EU-Gesetzgebung zur Künstlichen Intelligenz
Kategorisierung von KI-Systemen je nach Risiko– Biometrische Überwachung in der Kritik
Brüssel – ds. Die Europäische Union hat im Dezember grünes Licht für das erste Gesetz zur Regulierung der Künstlichen Intelligenz (KI) gegeben, den sogenannten AI Act. Damit positioniert sie sich als erste überstaatliche Institution, die spezifische Gesetze für die Nutzung und Entwicklung von KI-Technologien einführt. Ziel des neuen Gesetzes ist vor allem, die Sicherheit von KI-Systemen zu gewährleisten und die grundlegenden Rechte der Nutzer sowohl im öffentlichen als auch im privaten Sektor zu schützen.
Vollständig in Kraft treten soll das Gesetz 2026 – die Umsetzung erfolgt schrittweise. So soll beispielsweise das Europäische Büro für Künstliche Intelligenz sofort eingerichtet werden, das Verbot gesetzeswidriger KI-Systeme soll in sechs Monaten und die Anforderungen an generative KI-Systeme und -Modelle sollen in zwölf Monaten kommen.
Allerdings sind Unternehmen jetzt schon gefordert, sich auf die Einhaltung der neuen Vorschriften vorzubereiten. Und daran täten sie gut. Die Neue Züricher Zeitung betitelt das neue KI-Gesetz als Regulierungsmonster der EU und zitiert den Mitgründer und Chef der Firma Modulos Kevin Schawinski, der der Meinung ist, „dass der Aufwand der Unternehmen, um alle Erfordernisse dieses Gesetzes zu erfüllen, mindestens so gross sein werde wie bei der Einführung der Datenschutz-Grundverordnung der EU (GDPR).“Den Aufwand werden sich wohl eher Big-Techs leisten können als kleine Startup-Unternehmen. Ebenso die Strafen. Bei Verstößen können Unternehmen mit extraterritorialer Wirkung, mit bis zu 35 Millionen Euro beziehungsweise sieben Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) belangt werden.
Einteilung je nach Risiko
Die EU teilt die Risiken von KISystemen – je nach Risiko für Menschen, Gesellschaft oder Umwelt – in drei Kategorien ein, die unter anderem auf der Webseite der Europäischen Kommission aufgeführt werden:
Minimales Risiko: Die Mehrheit der KI-Systeme fällt in die Kategorie des minimalen Risikos und sie unterliegen daher nur minimalen Vorschriften. Dazu gehören beispielsweise Chatbots, grundlegende Bilderkennungssysteme oder automatisierte Textkorrekturprogramme, KI-basierte Spamfilter, Sicherheitssysteme oder medizinische Diagnosesysteme. Sie müssen bestimmte Transparenzpflichten erfüllen, um Nutzer über die Funktionsweise und die Risiken des Systems zu informieren. Unternehmen können sich jedoch freiwillig zur Einhaltung zusätzlicher Verhaltenskodizes für solche KI-Systeme verpflichten.
Hohes Risiko: KI-Systeme dieser Kategorie, dazu zählen sensible Bereiche wie Strafverfolgung, Gesundheitsversorgung oder Finanzwirtschaft, müssen strenge Anforderungen erfüllen, darunter eine Risikobewertung des Systems, Protokollierung von Operationen, klare Informationen für Nutzer, zusätzliche menschliche Überwachung und ein hohes Maß an Genauigkeit sowie Cybersicherheit.
KI-Systeme mit hohem Risiko sind zum Beispiel biometrische Systeme, die zur Identifizierung oder Authentifizierung von Personen verwendet werden, wie Gesichtserkennungssysteme oder Fingerabdruckscanner, sowie zur Emotionserkennung. Diese können zur
KI in die Schranken weisen – ist das möglich?
Diskriminierung oder Verfolgung von Menschen eingesetzt werden. Ein weiteres Beispiel sind Systeme zur medizinischen Diagnose, die zu Fehldiagnosen oder zu fehlerhaften Behandlungen führen könnten.
Ebenso gehören bestimmte kritische Infrastrukturen dazu in den Bereichen Wasser, Gas und Strom, Systeme für die Zugangsgewährung zu Bildungseinrichtungen oder für die Einstellung von Personen.
Unzumutbares Risiko: Sind die Risiken einer KI so hoch, dass es für die Einführung oder Verwendung keinerlei Rechtfertigung gibt, sind diese in der EU verboten. In diese Kategorie fallen KI-Systeme oder -Anwendungen, die in der Lage sind menschliches Verhalten zu manipulieren, um den freien Willen des Nutzers zu umgehen.
Als Beispiel nennt die Europäische Kommission Spielzeug mit Sprachassistenten, die Minderjährige zu gefährlichem Verhalten ermutigen. Oder Systeme, die es Behörden oder Unternehmen ermöglichen, soziales Verhalten zu bewerten, bekannt unter dem Begriff Social Scoring.
Des Weiteren nennt die Europäische Kommission einige „Verwendungsarten biometrischer Systeme, wie Erkennung von Gefühlsregungen am Arbeitsplatz und bestimmte Systeme zur Kategorisierung von Personen oder zur biometrischen Fernidentifizierung in Echtzeit zu Strafverfolgungszwecken an öffentlich zugänglichen Orten (mit eng definierten Ausnahmen).“
Im Grunde genommen sind alle
KI-Systeme, egal welcher RisikoKlasse sie angehören, die in der EU in Verkehr gebracht oder verwendet werden einer Transparenz verpflichtet. Das bedeutet, Deepfakes und andere KI-generierte Inhalte müssen als solche gekennzeichnet werden, und Nutzer müssen informiert werden, wenn Systeme zur biometrischen Kategorisierung oder Emotionserkennung eingesetzt werden. Darüber hinaus müssen Anbieter die Systeme so gestalten, dass synthetische Inhalte wie Audio-, Video-, Text- und Bildinhalte in einem maschinenlesbaren Format als künstlich erzeugt oder manipuliert gekennzeichnet und als solche erkannt werden können.
Biometrische Überwachung
Einer der heikelsten Punkte in den Verhandlungen war der Einsatz von Kameras zur biometrischen Identifizierung durch die Strafverfolgungsbehörden in öffentlichen Räumen, um die nationale Sicherheit zu gewährleisten. Markus Beckedahl, Gründer von Netzpolitik.org, einer deutschsprachigen NachrichtenWebsite zu digitalen Freiheitsrechten und anderen netzpolitischen Themen, postete auf X: „Leider hat es die EU verpasst, biometrische Videoüberwachung im öffentlichen Raum einen klaren Riegel vorzuschieben. Die Formulierungen im AI-Act lassen Schlupflöcher groß wie Scheunentore offen.“
Auch der Europaabgeordnete Patrick Breyer äußerte sich dazu kritisch: „Einer gesucht, alle überwacht? Mit dieser gesetzlichen Anleitung zu biometrischer Massenüberwachung kann unser Gesicht in der Öffentlichkeit immer und überall flächendeckend und verdachtslos gescannt werden. Die vermeintlichen Ausnahmen sind Augenwischerei...“