Am 14. Juni 2023 verabschiedete das Europäische Parlament seine Verhandlungsposition zur gesetzlichen Regulierung von Künstlicher Intelligenz (KI-Verordnung). Damit ist der Weg für den Trilog frei, sodass nun die abschließenden Verhandlungen zwischen der Europäischen Kommission, dem Rat der Europäischen Union und dem Europäischen Parlament über die endgültige Form des Gesetzes beginnen können.
Hintergrund
Die Europäische Union hat als Teil ihrer digitalen Strategie den ersten rechtlichen Rahmen für Künstliche Intelligenz (KI) vorgeschlagen. Ziel ist es, die Einführung, Implementierung und Nutzung von KI-Systemen zu regulieren und auf Europäischer Ebene zu vereinheitlichen. Dieser Rahmen empfiehlt eine Analyse und Klassifizierung von KI-Systemen, die in verschiedenen Anwendungen eingesetzt werden können, basierend auf dem Risiko, das sie für die Nutzer darstellen. Zentrales Anliegen der KI-Verordnung ist die Förderung einer sicheren, vertrauenswürdigen und menschenzentrierten KI, die die in der Europäischen Union geschützten Grund- und Ethikwerte berücksichtigt. Durch diese Maßnahmen will die Europäischen Union Gesundheit, Sicherheit, Grundrechte und die Demokratie vor möglichen negativen Folgen der KI-Technologie schützen.
Seit dem ursprünglichen Vorschlag der Europäischen Kommission haben der Rat der Europäischen Union und das Europäische Parlament an Änderungen gearbeitet. Diese umfassten zuletzt auch die Berücksichtigung von generativer KI.
Regelungsinhalt der neuen KI-Verordnung
Neue Definition des Begriffs „KI-System“
Die Definition von "KI-System" hat in den Vorschlägen des Europäischen Parlaments eine bedeutsame Überarbeitung erfahren. Ursprünglich wurde ein KI-System als Software verstanden, die mittels bestimmter Techniken und Konzepte entwickelt wurde und darauf ausgelegt ist, bestimmte, vom Menschen festgelegte Ziele zu erreichen und entsprechende Ergebnisse hervorzubringen.
Das neu gefasste Verständnis von KI-Systemen erweitert diesen Rahmen deutlich. Nun werden KI-Systeme als maschinenbasierte Systeme definiert, die mit unterschiedlichem Grad an Autonomie arbeiten und explizite oder implizite Ziele verfolgen können. Diese Systeme können Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen generieren, die die physische oder virtuelle Umgebung beeinflussen. Zudem wurde der Begriff "Nutzer" durch "Betreiber" ersetzt, um die Auslegung des Gesetzes zu präzisieren.
Erweiterte Liste von verbotenen KI-Praktiken
Das Europäische Parlament hat eine erweiterte Liste von Verboten für bestimmte KI-Systeme vorgeschlagen, die potenziell missbräuchlich oder gefährlich sein könnten. Darunter fallen Systeme zur Manipulation menschlichen Verhaltens, Social Scoring, Predictive Policing und biometrische Kategorisierungssysteme. Ebenso sind Systeme zur Gesichtserkennung und Emotionserkennung in bestimmten Bereichen wie Strafverfolgung eingeschlossen. Die Erweiterung der Verbotsliste zeigt ein wachsendes Bewusstsein für die ethischen und sicherheitsrelevanten Aspekte der KI und die Notwendigkeit, diese Technologie verantwortungsvoll zu regulieren.
Änderungen im Bereich Hochrisiko-KI
Das Europäische Parlament hat den Bereich der Hochrisiko-KI-Systeme erweitert. Zusätzlich zu den bestehenden Kategorien gelten nun auch Empfehlungssysteme von sehr großen Social-Media-Plattformen und solche zur Beeinflussung von Wahlen oder Wählerverhalten als hochriskant. Zudem wurde eine zweite Klassifizierungs-Ebene eingezogen. Danach sollen KI-Systeme nur dann als Hochrisiko-Anwendungen gelten, wenn von ihnen ein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte ausgeht.
Neue Anforderungen für Anbieter von Basismodellen und generativer KI
Der neu eingeführte Artikel 28b regelt spezifische Pflichten für Anbieter von KI-Basismodellen und generativer KI. Dabei wird das “Basismodell“ im Artikel 3 Absatz 1 Nr. 1c definiert als
„ein KI-Systemmodell, das auf einer breiten Datenbasis trainiert wurde, auf eine allgemeine Ausgabe ausgelegt ist und an eine breite Palette unterschiedlicher Aufgaben angepasst werden kann“.
Der Begriff “generative KI“ wird von der Verordnung (Artikel 28b Abs. 4) als KI-Systeme definiert,
“die speziell dazu bestimmt sind, mit unterschiedlichem Grad an Autonomie Inhalte wie komplexe Texte, Bilder, Audio- oder Videodateien zu generieren“.
Der neue Artikel 28b stellt eine wichtige Entwicklung dar, insbesondere seit dem Aufkommen und der zunehmenden öffentlichen Diskussion generativer KI-Modelle wie ChatGPT.
Danach müssen Anbieter von Basismodellen sicherstellen, dass diese den festgelegten Anforderungen entsprechen, wie beispielsweise Risikomanagement, angemessene Datenverarbeitung, Leistungsstandards, Energieeffizienz, Erstellung technischer Dokumentation und Einrichtung eines Qualitätsmanagementsystems. Zudem müssen die Modelle in einer EU-Datenbank registriert werden.
Für Anbieter von generativer KI kommen zusätzliche Pflichten hinzu. Sie müssen Transparenzpflichten erfüllen, das Modell so gestalten, dass ein angemessener Schutz gegen die Erzeugung von Inhalten, die gegen das EU-Recht verstoßen, gewährleistet ist und sie müssen eine Zusammenfassung der Verwendung von urheberrechtlich geschützten Trainingsdaten erstellen und veröffentlichen.
Was können Unternehmen heute schon tun?
Unternehmen können schon jetzt mehrere proaktive Schritte unternehmen, um sich auf die bevorstehende KI-Verordnung vorzubereiten und rechtliche Probleme zu vermeiden:
Für Anbieter oder Hersteller von KI-Systemen gilt:
- Verstehen der Funktionsweise von KI-Systemen: Unternehmen sollten die Funktionsweise ihrer KI-Systeme, insbesondere die zugrundeliegenden Algorithmen und Datenstrukturen, gründlich verstehen. Dies kann dazu beitragen, Probleme mit voreingenommenen oder ungenauen Algorithmen zu vermeiden und potenzielle rechtliche Risiken zu minimieren.
- Prüfung der rechtlichen Aspekte: Vor der Implementierung eines KI-Systems müssen rechtliche Aspekte wie gewerbliche Schutzrechte, Vertraulichkeit und Datenschutz berücksichtigt werden. Unternehmen müssen sicherstellen, dass die Nutzung von Daten, insbesondere personenbezogene Daten, den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und anderen relevanten nationalen Gesetzen entspricht.
- Sicherstellung menschlicher Aufsicht: Hochrisiko-KI-Systeme müssen geeignete Mechanismen für eine menschliche Aufsicht während ihres gesamten Lebenszyklus aufweisen. Dies umfasst die Möglichkeit, das KI-System zu missachten, außer Kraft zu setzen oder zu unterbrechen.
- Verantwortlichkeit und technische Sicherheitsvorkehrungen: Unternehmen sollten starke technische Sicherheitsvorkehrungen und Überwachungsmechanismen implementieren, um Fehler, Risiken oder Schäden durch das KI-System zu erkennen, zu verhindern und zu korrigieren.
Für Betreiber oder Nutzer von KI-Systemen gilt:
- Prüfung der Nutzungsbedingungen von KI-Systemen: Unternehmen sollten die Nutzungsbedingungen der von ihnen genutzten KI-Systeme sorgfältig prüfen, um mögliche rechtliche Risiken zu identifizieren und zu minimieren. Dies sollte Aspekte wie Leistungsversprechen, Haftungsregelungen und Datenschutzbestimmungen umfassen.
Insgesamt sollten Unternehmen jetzt bereits mit der Gestaltung ihrer internen Strategien und Maßnahmen beginnen, um die zukünftige Entwicklung oder Nutzung von KI in einer Weise zu sichern, die die Einhaltung des kommenden und bestehenden EU-Rechtsrahmens gewährleistet.
Nächste Schritte
Nachdem die Abgeordneten im Europäischen Parlament ihre Verhandlungsposition zur KI-Verordnung angenommen haben, beginnen die abschließenden Gespräche im Trilogverfahren über die endgültige Ausgestaltung des Gesetzes. Ziel ist es, bis Ende des Jahres eine Einigung zu erzielen.