Mit dem AI Act will sich die EU als Vorreiter einer wertebasierten KI-Regulierung positionieren.

Mit dem AI Act will sich die EU als Vorreiter einer wertebasierten KI-Regulierung positionieren. (Bild: Stock.Adobe. com - Andrei)

Künstliche Intelligenz (KI) wird Wirtschaft und Gesellschaft enorme Gewinne bringen, ist die Präsidentin der Europäischen Kommission, Ursula von der Leyen, überzeugt. Vorausgesetzt, Unternehmen setzten die Technologie ‚umfassend und weise‘ ein. Was von der Leyen mit ‚weise‘ meint, steht seit Anfang August fest. Seit dem gilt der Artificial Intelligence (AI) Act der Europäischen Union (EU).

Bleiben Sie informiert

Diese Themen interessieren Sie? Mit unserem Newsletter sind Sie immer auf dem Laufenden. Gleich anmelden!

Er ist die weltweit erste Regulierung von KI. Sie gilt für jeden, der Produkte, die diese nutzen, in der EU entwickelt, verkauft, vertreibt, sie importiert, betreibt oder Verbrauchern zur Verfügung stellt. Der Act erfasst damit die komplette Wertschöpfungs- und Nutzungskette der Technologie. So soll ein Rechtsrahmen für ‚vertrauenswürdige‘ KI entstehen. Das ist sie, wenn sie cybersicher, transparent, ethisch und unparteiisch ist und sich jederzeit unter menschlicher Kontrolle befindet. Weil der AI Act Grundwerte der EU umsetzt, bestraft er Verstöße hart mit einem Bußgeld von bis zu sieben Prozent des Umsatzes eines Unternehmens oder maximal 35 Millionen Euro – je nachdem, welcher Betrag höher ist.

Laut dem EU-Statistikamt Eurostat nutzen erst 8 % der europäischen Unternehmen KI. Deutschland liegt über dem Durchschnitt, aber klar hinter den Spitzenreitern.
Laut dem EU-Statistikamt Eurostat nutzen erst 8 % der europäischen Unternehmen KI. Deutschland liegt über dem Durchschnitt, aber klar hinter den Spitzenreitern. (Bild: Statista)

Klassengesellschaft für KI-Anwendungen

Der AI Act teilt KI-Anwendungen in Risiko-Klassen ein. Diese sind nach den durch sie möglichen negativen Auswirkungen einer KI auf die Grundrechte, die Gesundheit oder Sicherheit von EU-Bürgern gestaffelt:

  • Biometrische Echtzeit-Identifikationssysteme, Anwendungen, die Rückschlüsse auf die Emotionen von Arbeitnehmern zulassen, oder Systeme zur vorausschauenden Polizeiarbeit etwa gelten als unvereinbar mit den Werten der Gemeinschaft. Daher sind sie ab dem 2. Februar 2025 einzustellen oder vom Markt zu nehmen.
  • Ab August 2026 erlaubt der Act die Entwicklung, Verbreitung und Nutzung der in die nächste Klasse eingestuften und als ‚hochriskant‘ beurteilten KI-Anwendungen nur noch unter Auflagen. Als hochriskant gelten Systeme, die in Anhang III des Acts aufgelistet sind – etwa KI für den Betrieb kritischer Infrastruktur, die Versorgung mit Gas, Wasser, Wärme und Strom oder den Straßenverkehr.
  • In die Kategorie fallen auch Produkte und deren Sicherheitskomponenten, die bereits andere Normen der EU regulieren – etwa die Medizingeräte-Verordnung oder die derzeit novellierte Maschinenrichtlinie beziehungsweise -verordnung. Diese stellt künftig auch Anforderungen an die Sicherheit von zu Maschinen ‚dazugehörigen Produkten‘ wie Software.
  • Als hochriskant gilt KI auch in Produkten, für die es eine harmonisierte europäische Norm gibt, die eine Konformitätszertifizierung vorschreibt.
  • Als KI, von der nur ein minimales Risiko ausgeht, gelten schließlich unter anderem Anwendungen für die vorausschauende Instandhaltung von Maschinen.

Mit dem AI Act reguliert die EU somit nicht etwas, für das bislang keine Regeln galten. „Es gibt schon jetzt zahlreiche Normen, die auch KI-Anwendungen betreffen – den Datenschutz, das Haftungsrecht, Nicht-Diskriminierungs-Vorschriften, die Menschenrechte, das Arbeits- und Urheberrecht“, veranschaulicht Ivana Bartoletti, Global Chief Officer für Datenschutz und AI-Governance bei Wipro, einem IT-Dienstleister mit mehr als 230 000 Mitarbeitenden. Mit dem AI Act fasse die EU dies nur in einen neuen Rahmen (siehe auch folgendes Interview).

Lukratives Geschäft: Der deutsche Markt für generative KI soll bis zum Ende des Jahrzehnts um rund 20 % pro Jahr wachsen.
Lukratives Geschäft: Der deutsche Markt für generative KI soll bis zum Ende des Jahrzehnts um rund 20 % pro Jahr wachsen. (Bild: Statista)

Vertrieb hochriskanter Systeme nur unter strengen Auflagen

Wer künftig hochriskante KI-Systeme verkauft, muss nachweisen, dass sie den Vorgaben des AI Act entsprechen und sie in einer EU-Datenbank registrieren. In den meisten Fällen können Anbieter die Übereinstimmung ihrer Systeme mit der Verordnung selbst ermitteln und in einer Konformitätserklärung dokumentieren. So kommen sie schneller an das Konformitätszertifikat und die CE-Kennzeichnung, ohne die sie KI nicht vertreiben dürfen.

Um die Zulassung zu erhalten, müssen sie unter anderem eine technische Dokumentation ihrer KI vor- und belegen, dass diese den Grundsätzen vertrauenswürdiger KI entspricht. Anbieter müssen abschätzen und dokumentieren, welche Folgen der Betrieb ihrer Anwendung für die Grundrechte von EU-Bürgern haben kann. Die für das Training der Algorithmen verwendeten Datensätze müssen repräsentativ und weitestgehend fehlerfrei sein. Außerdem müssen Entwickler ein Qualitätsmanagement-System aufbauen, das während des gesamten Lebenszyklus ihres KI-Modells dessen Datenqualität gewährleistet. Nicht zuletzt muss sich ihr System jederzeit von einem Menschen mit einer ‚Stopp-Taste‘ oder ‚-funktion‘ zum Stillstand bringen lassen.

Automation NEXT: Wir schreiben, what´s next!

ANX 6 / 2024
(Bild: ANX)
  • Dieser Artikel stammt aus der ersten Ausgabe von Automation NEXT, dem neuen Magazin für Automatisierung und Konstruktion.
  • Automation NEXT ist der Zusammenschluss der Titel ke NEXT und IEE, der digital bereits im November 2023 stattgefunden und nun auch in gedruckter Form vollzogen wird.
  • Das Magazin Automation NEXT erscheint in acht Ausgaben pro Jahr mit einer gedruckten Auflage von 30.000 Exemplaren.
  • Hier gehts zum Abo: https://fachzeitschriften.shop/products/automationnext

Die von Herstellern, Verkäufern und Importeuren von KI-Anwendungen vorgelegten Konformitätserklärungen kontrolliert als Regulierungsbehörde auf EU-Ebene das European Artificial Intelligence Board. Es nahm Anfang September seine Arbeit auf. Die Bundesregierung muss der EU zudem bis 2. November 2024 eine Behörde nennen, die in Deutschland für die Umsetzung der Verordnung zuständig ist. Infrage kommen vor allem die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik.

Auch Anwender stehen in der Pflicht.

Da der AI Act KI nicht nur ‚weise‘, sondern auch ‚umfassend‘ reguliert, nimmt er auch Anwender hochriskanter Systeme in die Pflicht. Sie dürfen Anwendungen nur entsprechend den Herstelleranweisungen einsetzen und müssen sicherstellen, dass der Input für das weitere Training des KI-Modells repräsentativ und valide ist. Anwender müssen auch ermitteln, ob und wenn ja inwieweit die von ihnen genutzte KI Grundrechte beeinträchtigt und Mitarbeitende informieren, wenn sie am Arbeitsplatz einem hochriskanten KI-System ausgesetzt sind. Zwischenfälle und bis dahin unerkannte Risiken müssen sie den Aufsichtsbehörden melden.

Noch weitergehende Auflagen müssen Entwickler und Nutzer von Large-Language-Modellen (LLM) und Anwendungen erfüllen, von denen ‚systemische Risiken‘ ausgehen. Das ist der Fall, wenn ein Modell bestimmte technische Kriterien erfüllt. Beispielsweise wenn sein Training einen kumulativen Rechenaufwand von mehr als 1025 Gleitkommaoperationen erfordert. Wer solche KI entwickelt oder nutzt, muss künftig unter anderem dokumentieren, welche Daten er verwendet und denkbare ‚systemische Risiken‘ in standardisierten Verfahren ermitteln und darlegen. Verletzt die KI im Betrieb Grundrechte oder gefährdet die Sicherheit und Gesundheit von Menschen, ist die EU-Kommission darüber sowie über die Maßnahmen zu informieren, die ergriffen werden, um Zwischenfälle künftig zu vermeiden.

Behindert der AI Act Innovationen?

Viele Regelungen des AI Act bereiten Unternehmen Sorgen, weil sie in derzeit noch undefinierten Rechtsbegriffen beschrieben werden. „Bei manchen Punkten fragen wir uns, ob die Regulierung so kompliziert sein muss“, meint Kai Kalusa zum AI Act. Er verantwortet den Bereich Digital Public Affairs in der Abteilung Informatik beim VDMA. „Unser Verband hat viele kleinere Mitglieder, die KI-affin sind, aber keinen Mitarbeitenden abstellen können, nur um Compliance-Auflagen zu erfüllen“, so Kalusa. Wenn dann noch rechtliche Unklarheiten wie beim AI Act dazukämen, bremse das Innovationen aus. „Wenn Betriebe nicht wissen, wie sie regulierungskonform innovieren können, warten sie eben ab“, fasst Kalusa zusammen. Eine Anfang September veröffentlichte Umfrage der Unternehmensberatung Deloitte bestätigt das. Jeder zweite Teilnehmer äußerte darin die Sorge, dass ihn die KI-Verordnung in seinen Innovationsmöglichkeiten einschränke.

Das liegt auch daran, dass viele Rechtsbegriffe der Regulierung noch nicht ausreichend definiert sind. „Die teils wohl bewusst unklaren Regelungen des AI Act machen eine Auslegung nicht immer leicht“, berichtet Dr. Till Contzen, Partner im Bereich Tax and Legal bei Deloitte.

„Die Bundesregierung muss deshalb zeitnah einen Vorschlag für ein nationales Durchführungsgesetz vorlegen, damit Unternehmen wissen, was auf sie zukommt“, fordert der Präsident des Digitalverbandes Bitkom, Dr. Ralf Wintergerst. Ebenso wichtig ist, dass Gremien wie das European Telecommunications Standards Institute (ETSI) oder das Deutsche Institut für Normung schnell die Standards erarbeiten, die es für die Umsetzung des AI Act braucht. Keine leichte Aufgabe. Denn da der Act die erste Regulierung von KI weltweit ist, gibt es bislang keine Normen, an denen sich die EU orientieren könnte.

Europa braucht Einigkeit beim KI-Einsatz

Ohne die geht es aber nicht, wenn die Verordnung EU-weit einheitlich umgesetzt werden soll. „Es darf nicht sein, dass Unternehmen erst einmal herausfinden müssen, welche Regulierung für KI in Deutschland, Frankreich oder Italien gilt“, erklärt Wipros Datenschutzchefin und KI-Expertin Ivana Bartoletti. „Wir können in Europa nicht das kopieren, was die USA oder China in der künstlichen Intelligenz machen. Aber wir können das in die Waagschale werfen, was wir haben: den Binnenmarkt.“ Wenn jedes EU-Mitglied den AI Act anders umsetze, haben wir am Schluss nichts gewonnen, so Bartoletti. Sei sich Europa dagegen einig, böte der AI Act aber die Grundlage, auf der seine Unternehmen exzellente und weltweit führende Angebote im Bereich der vertrauenswürdigen KI aufbauen könnten.

Sie möchten gerne weiterlesen?