Nach einem 36-stündigen Verhandlungsmarathon erzielten die politischen Entscheidungsträger der EU eine politische Einigung darüber, was zum globalen Maßstab für die Regulierung künstlicher Intelligenz werden soll.
Das KI-Gesetz ist ein bahnbrechender Gesetzentwurf zur Regulierung künstlicher Intelligenz auf der Grundlage ihrer Fähigkeit, Schaden anzurichten. Das Dossier passierte die Ziellinie des Gesetzgebungsverfahrens, als die Europäische Kommission, der Rat und das Parlament am Freitag (8. Dezember) ihre Differenzen in einem sogenannten Trilog beilegten.
Bei dem politischen Treffen, das einen neuen Rekord für interinstitutionelle Verhandlungen darstellte, mussten die wichtigsten EU-Institutionen eine ansprechende Liste von 21 offenen Fragen durchgehen. Wie Euractiv berichtete, schloss der erste Teil des Trilogs die Teile zu Open Source, Stiftungsmodellen und Governance ab.
Allerdings forderten die erschöpften EU-Beamten 22 Stunden, nachdem klar war, dass ein Vorschlag der spanischen EU-Ratspräsidentschaft zur sensiblen Strafverfolgung für links- bis Mitte-gesetzgebende Politiker inakzeptabel sei, eine Pause. Die Diskussionen nahmen am Freitagmorgen erneut Fahrt auf und endeten erst spät in der Nacht.
nationale Sicherheit
Die EU-Länder, angeführt von Frankreich, bestanden auf einer weitreichenden Ausnahmeregelung für alle KI-Systeme, die für militärische oder Verteidigungszwecke verwendet werden, auch von externen Auftragnehmern. In der Präambel des Textes wird darauf hingewiesen, dass dies gemäß den EU-Verträgen erfolgen wird.
Verbotene Praktiken
Das KI-Gesetz enthält eine Liste verbotener Anwendungen, die ein inakzeptables Risiko darstellen, wie z. B. manipulative Techniken, Systeme, die Schwachstellen ausnutzen, und Social Scoring. Die Abgeordneten fügten Datenbanken hinzu, die auf Massen-Scraping von Gesichtsbildern basieren, wie etwa Clearview AI.
Die Parlamentarier forderten ein Verbot der Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen mit einer Einschränkung aus Sicherheitsgründen, um zu erkennen, ob beispielsweise ein Fahrer einschläft.
Die Parlamentarier führten außerdem ein Verbot prädiktiver Polizeisoftware ein, um das Risiko einer Person für die Begehung künftiger Straftaten anhand persönlicher Merkmale einzuschätzen.
Darüber hinaus wollten die Parlamentarier den Einsatz von KI-Systemen verbieten, die Personen anhand sensibler Merkmale wie Rasse, politische Meinungen oder religiöse Überzeugungen kategorisieren.
Auf Drängen europäischer Regierungen ließ das Parlament das Verbot der Verwendung der biometrischen Fernidentifizierung in Echtzeit fallen und ersetzte dafür einige eng gefasste Ausnahmen bei der Strafverfolgung, nämlich zur Verhinderung von Terroranschlägen oder zur Lokalisierung von Opfern oder Verdächtigen einer vorab festgelegten Liste schwerer Straftaten.
Für die nachträgliche Nutzung dieser Technologie wird es eine ähnliche Regelung geben, jedoch mit weniger strengen Anforderungen. Die Abgeordneten drängten darauf, diese Ausnahmen nur dann gelten zu lassen, wenn dies auf der Grundlage der nationalen Gesetzgebung und der vorherigen Genehmigung einer unabhängigen Behörde unbedingt erforderlich ist. Die Kommission soll mögliche Missbräuche überwachen.
Die Parlamentarier bestanden darauf, dass die Verbote nicht nur für innerhalb der Union genutzte Systeme gelten sollten, sondern auch Unternehmen mit Sitz in der EU daran hindern sollten, diese verbotenen Anwendungen im Ausland zu verkaufen. Dieses Exportverbot wurde jedoch nicht aufrechterhalten, da es als unzureichende Rechtsgrundlage angesehen wurde.
Anwendungsfälle mit hohem Risiko
Die KI-Verordnung enthält eine Liste von Anwendungsfällen, bei denen ein erhebliches Risiko für die Sicherheit und Grundrechte der Menschen besteht. Die Mitgesetzgeber haben eine Reihe von Filterbedingungen eingeführt, die darauf abzielen, nur wirklich risikoreiche Anwendungen zu erfassen.
Zu den sensiblen Bereichen zählen Bildung, Beschäftigung, kritische Infrastruktur, öffentliche Dienste, Strafverfolgung, Grenzkontrolle und Rechtspflege.
Die Abgeordneten schlugen außerdem vor, die Empfehlungssysteme sozialer Medien einzubeziehen, die nach dem Gesetz über digitale Dienste als „systemrelevant“ gelten, diese Idee wurde jedoch nicht in die Vereinbarung aufgenommen.
Dem Parlament gelang es, neue Anwendungsfälle einzuführen, beispielsweise für KI-Systeme zur Vorhersage von Migrationstrends und zur Grenzüberwachung.
Ausnahmen für die Strafverfolgung
Der Rat führte mehrere Ausnahmen für Strafverfolgungsbehörden ein, insbesondere eine Ausnahme vom Vier-Augen-Prinzip, wenn das nationale Recht dies für unverhältnismäßig hält, und den Ausschluss sensibler Betriebsdaten von den Transparenzanforderungen.
Anbieter und öffentliche Stellen, die Hochrisikosysteme nutzen, müssen dies in einer EU-Datenbank melden. Für Polizei und Migrationskontrollbehörden wird es einen eigenen nichtöffentlichen Bereich geben, der nur einer unabhängigen Aufsichtsbehörde zugänglich sein wird.
Unter außergewöhnlichen Umständen im Zusammenhang mit der öffentlichen Sicherheit könnten Strafverfolgungsbehörden ein Hochrisikosystem einsetzen, das das Konformitätsbewertungsverfahren, in dem eine gerichtliche Genehmigung beantragt wird, nicht bestanden hat.
Folgenabschätzung der Grundrechte
Mitte-Links-Abgeordnete führten die Verpflichtung für öffentliche Einrichtungen und private Einrichtungen ein, die Dienstleistungen von allgemeinem Interesse erbringen, wie Krankenhäuser, Schulen, Banken und Versicherungsunternehmen, die Hochrisikosysteme einsetzen, eine Folgenabschätzung für die Grundrechte durchzuführen.
Verantwortung entlang der Lieferkette
Anbieter von Allzweck-KI-Systemen wie ChatGPT müssen allen nachgelagerten Wirtschaftsanbietern, die eine Anwendung erstellen, die in die Hochrisikokategorie fällt, alle notwendigen Informationen zur Verfügung stellen, um den Verpflichtungen des KI-Gesetzes nachzukommen.
Darüber hinaus wird verhindert, dass Anbieter von Komponenten, die von einem KMU oder Start-up in ein risikoreiches KI-System integriert werden, einseitig unfaire Vertragsbedingungen durchsetzen.
Strafen
Die Verwaltungsstrafen werden als Mindestbetrag oder Prozentsatz des weltweiten Jahresumsatzes des Unternehmens festgesetzt, wenn dieser höher ist.
Bei schwersten Verstößen gegen die verbotenen Anwendungen können Bußgelder bis zu 6,5 % bzw. 35 Mio. Euro, bei Verstößen gegen Pflichten von System- und Modellanbietern 3 % bzw. 15 Mio. Euro und bei Nichtbereitstellung 1,5 % bzw. eine halbe Million Euro betragen genaue Informationen.
Zeitleiste
Das KI-Gesetz gilt zwei Jahre nach seinem Inkrafttreten, die Verbote werden auf sechs Monate verkürzt. Anforderungen an Hochrisiko-KI-Systeme, leistungsstarke KI-Modelle, die Konformitätsbewertungsstellen und das Governance-Kapitel werden ein Jahr früher in Kraft treten.
[Edited by Zoran Radosavljevic]
