Neue Regeln für künstliche Intelligenz
Mit dem Artificial Intelligence Act will die EU Risiken beim Einsatz künstlicher Intelligenz in den Griff bekommen. Je höher das Risiko, desto strenger die Auflagen.
So faszinierend die Möglichkeiten künstlicher Intelligenz sein mögen, die neue Technologie hat ihre Risiken. Kriminelle etwa haben kürzlich einen Mitarbeiter bei einer Videokonferenz mittels eines KI-generierten virtuellen Vorgesetzten angewiesen, einen höheren Geldbetrag zu überweisen – was dieser prompt tat, er war sicher, dass das Gegenüber am Bildschirm sein Chef war. Um solche und andere Missbräuche zu verhindern, hat die Europäische Union jetzt einen rechtlichen Rahmen für den KI-Einsatz geschaffen. Die politische Einigung wurde im vergangenen Dezember erzielt. Der finale Artificial Intelligence (AI) Act soll bis April vorliegen und noch in der laufenden EU-Legislaturperiode in den EU-Gremien beschlossen werden.
Regelungen direkt wirksam
Die Regelungen wirken nach ihrer Veröffentlichung direkt in jedem Mitgliedsland ohne Umsetzung in nationales Recht. Für einzelne Inhalte soll es Übergangsfristen von bis zu drei Jahren geben. Gelten wird der EU AI Act für alle, die KI entwickeln bzw. innerhalb der EU anbieten oder nutzen und damit für einen großen Teil der heimischen Wirtschaft. Bei Verstößen drohen hohe Bußgelder – bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes.
Dass alle Akteure in die Pflicht genommen werden, findet Alexandra Ciarnau, Co-Leiterin der Digital Industries Group bei Dorda Rechtsanwälte und auf IT-/IP- und Datenschutzrecht spezialisiert, sinnvoll. Denn das Risiko einer KI hängt nicht nur davon ab, was sie leisten kann, sondern vor allem wie sie eingesetzt wird – und das wisse der KI-Entwickler nicht zwingend. „Es wird also auf einen engen Diskurs zwischen Entwickler, Importeur und Anwender hinauslaufen“, meint Ciarnau.
Wobei Anwendern oft nicht bewusst ist, dass sie KI überhaupt einsetzen. „Prinzipiell könnte jede Prozessautomatisierung KI-unterstützt
sein, aber nicht alles, was automatisiert abläuft, ist KI“, erklärt Ciarnau. Sie empfiehlt eine rechtzeitige Bestandsaufnahme, wo und wie prozessunterstützte Entscheidungen stattfinden, und die Definition eines KI-Verantwortlichen im Betrieb, der das Thema beobachtet und den AI Act immer mitdenkt, etwa
bei Softwareneuanschaffungen oder bei Budgetplanungen.
Konkrete Leitlinien gefragt
Die Wirtschaftskammer Wien steht dem AI Act grundsätzlich positiv gegenüber. Sie fordert aber die Vermeidung von Überregulierungen und Doppelgleisigkeiten und wünscht rasch Leitlinien zur Umsetzung der Vorgaben. Ciarnau sieht das EU AI Office in der Pflicht, diese Leitlinien auszuarbeiten und erwartet, dass dies nach Vorliegen des AI Acts in seiner finalen Fassung geschehen wird. Außerdem erwartet die Rechtsexpertin die baldige Entwicklung von Standards, um über entsprechend zertifizierte KI-Komponenten den Aufwand für den Einzelnen zu senken.
Die rechtlichen Rahmenbedingungen der EU basieren auf vier Risikostufen – je höher das Risiko, desto strenger die Auflagen. KI-Systeme
mit inakzeptablem Risiko wie beispielsweise Social Scoring oder Möglichkeiten zur Manipulation von Personen sind dann grundsätzlich verboten. Für jede Stufe sind Maßnahmen definiert, die schädliche Auswirkungen auf Sicherheit, Gesundheit oder Grundrechte von Menschen verhindern sollen.
Diesen „human centric approach“hält Rechtsanwältin Ciarnau für besonders bemerkenswert: „Der risikoabhängige Pflichtenkatalog ist eine der Stärken des AI Acts“, sagt sie. Die IT-Expertin betont, dass für den Einsatz künstlicher Intelligenz schon jetzt eine Fülle von Rechtsvorschriften gelte, etwa die Datenschutzgrundverordnung, das Konsumentenschutzgesetz, Diskriminierungsverbote oder das Urheberrechtsgesetz. „Wir bewegen uns mit KI nicht im rechtsfreien Raum, nur weil der EU AI Act noch nicht gilt.“