AI Act - Die KI-Ver­ordnung der EU tritt mit 1.8.2024 in Kraft

Nach gut drei Jahren der Verhandlungen haben sich das EU-Parlament und der Rat im Frühjahr 2024 über Regeln zum Umgang mit künstlicher Intelligenz (KI) geeinigt. Mitte Juli wurde die EU-Verordnung 2024/1689 über künstliche Intelligenz (AI Act) nun im Amtsblatt L vom 12.7.2024 veröffentlicht.

Der AI Act der EU ist damit weltweit der erste Rechtsakt, der konkrete Regelungen für den Einsatz von künstlicher Intelligenz (KI) enthält. Er tritt grundsätzlich mit 1.8.2024 (20 Tage nach dessen Veröffentlichung im Amtsblatt) in Kraft, die einzelnen Bestimmungen des Rechtsaktes sollen für die jeweiligen KI-Systeme gestuft nach deren risikobasierten Einstufung in Geltung treten: Die Regelungen für verbotene KI-Systeme, deren Nutzung eingestellt werden muss, beginnen sechs Monate nach dem Inkrafttreten (ab 1.2.2025) zu gelten, 24 Monate nach dem Inkrafttreten (ab 1.8.2026) gelten die übrigen Verpflichtungen des AI Act (z.B. Transparenzpflichten für generative KI-Systeme); eine Ausnahme besteht für Hochrisiko-KI-Systeme, für die eine verlängerte Übergangsfrist von 36 Monaten vorgesehen ist.

Anwendungsbereich

Der AI Act weist einen weiten Anwendungsbereich auf und gilt für alle, die Produkte oder Dienstleistungen auf der Grundlage von künstlicher Intelligenz anbieten. Er umfasst Anwendungen, die Inhalte, Vorhersagen und Empfehlungen bereitstellen oder die Entscheidungsfindung der Nutzer beeinflussen. Er schließt dabei neben kommerziellen Angeboten auch die Nutzung von KI im öffentlichen Sektor wie z.B. bei der Strafverfolgung ein. Der "AI Act" soll die bestehenden Rechtsakte wie insbesondere die EU-Datenschutz-Grundverordnung (DSGVO) ergänzen. 

Auflagen für KI-Anwendungen

KI-Anwendungen werden grundsätzlich unterschiedlichen Risiko-Kategorien zugeordnet- von "minimal" über "hoch" bis "inakzeptabel". Je nach Einstufung haben die Anbieter bestimmte Sicherheits- und Transparenz-Anforderungen einzuhalten.

Anbieter von KI-Programmen, die potenziell Gesundheit, Sicherheit, Bürgerrechte, Umwelt, Demokratie, Wahlen und Rechtsstaatlichkeit gefährden, müssen beispielsweise für eine Zulassung eine Reihe von Auflagen erfüllen. Dazu zählt u.a. eine Analyse, welche Folgen die Anwendung für die Grundrechte zeitigen könnte (Folgenabschätzung).

KI, die als weniger riskant betrachtet wird, unterliegt vor allem Transparenzregeln. Dabei müssen von KI-Programmen erstellte Inhalte als solche gekennzeichnet werden, damit Nutzer selbst entscheiden können, wie sie mit diesen umgehen wollen.

KI-Nutzung durch Behörden in der Strafverfolgung

Behörden sind ermächtigt, biometrische Echtzeit-Erkennung im öffentlichen Raum zu nutzen, um Opfer von Entführungen, von Menschenhandel und von sexueller Gewalt zu identifizieren sowie eine konkrete und unmittelbare Terrorismus-Gefahr abzuwehren. KI darf ferner bei der Fahndung nach Personen eingesetzt werden, die terroristischer Straftaten, anderer Kapitalverbrechen, der Mitgliedschaft in einer kriminellen Vereinigung oder der Umweltkriminalität verdächtigt werden. 

Verbote bestimmter KI-Anwendungen

Eine Reihe von KI-Anwendungen, die als inakzeptabel eingestuft werden, werden vom AI Act verboten. Dazu gehören biometrische Kategorisierungssysteme, die sensible Merkmale wie politische oder religiöse Überzeugungen, sexuelle Orientierung oder ethnische Zugehörigkeit nutzen.

Nicht zulässig ist außerdem ein ungezieltes Durchsuchen des Internets oder von Aufnahmen von Überwachungsanlagen zur Erstellung von Gesichtsdatenbanken.

Auch darf KI nicht zur Erkennung von Emotionen am Arbeitsplatz und in Bildungseinrichtungen eingesetzt werden. Programme zur Manipulation von menschlichem Verhalten sind ebenso verboten wie Anwendungen, die Schwächen von Menschen aufgrund Alter, Behinderung, sozialer oder wirtschaftlicher Situation ausnutzen. Schließlich darf KI auch nicht zur Erstellung eines Benotungssystems für soziales oder persönliches Verhalten ("Social Scoring") verwendet werden. 

Generative KI und allgemein einsetzbare KI Systeme

Allgemein einsetzbare KI Systeme (General Purpose AI Systems bzw. kurz: GPAIS) sind eine Kategorie, die gegen Ende des Rechtsetzungsprozesses für die recht neue generative KI eingeführt wurde. Dazu zählen Programme wie z.B. ChatGPT, die unter anderem anhand weniger Stichworte komplette Texte oder Bilder erstellen und in unterschiedlichen Anwendungsbereichen eingesetzt werden können.

Die Anbieter von allgemein einsetzbarer KI (GPAIS) bzw. Grundlagenmodellen ("Foundation Models") müssen allen voran Transparenzpflichten erfüllen, wozu insbesondere eine detaillierte technische Dokumentation und Informationen über diejenigen Daten, die für das Training der KI genutzt wurden, zählen. Dabei ist von ihnen sicherzustellen, dass die Vorgaben des EU-Urheberrechts eingehalten werden.

Weitergehende Verpflichtungen bestehen bei systemisch riskant eingestuften Grundlagenmodellen: hier müssen die Anbieter ihre Modelle zusätzlich umfangreich testen, evaluieren und Risiken minimieren. Für schwerwiegende Vorfälle besteht eine Meldepflicht.

Strafen und Sanktionen

Die Strafen richten sich nach der Schwere des Regelverstoßes und der Größe des betroffenen Unternehmens. Sie beginnen bei 7,5 Mio. EUR oder 1,5 Prozent des weltweiten Jahresumsatzes eines Unternehmens und können bis zu 35 Mio. EUR oder 7 Prozent des weltweiten Gewinns erreichen.

Behörden und Verfahren

Jedem Mitgliedstaat obliegt es, eine oder mehrere zuständige nationale Behörden zu ernennen, die das Land im Europäischen Ausschuss für künstliche Intelligenz vertritt bzw. vertreten. Die EU-Kommission wird ein Europäisches KI-Büro einrichten, das KI-Modelle mit allgemeinem Verwendungszweck überwacht.

Weiterführende Informationen

In Österreich wurde Anfang 2024 die KI-Servicestelle bei der Regulierungsbehörde RTR GmbH eingerichtet. Sie stellt auf ihrer Website ein umfassendes Informationsangebot zur Verfügung.

Informationsangebote der WKO: Künstliche Intelligenz - KI.