Schon im April 2021 hat die EU-Kommission zur Regulierung von künstlicher Intelligenz den ersten Vorschlag einer KI-Verordnung vorgelegt (wir berichteten im Blogbeitrag von
Herrn Dr. Freund). Nach einigen Änderungen am ursprünglichen Entwurf hat sich das EU-Parlament gestern (am 14. Juni 2023) auf eine Position geeinigt und Änderungsvorschläge zum Kommissionsentwurf verabschiedet. Nun stehen die Trilog-Verhandlungen bevor, nach denen die KI-Verordnung in ihrer endgültigen Fassung verabschiedet werden soll. Angesichts der rasant zunehmenden Verbreitung von künstlicher Intelligenz in immer mehr Bereichen, nicht zuletzt seit der Einführung von ChatGPT, erscheint eine Regulierung von künstlicher Intelligenz dringend notwendig, um möglichen Gefahren entgegenzuwirken. Sollte die KI-Verordnung in Kraft treten, würde Europa eine Vorreiterrolle im Bereich der Regulierung von künstlicher Intelligenz einnehmen – kein anderer Staat oder Kontinent hat derzeit ähnlich umfassende Regulierungspläne. Dieser Beitrag soll beleuchten, auf welche Regulierung sich Unternehmen, die künstliche Intelligenz einsetzen oder vertreiben, nach dem aktuellen Entwurf einstellen müssen und wann mit dem Inkrafttreten der KI-Verordnung zu rechnen ist.

Hintergrund der Regulierung künstlicher Intelligenz

Wohl kein Thema wird derzeit so heiß diskutiert wie der fortschreitende Einsatz von künstlicher Intelligenz. Insbesondere nachdem der auf künstlicher Intelligenz aufgebaute Chatbot ChatGPT Ende November 2022 veröffentlicht wurde, erschließen Unternehmen und Anwender nahezu täglich neue Anwendungsgebiete, in denen sie künstliche Intelligenz unterstützen kann. Alles sieht danach aus, als ob künstliche Intelligenz der nächste große technische Schritt sein könnte, der unser gesellschaftliches Zusammenleben über die nächsten Jahre und Jahrzehnte prägen wird.

Bislang gibt es keine grundlegende und umfassende Regulierung für Anwendungen künstlicher Intelligenz. Unternehmen, die künstliche Intelligenz einsetzen oder diesen Einsatz in naher Zukunft planen, befinden sich daher im Ungewissen, ob und unter welchen Bedingungen sie künstliche Intelligenz nutzen dürfen. Durch die KI-Verordnung will der europäische Gesetzgeber nun verbindliche Regelungen schaffen.

Ablauf des bisherigen Gesetzgebungsverfahrens

Der europäische Gesetzgeber hat früh auf den zunehmenden Einsatz von künstlicher Intelligenz reagiert und bereits im April 2021 einen Entwurf einer EU-Verordnung über die Regulierung von künstlicher Intelligenz vorgelegt (offiziell auch „Gesetz über Künstliche Intelligenz“ oder kurz „KI-Gesetz“). Als Europäische Verordnung wäre das harmonisierte Gesetz in allen Mitgliedsstaaten unmittelbar anwendbar, ohne dass es eines nationalen Umsetzungsaktes bedarf. Eine erste Plenarsitzung im EU-Parlament fand aufgrund vieler Änderungsanträge erst im Oktober 2022 statt. Bis Ende 2022 brachten verschiedene Ausschüsse und Mitgliedsstaaten Stellungnahmen und Änderungsvorschläge ein, die in einem überarbeiteten Entwurf des KI-Gesetzes aufgenommen wurden, der im Dezember 2022 vorgestellt wurde. Für die Verzögerung des Verfahrens hat insbesondere die zwischenzeitlich zunehmende Verbreitung von Allzweck-KI geführt, die in der Lage ist, neue Inhalte zu erzeugen (wie ChatGPT und GPT-4) – auch „generative KI“ genannt. Am 11. Mai 2023 haben Abgeordnete des EU-Parlaments weitere Änderungen in den Entwurf eingebracht (hier abrufbar). Diese Änderungen sind am 14. Juni 2023 durch das Plenum der Abgeordneten gebilligt worden. Im nächsten Schritt starten die Trilog-Verhandlungen zwischen Parlament, Rat und EU-Kommission, an deren Ende das KI-Gesetz verabschiedet werden soll. Mit einer Verabschiedung des finalen Textes wird Ende des Jahres 2023, wohl aber eher im Jahr 2024 gerechnet. Die Verordnung müsste von Unternehmen erst nach einer Umsetzungsfrist von zwei Jahren umgesetzt und eingehalten werden, also ab 2025 oder 2026.

Zusammenfassung der geplanten Regulierung durch das KI-Gesetz

Ziel des KI-Gesetzes ist es, sichere und vertrauenswürdige KI-Anwendungen zu schaffen. Vom Anwendungsbereich werden alle Anbieter und Nutzer in der EU erfasst (sogenannter horizontaler Ansatz). Das KI-Gesetz folgt dabei – wie seit Beginn des Regulierungsvorhabens – einem risikobasierten Ansatz. Je riskanter eine eingesetzte KI-Technologie ist, desto mehr Auflagen müssen bei ihrem Einsatz eingehalten werden. KI-Anwendungen werden nach dem Entwurf in eine der folgenden vier Risikogruppen eingeteilt:

  1. KI-Anwendungen mit einem inakzeptablen Risiko sollen verboten werden (verbotene KI-Anwendungen). Dies sind Anwendungen, die Grundrechte verletzen, insbesondere, weil sie menschliches Verhalten manipulieren, den freien Willen der Nutzer umgehen, psychische oder physische Schäden verursachen können oder Menschen nach ihrem sozialen Verhalten oder ethnischen Merkmalen klassifizieren (z.B. „Social Scoring“-Systeme).
  2. Hochrisiko-KI-Systeme: KI-Systeme, bei denen ein hohes Risiko für die Gesundheit und Sicherheit oder die Grundrechte natürlicher Personen besteht, dürfen nur unter Einhaltung hoher Transparenzpflichten betrieben werden: Bekannte und vorhersehbare Risiken müssen dokumentiert werden, Qualitätskriterien bei Trainingsdaten eingehalten werden, KI-Vorgänge müssen während des Betriebes aufgezeichnet werden. Außerdem muss eine Beaufsichtigung der Systeme durch Menschen gewährleistet sein. Der Entwurf sieht acht Bereiche sogenannter Hochrisiko-KI-Systeme vor:
    1. Biometrische Identifizierung und Kategorisierung
    2. Betrieb kritischer Infrastruktur
    3. Allgemeine und berufliche Bildung
    4. Arbeitnehmerverwaltung und Zugang zur Selbstständigkeit
    5. Zugang und Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten
    6. Rechtsdurchsetzung
    7. Migration, Asyl und Grenzkontrollen
    8. Rechtspflege und demokratische Prozesse
  3. Begrenzt riskante KI: Systemen mit geringem Risiko sind zu bestimmten Transparenzpflichten verpflichtet. Nutzer müssen insbesondere darüber informiert werden, dass künstliche Intelligenz eingesetzt wird.
  4. Risikoarme KI: Systeme mit minimalem Risiko können ohne zusätzliche rechtliche Verpflichtungen eingesetzt werden, soweit allgemeine rechtlichen Vorgaben eingehalten werden.

Änderungen gegenüber dem ursprünglichen Entwurf

Auf einige Änderungen gegenüber dem ursprünglichen Entwurf aus dem April 2021 hat sich das Parlament nun geeinigt. Insbesondere wurde die Liste der verbotenen KI-Anwendungen erweitert. Dadurch wird eine automatisierte Gesichtserkennung (z.B. durch die Polizei) durch sogenannte biometrische Erkennungssysteme zur Echtzeiterkennung im öffentlichen Raum verboten, wie wir sie aus totalitären Staaten wie China kennen. Auch KI-Systeme zur automatisierten Erkennung von Gefühlen, z.B. bei der Vernehmung von Verdächtigen, sollen in der EU untersagt werden.

In dem ursprünglichen Entwurf des KI-Gesetzes waren außerdem Regelungen zur Haftung enthalten. Diese Abschnitte des KI-Gesetzes sind nunmehr gestrichen worden. Die EU-Kommission arbeitet parallel an einer Richtlinie zur Produkthaftung und zur KI-Haftung, die diese Regelungen beinhalten soll. Künstliche Intelligenz wird also voraussichtlich durch einen Komplex von Gesetzen reguliert werden, bei dem das KI-Gesetz aber die zentrale Rolle einnehmen wird.

Besonders umstritten ist nach wie vor die Einordnung von generativer KI (z.B. Sprachgeneratoren wie ChatGPT, GPT-4 oder PaLM und Bildgeneratoren wie Dall-E 2, Stable Diffusion und MidJourney). Nach dem heute gebilligten Entwurf soll generative KI weder als verbotene KI-Anwendung noch als Hochrisiko-KI eingeordnet werden, sondern in einem gesonderten Abschnitt des KI-Gesetzes reguliert werden. Generative KI muss danach hohe Transparenzanforderungen einhalten, insbesondere muss durch technische Vorkehrungen sichergestellt werden, dass durch KI geschaffene Texte und Bilder als solche erkennbar sind. Zudem wird generative KI verpflichtet, die Erzeugung rechtswidriger Inhalte zu verhindern. Hinsichtlich der Trainingsdaten muss generative KI ebenfalls hohe Transparenzpflichten einhalten und eine Zusammenfassung der verwendeten urheberrechtlich geschützten Ausgangsdaten veröffentlichen. Es ist davon auszugehen, dass im Trilog-Verfahren gerade über die Regulierung von generativer KI gestritten wird.

Was müssen Unternehmen beachten?

Es ist nicht absehbar, ob und inwieweit der Entwurf des KI-Gesetzes im Rahmen der weiteren Trilog-Verhandlungen noch überarbeitet wird. Da bezüglich einiger Details (insbesondere der Regulierung von generativer KI) noch viel diskutiert wird, ist davon auszugehen, dass noch einige Zeit bis zur Verabschiedung des KI-Gesetzes vergehen könnte. Unternehmen, die KI-Systeme einsetzten, sollten sich regelmäßig über den aktuellen Stand des Gesetzgebungsverfahrens informieren und bereits vorab prüfen, ob die Systeme unter der neuen Regulierung weiterhin eingesetzt werden können und ob sie die jeweiligen Verpflichtungen, insbesondere Transparenzpflichten, einhalten können.