Was Unternehmen über das geplante AI-Gesetz der EU wissen müssen
Was die Veröffentlichung von ChatGPT mit dem neuen AI Act der EU zu tun hat und welche Auswirkungen das Ganze auf Unternehmen haben wird.
Die Veröffentlichung von ChatGPT schlug hohe Wellen bei Fans und Kritikern der künstlichen Intelligenz. Begeisterung über erste Gehversuche mit dem Programm traf schnell auf mahnende Stimmen; schließlich folgte sogar die Warnung führender KI-Unternehmer, innezuhalten und sich auf einen Regelkatalog für die revolutionäre Technologie zu einigen.
Jedem ist klar, dass künstliche Intelligenz reguliert werden muss. Vorschläge für einen freiwilligen KI-Verhaltenskodex kursieren, auch die Forderung nach einer unabhängigen internationalen Behörde zur Überwachung von KI steht im Raum.
Im Dezember 2023 erzielte die EU nach 37 Stunden Verhandlungen eine vorläufige Einigung über ihr KI-Gesetz. Thierry Breton, EU-Kommissar für den Binnenmarkt, bezeichnete diese Entwicklung als „historisch“. Sie soll das erste umfassende internationale Gesetz zur Regulierung der künstlichen Intelligenz einleiten.
Was plant die EU?
Brüssel geht es darum, einen verantwortungsvollen Umgang mit künstlicher Intelligenz zu etablieren. Die Regulierungen der EU sollen dafür sorgen, dass die neuen Möglichkeiten zum Wohl der Öffentlichkeit eingesetzt werden und Persönlichkeitsrechte geschützt werden.
Um das Feld zu regulieren, unterscheidet Brüssel die KI-Anwendungsfelder nach den vier Risikoklassen niedrig, mittel, hoch und inakzeptabel.
Inakzeptable KI-Anwendungen sind etwa in Echtzeit und ferngesteuerte Gesichtserkennungssysteme oder sprachgesteuerte, verhaltensmanipulierende Anwendungen. Auch Anwendungen, die zur Überwachung von Bürgerinnen und Bürgern dienen und damit demokratiefeindlichen Zwecken dienen können, fallen in diese Kategorie.
Als KI-Anwendungen mit hohem Risiko klassifiziert die EU nach dem bisherigen Plan Anwendungen für biometrische Identifizierung, für den Betrieb von kritischer Infrastruktur, für Bildungs- und Ausbildungszwecke, für Grenzkontrollen und z. B. im Rechtsbereich.
Im mittleren Risikobereich sieht Brüssel generative KI wie ChatGPT, die Bilder und Texte generieren kann. Geht es nach der EU, unterliegt ChatGPT künftig besonderen Transparenzregeln: Nutzerinnen und Nutzer müssen informiert werden, dass sie ein KI-generiertes Bild oder einen KI-generierten Text vor sich haben und die Hersteller müssen sicherstellen, dass Anwendungen wie ChatGPT nicht für die Produktion von illegalen Inhalten verwendet werden.
Einzig KI-Anwendungen mit niedrigem Risiko, etwa Programme die Bilder manipulieren können, sollen mit niedrigen Transparenz-Anforderungen belegt werden.
Zur Regulierung sieht Brüssel Risikomanagement-Systeme für die Anwendungen vor, die stetig aktualisiert werden müssen. Auch eine technische Dokumentation, eine menschliche Aufsicht und die Möglichkeit der Abschaltung werden gefordert. Beim Verstoß gegen die Regulierungen sollen Unternehmen mit Strafen bis zu 40 Millionen Euro oder 7 Prozent des Jahresumsatzes belegt werden.
Im Juni wurde der AI Act bereits im Europaparlament angenommen. Im nächsten Schritt müssen sich die EU-Kommission und die Mitgliedsstaaten abstimmen, schon zum Jahresende könnte die Regulierung in Kraft treten. Nach einigen Übergangsfristen würden die Regeln dann voraussichtlich ab 2026 greifen.
Über die Einzelheiten des Gesetzes muss noch entschieden werden – es wird wahrscheinlich frühestens 2025 in Kraft treten.
Schützender Standard oder Bremse?
Manche KI-Experten sind der Ansicht, gut definierte Standards für KI auf europäischer Ebene könnten für Deutschland und Europa zum Standortvorteil werden, weil Nutzerinnen und Nutzer dann wüssten, worauf sie sich einlassen.
Doch mehr als 100 hochrangige europäische Wirtschaftsvertreterinnen und -vertreter, darunter die CEOs von Siemens, Airbus und ARM, beklagten im Juni 2023 in einem Brandbrief, das geplante Gesetz gehe zu weit.
Ein besonderer Dorn im Auge sind ihnen Brüssels Regulierungsansätze für die generative KI nach dem Vorbild von ChatGPT, die Bilder und Texte generieren können. Ihre Sorge: Unternehmen müssten dann eventuell allein für die Transparenz-Anforderungen der EU für generative KI-Anwendungen eigene Compliance-Abteilungen einrichten. Der damit verbundene Aufwand und die Kosten würden die Wettbewerbsfähigkeit Europas gefährden und Unternehmen dazu zwingen, ihre Aktivitäten ins Ausland zu verlagern, argumentieren die Unterstützer des Briefes.
Die europäischen Wirtschaftsvertreter fürchten, dass mit der Regulierung aus Brüssel die Entwicklung von KI-Anwendungen behindert wird, während vor allem in den USA die weitgehend unregulierte Konkurrenz ungehemmt voranpreschen kann. Deshalb forderten die Wirtschaftsbosse eine engere Abstimmung der EU mit den USA, um ein transatlantisches Regelwerk aufzustellen.
Tatsächlich lässt auch die US-Regierung derzeit prüfen, ob die USA die Branche regulieren sollten; denkbar wäre auch ein Zertifizierungsprozess für Anwendungen. US-Regierungsbehörden werden beim Einsatz von künstlicher Intelligenz bereits Regeln auferlegt, für die freie Wirtschaft gelten sie jedoch noch nicht. Ob die EU und die USA sich bei der Regulierung von KI tatsächlich enger abstimmen, ist noch nicht abschätzbar – undenkbar ist es nicht.
Praxisbezogene Tipps zur Digitalisierung von Prozessen in der Compliance mit einem Fokus auf Informationssicherheit und Datenschutz.