Mitte März hat das Europäische Parlament mit breiter Mehrheit grünes Licht für das Gesetz über künstliche Intelligenz (KI) gegeben. Die Regulierung ist nach Angaben des Parlaments das weltweite erste Gesetz zur Reglementierung des Einsatzes von KI (vgl. auch ZAP Digitalreport 2024, 49 ff.).
Die neuen Regeln zielen darauf ab, Grundrechte, Demokratie und Rechtsstaatlichkeit sowie ökologische Nachhaltigkeit vor sog. Hochrisiko-KI-Systemen zu schützen. Gleichzeitig sollen sie Innovationen ankurbeln und dafür sorgen, dass die EU in diesem Bereich eine Führungsrolle einnimmt. Die Verordnung legt bestimmte Verpflichtungen für KI-Systeme fest, abhängig von den jeweiligen möglichen Risiken und Auswirkungen. Demnach wird künftig zwischen verschiedenen Risikogruppen beim Einsatz von KI unterschieden:
Bestimmte KI-Anwendungen, die die Rechte der Bürger besonders stark bedrohen können, werden danach strikt untersagt. Dazu zählen u.a. die biometrische Kategorisierung auf der Grundlage sensibler Merkmale und das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungskameras für Gesichtserkennungsdatenbanken. Ebenfalls verboten sind künftig Emotionserkennungssysteme am Arbeitsplatz und in Schulen sowie das Bewerten von sozialem Verhalten mittels KI. Auch vorausschauende Polizeiarbeit, die einzig auf der Profilerstellung oder der Bewertung von Merkmalen einer Person beruht, und der Einsatz von künstlicher Intelligenz, um das Verhalten von Menschen zu beeinflussen oder ihre Schwächen auszunutzen, ist nach den neuen Regeln nicht erlaubt.
Grundsätzlich soll auch die Nutzung von biometrischen Fernidentifizierungssystemen durch Strafverfolgungsbehörden verboten sein. Das EU-Gesetz macht hier jedoch bestimmte eng begrenzte Ausnahmen. So ist eine Fernidentifizierung in Echtzeit künftig dann erlaubt, wenn strenge Sicherheitsbestimmungen eingehalten werden – u.a. gibt es zeitliche und räumliche Beschränkungen, und es muss vorab eine spezielle behördliche oder gerichtliche Genehmigung eingeholt werden. Entsprechende Systeme dürfen beispielsweise genutzt werden, um gezielt nach einer vermissten Person zu suchen oder einen Terroranschlag zu verhindern. Für den Einsatz von KI-Systemen zur nachträglichen Fernidentifizierung soll eine gerichtliche Genehmigung nötig sein, die zudem mit einer Straftat in Verbindung stehen muss.
Unterhalb dieser prinzipiell untersagten KI-Anwendungen sollen übrige Hochrisiko-KI-Systeme, deren Einsatz eine erhebliche Gefahr für Gesundheit, Sicherheit, Grundrechte, die Umwelt, Demokratie und den Rechtsstaat darstellen könnten, von bestimmten Voraussetzungen abhängig gemacht werden. Als hochriskant in diesem Sinne werden etwa Systeme eingestuft, die in den Bereichen kritische Infrastruktur, allgemeine und berufliche Bildung oder Beschäftigung eingesetzt werden. Auch KI-Systeme, die für grundlegende private und öffentliche Dienstleistungen – etwa im Gesundheits- oder Bankwesen –, in bestimmten Bereichen der Strafverfolgung sowie im Zusammenhang mit Migration und Grenzmanagement, Justiz und demokratischen Prozessen (z.B. zur Beeinflussung von Wahlen) genutzt werden, gelten als hochriskant. Solche Systeme müssen Risiken bewerten und verringern, Nutzungsprotokolle führen, transparent und genau sein und von Menschen beaufsichtigt werden. Die Bevölkerung hat künftig das Recht, Beschwerden über KI-Systeme einzureichen und Entscheidungen erklärt zu bekommen, die auf der Grundlage hochriskanter KI-Systeme getroffen wurden und ihre Rechte beeinträchtigen.
Im Übrigen müssen KI-Systeme, das heißt solche mit allgemeinem Verwendungszweck, und die Modelle, auf denen sie beruhen, lediglich bestimmte Transparenzanforderungen erfüllen; darunter zählen etwa die Einhaltung des EU-Urheberrechts und die Veröffentlichung detaillierter Zusammenfassungen der für das Training verwendeten Inhalte. Für die leistungsfähigeren Modelle, die systemische Risiken bergen könnten, gelten künftig zusätzliche Anforderungen; hier müssen z.B. Modellbewertungen durchgeführt, systemische Risiken bewertet und gemindert und Vorfälle gemeldet werden. Darüber hinaus müssen künstlich erzeugte oder bearbeitete Bilder bzw. Audio- und Videoinhalte (sog. Deepfakes) in Zukunft eindeutig als solche gekennzeichnet werden.
Die Mitgliedstaaten der EU werden verpflichtet, sog. Reallabore einzurichten und Tests unter realen Bedingungen durchzuführen. Diese müssen auch für kleine und mittlere Unternehmen sowie für Start-ups zugänglich sein, damit diese innovative KI-Systeme entwickeln und trainieren können, bevor sie auf den Markt kommen.
Nach dem Parlament muss nun noch der Rat der EU dem Regelwerk zustimmen. Im Anschluss an die Veröffentlichung im Amtsblatt der EU tritt es dann stufenweise in Kraft.
[Quelle: EU-Parlament]