KI-Verordnung der EU als Vorreiter

Die geplante europäische KI-Verordnung unterteilt künstliche Intelligenz in Risikoklassen und fordert von KI-Anbietern ein umfassendes Risikomanagement. Für die Überwachung werden Kontrollbehörden eingerichtet.

Die europäische KI-Verordnung ist der weltweit erste Versuch zur Regulierung künstlicher Intelligenz. Sie hat damit Pioniercharakter und könnte Vorbild für entsprechende Ansätze außerhalb der EU und von internationalen Gremien werden, ähnlich wie die Datenschutz-Grundverordnung (DSGVO).

• KI-Systeme werden zukünftig in vier Risikoklassen unterteilt
• Hersteller und Anbieter müssen eine Risikoeinschätzung vornehmen, die von Kontrollbehörden überprüft wird
• Die Umsetzung der Verordnung ist für 2026 zu erwarten

Nach zähem Ringen stimmte das EU-Parlament kürzlich dem Entwurf einer KI-Verordnung zu. Vorausgegangen waren eineinhalb Jahre mit Verhandlungen. Das Parlament tat sich schwer mit dem Entwurf der Kommission. Schließlich geht es um die Regulierung einer Technologie, die der Menschheit große Vorteile bringen könnte, die aber gleichzeitig unabsehbare Gefahren birgt. Besonders umstritten war die Nutzung biometrischer Daten für KI-Systeme.

Risikoklassen für KI-Systeme

Zentraler Punkt der Verordnung wird eine Risikoklassifizierung von KI-Anwendungen sein. Die Unterteilung künstlicher Intelligenz erfolgt danach in vier Klassen: risikoarme, begrenzt riskante, zu riskante sowie verbotene Softwaresysteme. Zur letzten Gruppe zählen Social Scoring-Systeme, die das Verhalten von Menschen bewerten oder die automatische Erkennung von Emotionen, etwa bei Polizeiverhören, aber auch die flächendeckende Überwachung mit biometrischen Echtzeitdaten.

In der Gruppe der risikoarmen KI sollen lediglich Mindeststandards für alle Entwickler von generativen KI-Systemen gelten. In der zweiten Kategorie, den begrenzt riskanten Anwendungen, gelten immer dann besondere Regeln, wenn die KI in Software-Bereichen eingesetzt wird, die ein hohes Risiko beinhalten. Das ist beispielsweise im Gesundheitswesen der Fall. Die riskanten Systeme bilden die dritte Ebene. Sie beinhaltet Vorgaben für die Zusammenarbeit von Anbietern der Basismodelle und deren kommerziellen Kunden, die diese Modelle für ihre eigenen Zwecke verwenden. Beispielsweise müsste OpenAI als Anbieter von ChatGPT bestimmte Informationen über die Funktionsweise des Modells an seine Kunden weitergeben.

Zusätzlich sollen sogenannte Data-Governance-Regeln sicherstellen, dass Trainingsdaten nicht zu Vorurteilen und Benachteiligungen führen, etwa weil farbige Menschen unterrepräsentiert sind. Ein weiterer Punkt: Wenn für das Training der KI-Modelle urheberrechtlich geschütztes Material verwendet wird, muss dies offengelegt werden, damit Urheber ihre Rechte wahrnehmen können. In der Vergangenheit führte dies bereits zu Konflikten, wie die Klage der Fotoagentur Getty Images gegen Stability AI zeigte, deren KI unter anderem als Bildgenerator fungiert. Eine millardenschwere Klage war die Folge.

Kontrolle durch Prüfbehörden

Die Einhaltung der vorgesehenen Maßnahmen soll von Prüfbehörden kontrolliert werden. Wie diese Kontrolle gestaltet wird, ist allerdings noch offen und dürfte für Streit sorgen. Auch könnte es zu länderspezifischen Unterschieden kommen, die den KI-Einsatz in der EU verkomplizieren. Bereits jetzt sorgte für Kritik, dass die Unternehmen ihre Risikoanalyse selbst vornehmen sollen und erst danach Prüfbehörden kontrollieren werden, ob diese zutreffend sind.

Hinter dem EU-Regulierungsmodell steckt im Prinzip der Gedanke, dass KI-Firmen ein umfassendes Risikomanagementsystem einrichten. Dabei sollten alle vorhersehbaren Risiken für Bereiche wie Sicherheit, Meinungsfreiheit oder Demokratie bewertet werden. Daraus sollen Maßnahmen zur Risikominderung entstehen. Inwieweit dieser Ansatz praxistauglich ist, bleibt umstritten. Kritiker geben zu bedenken, dass diese Form der Regulierung die Entwicklung generativer KI in wichtigen Bereichen wie Medizin oder Bildung in der EU verlangsamen könnte. Mit einer schnellen Umsetzung wird jedoch nicht gerechnet, erst 2026 sollen die aus der Verordnung resultierenden Gesetze in Kraft treten.