Die EU-Mitgliedstaaten haben die KI-Verordnung zur Regulierung von Künstlicher Intelligenz (KI) verabschiedet. Die neuen Vorschriften legen Verpflichtungen für Anbieter und Nutzer von KI-Systemen fest. Diese richten sich nach dem Risiko, das von dem jeweiligen KI-System ausgeht.
Die Mitgliedstaaten der Europäischen Union haben am 13. Juni 2024 das Gesetz über die Künstliche Intelligenz ("AI-Act") verabschiedet. Es wurde am 12. Juli im Amtsblatt veröffentlicht und tritt am 1. August 2024 in Kraft.
Die Verordnung bildet künftig einen einheitlichen rechtlichen Rahmen für den Einsatz von Künstlicher Intelligenz in der Europäischen Union. KI-Technologien entwickeln sich rasant und können von vielfältigem Nutzen sein, aber auch Risiken mit sich bringen. Die Vorgaben sollen gewährleisten, dass KI-Systeme, die in der EU eingesetzt werden, sicher, transparent, nachvollziehbar, nicht diskriminierend und umweltfreundlich sind.
AI-Act: Risikobewertung von KI-Systemen
Die KI-Verordnung legt Verpflichtungen für Anbieter und Nutzer fest, die sich nach dem jeweiligen Risiko, das von dem KI-System ausgeht, richten. Es wird unterschieden in KI-Systeme mit minimalem, hohem oder unannehmbarem Risiko. Die meisten Verpflichtungen treffen die Anbieter (Entwickler) von risikoreichen KI-Systemen. Nutzer sind natürliche oder juristische Personen, die ein KI-System beruflich einsetzen, nicht aber betroffene Endnutzer.
KI-Systeme mit unannehmbarem Risiko
KI-Systeme mit einem unannehmbarem Risiko werden verboten. Als solche gelten KI-Systeme, die Menschen gefährden durch kognitive Verhaltensmanipulation von Personen oder bestimmten gefährdeten Gruppen. Verboten sein wird sogenanntes "Soziales Scoring", also die Klassifizierung von Menschen auf der Grundlage von Verhalten, sozioökonomischem Status und persönlichen Merkmalen. Auch biometrische Identifizierung und Kategorisierung natürlicher Personen sowie biometrische Echtzeit-Fernidentifizierungssysteme wie zum Beispiel Gesichtserkennung sind unzulässig. Nur zur Strafverfolgung sind sie möglicherweise zulässig.
KI-Gesetz: Definition Hochrisiko-KI-Systeme
KI-Systeme, die ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen darstellen, unterliegen strengen Regeln. Hierzu gehören KI-Systeme spezifischer, auch für HR relevanter Bereiche, darunter: die allgemeine und beruflichen Bildung (Bewertung von Lernergebnissen, Steuerung des Lernprozesses und Überwachung von Prüfungsbetrug) oder der Bereich Beschäftigung, Verwaltung der Arbeitnehmer und Zugang zur Selbstständigkeit (z. B. Veröffentlichung gezielter Stellenanzeigen, Analyse und Filterung von Bewerbungen sowie Bewertung von Bewerbern).
Software im HR-Bereich wird also häufig als Hochrisiko-System eingestuft werden. Für KI-Systeme mit hohem Risiko wird es ein verpflichtendes Risikomanagementsystem geben. Sie werden vor dem Inverkehrbringen und während ihres gesamten Lebenszyklus bewertet. Bürger haben das Recht, bei den zuständigen nationalen Behörden Beschwerden über KI-Systeme einzureichen.
Weitere Einsatzbereiche dieser Systeme sind der Zugang zu und die Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten und Leistungen, die Strafverfolgung, die Verwaltung von Migration, Asyl und Grenzkontrollen und die Unterstützung bei der Auslegung und Anwendung von Gesetzen. Ebenso gehören KI-Systeme, die in Produkten verwendet werden, die unter die Produktsicherheitsvorschriften der EU fallen, dazu. Hierzu gehören Spielzeug, Luftfahrt, Fahrzeuge, medizinische Geräte und Aufzüge.
Minimales Risiko laut AI-Act: Freiwillige Verhaltenskodizes und Transparenzgebot
Für KI-Systeme ohne oder mit nur sehr geringem Risiko gelten grundsätzlich keine besonderen Anforderungen. Die KI-Verordnung sieht aber die Möglichkeit vor, für diese freiwillig sogenannte Verhaltenskodizes aufzustellen und sich ihnen zu verpflichten. Von den meisten KI-Systemen geht wahrscheinlich nur ein geringes oder gar kein Risiko aus. So werden sogenannte "Generative Foundation-Modelle" wie ChatGPT als nicht risikoreich eingestuft, sie müssen aber Transparenzanforderungen und das EU-Urheberrecht erfüllen.
Dazu gehört die Offenlegung, dass der Inhalt durch KI generiert wurde. Das Modell muss so gestaltet werden, dass verhindert wird, dass es illegale Inhalte erzeugt. Zusammenfassungen urheberrechtlich geschützter Daten, die für das Training verwendet wurden, müssen veröffentlicht werden. Leistungsfähigere KI-Systeme, die ein Systemrisiko darstellen könnten - wie das fortgeschrittene KI-Modell GPT-4 -, müssen gründlich bewertet werden und alle schwerwiegenden Vorfälle sind der Kommission zu melden.
Kennzeichenpflicht laut KI-Verordnung
Alle Inhalte, die mithilfe von KI erzeugt oder verändert wurden – egal ob Bilder, Audio- oder Videodateien wie z. B. Deepfakes – müssen eindeutig als KI-generiert gekennzeichnet werden, damit die Nutzer Bescheid wissen, wenn sie auf solche Inhalte stoßen.
Wann tritt das KI-Gesetz in Kraft?
Das EU-Gesetz tritt ab 1. August 2024 nach und nach in Kraft. Es wird 24 Monate nach seinem Inkrafttreten in vollem Umfang anwendbar sein.
Zunächst wird sechs Monate nach Inkrafttreten das Verbot von KI-Systemen, die ein unannehmbare Risiken darstellen, gelten. Die Verhaltenskodizes werden neun Monate nach Inkrafttreten gelten. Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck, die den Transparenzanforderungen genügen müssen, gelten zwölf Monate nach Inkrafttreten.
Systeme mit hohem Risiko werden mehr Zeit haben, um die Anforderungen zu erfüllen: Die sie betreffenden Verpflichtungen werden 36 Monate nach dem Inkrafttreten gelten.
AI-Act: Wie geht es weiter?
Die EU-Mitgliedstaaten müssen den AI-Act nun zudem in nationales Recht umsetzen. Zur Durchsetzung der Vorschriften soll jeder Mitgliedstaat eine oder mehrere zuständige nationale Behörden benennen, die die Anwendung und Umsetzung beaufsichtigen und die Marktüberwachung wahrnehmen.
Das könnte Sie auch interessieren:
HR und KI: Wo die rechtlichen Fallen lauern
Welche Chancen Künstliche Intelligenz für HR bietet
Urteil: Mitbestimmung des Betriebsrats bei ChatGPT im Betrieb