Soll nächsten Monat in Kraft treten : AI Act nimmt letzte Hürde: Das müssen Sie beachten
Was ist künstliche Intelligenz?
Das EU-KI-Gesetz definiert ein KI-System als „ein maschinengestütztes System, das so konstruiert ist, dass es mit einem variablen Grad an Autonomie betrieben werden kann und nach seiner Inbetriebnahme anpassungsfähig ist, und das für explizite oder implizite Zwecke aus den ihm zugeführten Eingaben ableitet, wie es Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen können“, in Übereinstimmung mit der neuesten OECD-Definition.
Schlüsselbegriffe dieser Definition sind „Schlussfolgerung“ und „Autonomie“, wodurch sich ein System der künstlichen Intelligenz eindeutig von jeder anderen Software unterscheidet, deren Ausgabe durch einen strikten Algorithmus (wenn x, dann y) vorherbestimmt wird. Diese Definition ist bewusst weit gefasst, um sicherzustellen, dass das KI-Gesetz nicht in naher Zukunft veraltet. Sie unterscheidet sich deutlich von der ursprünglichen Definition von Systemen der Künstlichen Intelligenz, in der das Konzept mit einer vordefinierten Liste von Technologien und Methoden in Verbindung gebracht wurde, und verfolgt einen technologieneutralen und kohärenten Ansatz.
Achtung: Diese Anwendungen sind verboten
Das Verbot der biometrischen Echtzeit-Identifizierung zu Strafverfolgungszwecken war Gegenstand zahlreicher Debatten in den europäischen Institutionen. Das Verbot gilt nicht, wenn diese Systeme für die Strafverfolgung eingesetzt werden, wie z.B. die Suche nach Opfern von Menschenhandel oder sexueller Ausbeutung oder die Verhinderung von Terroranschlägen. Grundsätzlich erfordert die Inanspruchnahme einer solchen Ausnahme eine gründliche Bewertung, technische und organisatorische Maßnahmen, eine Notifizierung und eine Genehmigung.
Der AI-Act enthält eine konkrete Liste verbotener KI-Praktiken:
- Verwendung unterschwelliger Techniken oder absichtlicher Manipulation oder Täuschung, um das Verhalten wesentlich zu beeinflussen.
- Ausnutzung der Verwundbarkeit einer Person oder einer Gruppe durch KI aufgrund spezifischer Merkmale.
- Biometrische Kategorisierungssysteme, die eine Person auf der Grundlage sensibler Informationen individuell kategorisieren.
- Biometrische Echtzeit-Fernerkennungssysteme
- Gesichtserkennungsdatenbanken auf der Grundlage ungezielter Abtastung; und die Ableitung von Emotionen am Arbeitsplatz
Entscheidend ist die Einstufung des Risikos
Die strenge und umfassende Regulierung risikobehafteter KI-Systeme ist ein wesentlicher Bestandteil des AI Acts. Für Unternehmen, die sich mit KI beschäftigen, ist es daher in der Praxis wichtig festzustellen, ob das von ihnen entwickelte, importierte, vertriebene oder eingesetzte KI-System ein Hochrisikosystem darstellt.
Das KI-Gesetz sieht zwei Arten von KI-Systemen vor, die als risikoreich eingestuft werden:
- KI, die dazu bestimmt ist, als Produkt (oder als Sicherheitskomponente eines Produkts) verwendet zu werden, für das spezifische EU-Rechtsvorschriften gelten, z. B. in den Bereichen Zivilluftfahrt, Fahrzeugsicherheit, Schiffsausrüstung, Spielzeug, Aufzüge, Druckgeräte und persönliche Schutzausrüstung.
- KI-Systeme wie biometrische Systeme zur Fernidentifizierung, KI als Sicherheitskomponente in kritischen Infrastrukturen und KI in den Bereichen Bildung, Beschäftigung, Kreditwürdigkeitsprüfung, Strafverfolgung, Migration und demokratische Prozesse.
Spätestens 18 Monate nach Inkrafttreten des Gesetzes werden Leitlinien zur praktischen Umsetzung der Einstufung von KI-Systemen erwartet, ergänzt durch eine umfassende Liste risikoreicher und risikoarmer Anwendungsfälle.
Die Verpflichtungen der Anbieter
Anbieter von hochriskanten KI-Systemen werden strenge Anforderungen erfüllen müssen, damit sichergestellt ist, dass ihre KI-Systeme vertrauenswürdig, transparent und rechenschaftspflichtig sind. Unter anderem sind sie verpflichtet, Risikobewertungen durchzuführen, Daten von hoher Qualität zu verwenden, ihre technischen und ethischen Entscheidungen zu dokumentieren, Aufzeichnungen über die Leistung ihrer Systeme zu führen, die Nutzer über Art und Zweck ihrer Systeme zu informieren, menschliche Aufsicht und Eingriffe zu ermöglichen und die Genauigkeit, Robustheit und Cybersicherheit ihrer Systeme zu gewährleisten. Darüber hinaus müssen sie ihre Systeme auf Konformität testen, bevor sie in Verkehr gebracht oder in Betrieb genommen werden. Sie müssen ihre Systeme in einer öffentlich zugänglichen EU-Datenbank registrieren.
Lesetipp: Österreich bekommt eigene Servicestelle für Künstliche Intelligenz
Die Anbieter von Basismodellen ("Foundation Models") müssen Transparenzpflichten erfüllen. Dazu gehören eine detaillierte technische Dokumentation und Informationen über die Daten, die für das Training der KI verwendet wurden. Darüber hinaus müssen sie sicherstellen, dass das EU-Urheberrecht eingehalten wird.
Diese Strafen drohen bei Nichtbefolgung
Je nach Art des Verstoßes und der Größe des betroffenen Unternehmens sind die Strafen unterschiedlich hoch. Sie beginnen bei 7,5 Millionen Euro oder 1,5 Prozent des weltweiten Jahresumsatzes des Unternehmens. Sie können bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Gewinns betragen, je nachdem, welcher Betrag höher ist.
Die Kritik der Industrieverbände
Industrieverbände kritisieren, dass durch den AI Act die Innovations- und Wettbewerbsfähigkeit eingeschränkt wird. Betroffen von diesen Regelungen sind aber nicht nur europäische Unternehmen, sondern alle, die ihre Produkte in Europa auf den Markt bringen wollen. So müssen z.B. die Modelle von Open-AI in Zukunft AI-Act-konform sein, wenn sie auf dem europäischen Markt bleiben wollen.
Die Absicht, die Nutzung von Daten im Binnenmarkt zu stärken, wird vom VDMA zwar unterstützt. „Allerdings betrachten wir die konkrete Umsetzung des Data Acts mit Sorge, da wir zahlreiche potenzielle Gefahren für die datengetriebenen Geschäftsmodelle der Unternehmen im Maschinen- und Anlagenbau sehen", so Hartmut Rauen, stellvertretender Hauptgeschäftsführer des VDMA.