AI Act: Strenge Regeln für Hochrisiko-KI werden erst ab 2027 gelten
523 Ja-Stimmen, 46 Nein-Stimmen und 49 Enthaltungen: Der AI Act wurde soeben im EU-Parlament mit großer Mehrheit abgenickt. Wie mehrmals berichtet, soll das KI-Gesetz in den europäischen Mitgliedsstaaten regeln, welche AI-Anwendungen, AI-Modelle und Hochrisikosysteme für welche Zwecke eingesetzt werden dürfen – und für welche nicht. Der AI Act sieht auch strenge Verbote für eine ganze Reihe an Anwendungsfällen sowie strenge Regeln für Anbieter von so genannten General-Purpose AI Systems (GPAI) wie etwa GPT-4 von OpenAI oder Gemini von Google vor.
Nach der Zustimmung im EU-Parlament wird nun erwartet, dass die KI-Verordnung noch vor Ende der aktuellen Legislaturperiode des EU-Parlaments, die eben 2024 mit den kommenden EU-Wahlen endet, in Kraft tritt. Danach kommt sie aber nicht sofort zum Tragen, sondern es gibt Übergangsfristen, und zwar folgende:
- 24 Monate nach Inkrafttreten, also Mitte 2026, ist der AI Act vollständig anwendbar, mit Ausnahme von:
- Verbote für bestimmte AI-Anwendungen gelten bereits sechs Monate nach Inkrafttreten, also ab Ende 2024
- Verhaltenskodizes gelten ab neun Monate nach Inkrafttreten, also etwa ab dem 2. Quartal 2025
- allgemeine AI-Vorschriften einschließlich Governance gelten 12 Monate nach Inkrafttreten, also Mitte 2025
- Verpflichtungen für Hochrisikosysteme gelten 36 Monate nach Inkrafttreten, also ab Mitte 2027
Wie berichtet, bringt der AI Act eine ganze Reihe an Verboten für den Einsatz von AI-Systemen, darunter etwa:
- biometrische Kategorisierungssysteme, die auf sensiblen Merkmalen beruhen
- ungezielte Auslesen von Gesichtsbildern aus dem Internet oder aus Videoüberwachungsaufnahmen zur Erstellung von Gesichtserkennungsdatenbanken
- Erkennung von Emotionen am Arbeitsplatz und in der Schule
- Social Scoring
- prädiktive Polizeiarbeit (wenn sie ausschließlich auf der Erstellung von Profilen oder der Bewertung von Merkmalen einer Person beruht)
- KI, die menschliches Verhalten manipuliert oder die Schwachstellen von Menschen ausnutzt
Ausnahmen gibt es für Echtzeit-RBI (Realtime biometrische Identifizierungssysteme), die zeitlich und geografisch begrenzt und mit einer gerichtlichen oder behördlichen Genehmigung zur gezielten Suche nach einer vermissten Person oder für die Verhinderung eines Terroranschlags eingesetzt werden dürfen. Die Nutzung solcher Systeme im Nachhinein („post-remote RBI“) gilt als hochriskanter Anwendungsfall, der eine richterliche Genehmigung erfordert und mit einer Straftat verbunden ist.
Hochrisiko-AI hat 3 Jahre Pufferzeit
Und dann gibt es natürlich noch die Hochrisikosysteme, die zwar nicht verboten sind, aber nur unter hohen Auflagen und Pflichten für die Anbieter eingesetzt werden dürfen. Hochrisiko-Systeme sind es dann, wenn sie in folgenden Bereichen zum Einsatz kommen:
- kritische Infrastrukturen
- allgemeine und berufliche Bildung
- Beschäftigung, wesentliche private und öffentliche Dienstleistungen (z. B. Gesundheitswesen, Banken)
- bestimmte Systeme in den Bereichen Strafverfolgung, Migration und Grenzverwaltung
- Justiz und demokratische Prozesse (z. B. Beeinflussung von Wahlen)
Solche Systeme müssen Risiken bewerten und verringern, Nutzungsprotokolle führen, transparent und genau sein und eine menschliche Aufsicht gewährleisten, heißt es aus dem EU-Parlament. Wie bereits erwähnt, gelten die Regeln für die Hochrisiko-Systeme erst ab Mitte 2027.
Auch ChatGPT und Co werden reguliert
Schließlich will der AI Act auch beantworten, was mit den populären AI-Chatbots und ähnlichen GenAI-Systemen und Modellen passiert. Solche KI-Systeme für allgemeine Zwecke (GPAI) und die GPAI-Modelle, auf denen sie basieren, müssen bestimmte Transparenzanforderungen erfüllen, darunter:
- die Einhaltung des EU-Urheberrechts
- Veröffentlichung detaillierter Zusammenfassungen der für das Training verwendeten Inhalte
- Für die leistungsfähigeren GPAI-Modelle, die systemische Risiken darstellen könnten, gelten zusätzliche Anforderungen, darunter die Durchführung von Modellbewertungen, die Bewertung und Abschwächung systemischer Risiken und die Berichterstattung über Vorfälle.
- künstliche oder manipulierte Bilder, Audio- oder Videoinhalte („Deepfakes“) müssen eindeutig als solche gekennzeichnet werden