Der EU AI Act ist beschlossen – welche KI-Anwendungen in Firmen sind noch legal?
Überblick: Der EU AI Act und viele Missverständnisse
Am 21. Mai 2024 hat der Rat der Europäischen Union die KI-Verordnung (AI Act) verabschiedet. Mit seiner Veröffentlichung im EU-Gesetzesblatt beginnen die Fristen zu laufen. Doch es gibt jede Menge offene Fragen zur praktischen Umsetzung des Gesetzespakets, das KI-Anwendungen in der Europäischen Union regulieren wird.
Beispiel: Viele Firmen setzen dazu ChatGPT oder andere LLMs ein – was müssen sie jetzt beachten? Was können sie vom Modellanbieter wie OpenAI verlangen? Welche Rechtssituation ergibt sich, wenn diese Probleme haben oder falsche Ergebnisse liefern?
Räumen wir gleich mit den großen Missverständnissen auf:
Missverständnis 1: Jeder KI-Bereich wird reguliert
Der EU AI Act wird nur einen Teil der künstlichen Intelligenz regulieren, ein Großteil der Anwendungen fällt nicht unter das neue Gesetz. Warum? Das KI-Gesetz guckt nicht auf die Technologie, sondern auf den Anwendungsbereich. Konkret fragt es: In welchem Anwendungsbereich steckt ein Risiko für uns als Gesellschaft?
Nehmen wir als Beispiel eine KI-Anwendung, die einen simplen Empfehlungs-Algorithmus wie bei Netflix steuert. Diese ist kein gesellschaftliches Risiko. Das Worst Case Scenario ist, dass der KI-Algorithm „Pretty Woman“ statt „Star Wars“ vorschlägt 🙂 Das ist kein gesellschaftliches Risiko, das das KI Gesetz regulieren muss.
Ein zweites Beispiel ist die Gesichtserkennung. Ich nutze diese Technologie x Mal am Tag, um mein Handy zu entsperren. Die gleiche Technologie kann aber eingesetzt werden in der Strafverfolgung – für die erste Anwendung greift das Gesetz nicht, für die zweite sehr wohl.
Zusammenfassend kann man sagen, es wird KI-Anwendungen geben, die gar nicht vom EU AI Act berührt werden, andere Anwendungen wie Social Scoring werden komplett verboten, wieder andere wie biometrische Überwachung mit verschiedenen Ausnahmen erlaubt – und dazwischen liegen viele Grauzonen.
Missverständnis 2: Der EU AI Act ist das erste Gesetz, das KI regelt
Das stimmt nicht, denn wir haben wir ja bereits Gesetze, die einige Bereiche bereits implizit regeln. Wenn ich was Illegales plane, wie z.B. eine Bombe zu bauen, und mir von einem LLM erklären lasse, wie ich das tue, ist genauso illegal, wie wenn ich das vorher gegoogelt habe.
Missverständnis 3: Auch LLMs wie ChatGPT und General Purpose AIs fallen unter die gleichen Regeln
LLMs, also Large Language Models und andere General Purpose AIs, (dazu gehört z.B. das beliebte und bekannteste LLM ChatGPT) fallen unter die gleichen Regeln wie andere KI-Anwendungen. Large-Language-Models und GeP-AIs( kurze für General Purpose AIs, als KI-Anwendungen it allgemeinem Zweck) werden auch reguliert, allerdings unterliegen sie einem eigenen Regelsatz. Das passt nicht zu der Logik „Es wird die Anwendung reguliert, nicht das Produkt“; hier hat der Gesetzgeber bewusst eine Ausnahme geschaffen.
Für diese GP-AI Modelle, also die allgemeinen KI-Modelle, gibt es bestimmte Anforderungen:
- Anforderungen an die Qualität der Daten, um beispielsweise keine Vorurteile, keine illegale Inhalte und Hasskommentare zu produzieren.
- Anbieter werden verpflichtet, ihre Produkte zu prüfen, dass kein diskriminierender / illegaler Inhalt ausgegeben wird – und müssen im Falle eines Falles ihre Modelle adaptieren.
- Daher muss es auch Reporting-Optionen geben, für die Nutzer, die solche Inhalte melden wollen.
- Kennzeichnungspflicht: Bei Chatbots entsteht die Pflicht, dass gekennzeichnet werden muss, dass man mit einem KI-Chatbot redet und nicht mit einem Menschen.
- Zusätzlich wird es noch eine Extrakategorie der besonders wirkmächtigen Modelle geben, die besonders hohe Extra-Anforderungen erfüllen müssen. Das sind beispielsweise „Nachhaltigkeit bei Design“ oder Cybersicherheitsanforderungen. Der Knackpunkt hier ist die Definition, ab wann ein KI-System ein besonders wirkmächtiges Modell ist.
Neue Instanzen: Wer ist verantwortlich?
Die Rechtsdurchsetzung für die GP-AI Modelle, also General-Purpose-AI-Modelle, ist bei dem noch zu gründenden EU AI Office (auch europäisches KI-Büro genannt) angesiedelt. Für alle anderen Teile wird es nationale Instanzen geben. In Deutschland zum Beispiel ist noch nicht klar, wer das machen soll.
KI-Software fällt in die Kategorie der Produkt-Sicherheitsgesetze, daher sind verschiedene Standardisierungsorganisationen auf europäischer Ebene und nationale Standardisierungsorganisationen, in Deutschland z.B. der TÜV, das BSI oder die Landesdatenschützer naheliegend.
Das AI Office ist in der Europäischen Kommission angesiedelt, als Zentrum für KI-Expertise. Es wird sehr wichtig zur Rechtsdurchsetzung, zur Unterstützung von verschiedenen Mitgliedsländern und Unternehmen sein. Es wird eine Schlüsselrolle als Sparringspartner und Kontrollinstanz für alle Beteiligten werden, denn es soll die verschiedenen Mitgliedsstaaten und die verschiedenen nationalen Behörden koordinieren sowie die Rechtsdurchsetzung für diese General Purpose AI-Modelle durchführen.
Der EU AI Act definiert auch eine Verantwortungskette: Das heißt, wenn ein Unternehmen sein Produkt auf einem KI-Produkt von einem anderen Unternehmen aufbaut, hat es das Recht, die Informationen zu bekommen, die es benötigt, um gesetzeskonform zu sein.
Strafen und Rechtsdurchsetzung
Vorgesehen sind prozentuale Strafen, die je nach nach Schwere und Art des Verstoßes ausfallen. Das EU KI-Gesetz sieht strenge Strafen bei Nichteinhaltung vor, um die Einhaltung der Vorschriften sicherzustellen:
- Unternehmen, die gegen die Regeln verstoßen, können mit Geldbußen von bis zu 30 Millionen Euro oder 6 % ihres weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist.
- Weniger schwerwiegende Verstöße können zu Geldbußen von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes führen.
- Geringfügige Verstöße können mit Strafen von bis zu 10 Millionen Euro oder 2 % des Umsatzes geahndet werden.
Darüber hinaus ermöglicht das Gesetz korrigierende Maßnahmen, einschließlich verpflichtender Anpassungen oder Einstellung der beanstandeten KI-Systeme. Diese Strafen sollen Verantwortlichkeit und die Einhaltung ethischer Standards bei der Entwicklung und dem Einsatz von KI durchsetzen.
Fazit zum EU AI Act
Das EU KI-Gesetz zielt darauf ab, die Regulierung gefährlicher KI und die Förderung von Innovationen in Einklang zu bringen. Es kategorisiert KI-Systeme nach Risikostufen, wobei strenge Regeln für Hochrisikoanwendungen wie biometrische Überwachung gelten.
Datenqualität, Transparenz, Rechenschaftspflicht und menschliche Aufsicht sind wichtige Anforderungen. Um Überregulierung zu vermeiden, bietet das Gesetz Flexibilität für Forschung und Unternehmen. Es fördert die Zusammenarbeit zwischen den EU-Mitgliedstaaten für einen einheitlichen Ansatz. Ziel ist es, Bürger zu schützen und gleichzeitig technologische Fortschritte und wirtschaftliches Wachstum zu fördern.
Doch die EU muss Gas geben, denn viele Fragen sind nach wie vor ungeklärt. Sie muss zügig einen Rechtsrahmen und Organe wie das AI Office und das unabhängige Expertengremium schaffen.
Sie möchten auch KI nutzen?
Welches sind die besten Tools für Ihren Anwendungsfall? Welche Tools sind legal? Was sind die wichtigsten Dinge, die zu beachten sind? Wir sagen es Ihnen!
Fragen Sie unsere ExpertenUpdates direkt ins Postfach
Wollen Sie regelmäßig Updates zum Thema „KI im Marketing“ und den EU AI Act erhalten? Registrieren Sie sich für unseren Newsletter! Anmeldung direkt hier unten.
