, darunter:
Bei Verstößen gegen die verbotenen KI-Praktiken können Unternehmen mit einer Geldstrafe von bis zu 35.000.000 EUR oder 7 % des weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist.
Für die meisten anderen Verstöße, einschließlich der Nichteinhaltung der Anforderungen für KI-Systeme mit hohem Risiko, können Unternehmen mit einer Geldstrafe von bis zu 15.000.000 EUR oder 3 % des weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist.
Bei der Übermittlung falscher, unvollständiger oder irreführender Informationen an die Behörden können Unternehmen mit einer Geldstrafe von bis zu 7.500.000 EUR oder 1 % des weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist.
Insbesondere sieht das KI-Gesetz der EU unterschiedliche Regeln für die Verhängung von Geldstrafen für Start-ups und andere kleine und mittlere Unternehmen vor. Für diese Unternehmen ist die Geldbuße der niedrigere der beiden oben genannten möglichen Beträge.
Das ursprünglich von der Europäischen Kommission im April 2021 vorgeschlagene KI-Gesetz wurde am 22. April 2024 vom Europäischen Parlament und am 21. Mai 2024 von den EU-Mitgliedstaaten angenommen. Das Gesetz tritt schrittweise 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU in Kraft. Nachfolgend einige der wichtigsten Daten:
Auf nur einer Plattform können Sie KI in Ihrem Unternehmen bereitstellen und integrieren, alle Datenquellen verwalten und verantwortungsvolle KI-Workflows beschleunigen.
Vereinfachen Sie Datagovernance, Risikomanagement und die Einhaltung gesetzlicher Vorschriften mit IBM OpenPages – einer hoch skalierbaren, KI-gestützten und einheitlichen GRC-Plattform.
Unser neuestes E-Book skizziert die wichtigsten Bausteine der KI-Governance und stellt ein detailliertes KI-Governance-Framework vor, das Sie in Ihrem Unternehmen anwenden können.
Entdecken Sie das transformative Potenzial von verantwortungsvoller KI für Ihr Unternehmen und erfahren Sie mehr über die entscheidenden Treiber für die Einführung ethischer KI-Praktiken.
Nehmen Sie an der Diskussion teil, warum Unternehmen die KI-Governance priorisieren müssen, um verantwortungsvolle KI zu implementieren.
Erfahren Sie, wie Data Governance sicherstellt, dass Unternehmen das Beste aus ihren Datenbeständen herausholen.
Explainable AI ist für ein Unternehmen von entscheidender Bedeutung, wenn es darum geht, Vertrauen zu schaffen, wenn KI-Modelle in der Produktion eingesetzt werden.
Die KI-Ethik ist ein multidisziplinäres Gebiet, das sich mit der Frage befasst, wie die positiven Auswirkungen der KI optimiert und gleichzeitig Risiken und negative Folgen reduziert werden können. Erfahren Sie mehr über den Ansatz von IBM im Bereich KI-Ethik.
Die Einhaltung sämtlicher geltender Gesetze und Vorschriften liegt in der Verantwortung des Kunden. IBM bietet keine Rechtsberatung an und gewährleistet nicht, dass die Services oder Produkte von IBM die Konformität von Gesetzen oder Verordnungen durch den Kunden sicherstellen.