Es war ein tage- und nächtelanges Tauziehen, schließlich haben sich die EU-Institutionen auf eine gemeinsame Version des AI Act geeinigt. Somit ist das Regelwerk für Künstliche Intelligenz das erste seiner Art, das länderübergreifend gilt. Die Hoffnung ist nun, dass diese Regeln nicht nur die möglichen Risiken künstlicher Intelligenz innerhalb der EU eindämmen und gleichzeitig Innovation in diesem Bereich ermöglichen, sondern dass das Regelwerk auch als Vorbild für andere Staaten gilt. Zwar sind die USA und China mit eigenen Vorschlägen vorgeprescht, aber das europäische Regelwerk wäre das weitreichendste und detaillierteste.
EU-Binnenmarktkommissar Thierry Breton gab am Freitagabend nach langwierigen Verhandlungen zwischen den Unterhändlern der Mitgliedstaaten und des Europaparlaments eine politische Vereinbarung für den neuen Rechtsrahmen bekannt. "Historisch! Die EU wird der allererste Kontinent, der klare Regeln für die Nutzung von KI setzt", schrieb Breton im Kurzbotschaftendienst X, früher Twitter.
Biometrische KI-Überwachung wird erlaubt
Der größte Knackpunkt bei den Gesprächen war zuletzt der Streit um biometrische Überwachung. Der Gesetzesentwurf des Parlaments verbietet KI-Anwendungen wie etwa eine automatisierte Gesichtserkennung. Kritiker sehen darin eine massive Verletzung der Bürgerrechte. Die EU-Staaten wollten Ausnahmen zum Schutz der nationalen Sicherheit, zur Verteidigung und für andere militärische Zwecke durchsetzen.
Der aktuelle Beschluss erlaubt die Nutzung biometrischer Identifizierungssysteme durch die Strafverfolgungsbehörden nun tatsächlich, sieht aber zumindest konkrete Beschränkungen vor. So ist etwa die Rede davon, dass solche Maßnahmen nur mit richterlicher Genehmigung und auch das nur für einen fixen Straftatenkatalog erlaubt sein sollen. Die Einzelheiten dazu sollen jedoch erst in den kommenden Tagen ausgearbeitet werden.
Die genannten Beispiele machen aber klar, dass in diesem Rahmen auch eine Echtzeitüberwachung möglich wird. "Zeitlich und örtlich begrenzt", wie man betont, und nur für schwere Straftaten wie die Suche nach Opfern von Entführungen oder auch bei einer akuten terroristischen Bedrohung.
Scharfe Kritik
Kritische Worte zu diesem Beschluss folgten prompt von der Datenschutzgruppe European Digital Rights. Es sei schwer, sich über ein Gesetz zu freuen, das zum ersten Mal in der EU Schritte unternehme, um die öffentliche Gesichtserkennung in der gesamten EU zu legalisieren. Das Gesamtpaket zur biometrischen Überwachung und zum Profiling sei bestenfalls mäßig.
Bereits im Vorfeld gab es viel Kritik an diesen Plänen: Einen Vergleich zu China zog etwa Svenja Hahn, Abgeordnete von Renew Europe (FDP), im Gespräch mit dem STANDARD in Brüssel im Oktober: "Diese Technologie hat in einer freiheitlichen Demokratie nichts zu suchen." Vor allem zur Migrationskontrolle an den Grenzen wurde Gesichtserkennung immer wieder ins Spiel gebracht. Experten und Parlamentarier hatten auch gewarnt, dass KI-Systeme in der Erkennung oft versagen und somit bestehende rassistische Stereotype verstärken könnten.
Bereits im September hatte sich auch die Menschenrechtsorganisation Amnesty International gegen die Verwendung und den Export von KI-gesteuerten Überwachungssystemen ausgesprochen. Dort, wo sie bereits eingesetzt werden, verstärken diese Technologien nur noch bestehende Systeme der Unterdrückung und Diskriminierung, so die NGO.
Was kommt sonst?
Die Regeln sollen unter anderem die Qualität der für die Entwicklung der Algorithmen verwendeten Daten gewährleisten und sicherstellen, dass bei der KI-Entwicklung keine Urheberrechte verletzt werden. Außerdem müssen Entwickler klar kenntlich machen, dass durch Künstliche Intelligenz geschaffene Texte, Bilder und Töne auf dieser Technologie beruhen.
Verschärfte Vorgaben soll es für "risikoreiche" Anwendungen geben, etwa bei kritischer Infrastruktur, Sicherheitsbehörden und Personalverwaltung. Dort sollen eine Kontrolle durch den Menschen über KI, eine technische Dokumentation und ein System zum Risikomanagement festgeschrieben werden.
Basismodelle bekommen schärfere Regeln
Ein großer Streitpunkt bei den Verhandlungen war die Frage, inwieweit Urheber sogenannter Basismodelle (Foundation Models) für die Verwendung ihrer Technologie haften müssen. Als prominentes Beispiel dafür gilt GPT von OpenAI, welches für die beliebte Anwendung ChatGPT verwendet wird, oder auch Googles Gemini und LaMDa sowie LLaMA von Meta. All diese eint, dass sie auf riesigen Datenmengen trainiert wurden, und für eine breite Palette an Anwendungen genutzt werden können. Deutschland, Frankreich und Italien hatten sich gegen eine harte, verbindliche Regulierung ausgesprochen und auf Selbstregulierung gepocht, das Europaparlament auf rechtliche Vorschriften gepocht.
Schlussendlich hat sich nun weitgehend das Europaparlament durchgesetzt. So soll nun eine Liste von Basismodellen aufgestellt werden, von denen eine "systemisches Risiko" ausgeht. Wer in dieser Liste landet, hängt einerseits von der Rechenkraft, die für das Training der Modelle eingesetzt wurde, als auch von der Zahl der Parameter eines Modells sowie davon, wie viele professionelle Nutzer es gibt, ab.
Modelle, die so klassifiziert werden, bekommen mit dem AI Act jetzt konkrete Transparenzauflagen. So müssen sie nicht nur klar machen, welche Daten für ihr Training verwendet wurden, sie müssen auch Details dazu liefern, welche Maßnahmen zur Bekämpfung von Vorurteilen und Diskriminierung gesetzt wurden. Zudem müssen sie die Modelle Sicherheitsüberprüfungen durch Dritte unterziehen lassen. Gab es konkrete "Störfälle" muss auch das sowie die darauf folgende Reaktion offen gelegt werden. Auch über die Energieeffizienz ihrer Modelle müssen die Hersteller solcher Modelle Rechenschaft ablegen.
Eine Ausnahme gibt es für frei verfügbare Open-Source-Modelle, solange es dabei nicht um "hochriskante" oder verbotene Technologien geht, oder sie mit einer hohen Manipulationsgefahr verbunden sind.
Erfreute Reaktionen mancher
EU-Kommissionspräsidentin Ursula von der Leyen erklärte zum Abschluss der am Mittwochnachmittag gestarteten Verhandlungsrunde, die rund 35 Stunden dauerte, das KI-Gesetz sei eine "weltweite Premiere". Es handle sich um ein rechtliches Rahmenwerk für die Entwicklung von Künstlicher Intelligenz, der die Menschen "vertrauen" könnten. Außerdem würden "Sicherheit und Grundrechte von Menschen und Unternehmen" geschützt.
Auch Österreichs Staatssekretär für Digitalisierung, Florian Tursky (ÖVP), begrüßte die Einigung. "Mit dem weltweit ersten Rechtsrahmen für KI setzen wir in der Europäische Union einen wichtigen Meilenstein, denn durch sinnvolle Regulierung stärken wir nicht nur das Vertrauen in die neuen Technologien, sondern stärken zudem die europäischen Werte und Grundrechte im digitalen Raum", betonte er laut einer Aussendung von Samstagfrüh. Für Unternehmen seien "klare Regeln und Vorgaben" wichtig, um Rechtssicherheit zu haben. "Für die Bürgerinnen und Bürger ist die Transparenz und der Schutz ihrer persönlichen Daten wichtig", so Tursky.
Man müsse das Verhandlungsergebnis "natürlich noch genau prüfen, aber damit kann Europa globaler Vorreiter bei der Regulierung von KI werden", zeigte sich die ÖVP-Europaparlamentarierin Barbara Thaler überzeugt. "Das ist ein wichtiges Signal an die Mitbewerber in den USA und in Asien. Meine Devise lautet seit jeher: Keine Angst vor KI, die Risiken konsequent regulieren und den Fokus auf die Möglichkeiten und das Potenzial richten", so Thaler in einer Aussendung.
Die stellvertretende Generalsekretärin der Wirtschaftskammer (WKÖ), Mariana Kühnel, sieht in dem geplanten KI-Rechtsrahmen "eine Balance zwischen Innovation und Regulierung gewährleistet. Er fördert Investitionen und Innovationen und sichert gleichzeitig bestehende Rechte durch ein hohes Schutzniveau." Nun müssten rasch die nationalen Strukturen für die Umsetzung der Verordnung geschaffen werden. Kühnel forderte "eine serviceorientierte KI-Behörde" in Österreich, die die Unternehmen hierzulande bei der Umsetzung unterstützt.
Aber auch schon erste Kritik
Aus der Wirtschaft kam aber auch Kritik an den EU-Vorgaben. Sie seien eine weitere Belastung für die Unternehmen, erklärte der Branchenverband DigitalEurope. Der Bundesverband der Deutschen Industrie bemängelte, das Ziel, durch den "AI Act" einen sicheren und vertrauensbildenden Rechtsrahmen auf Basis eines risikobasierten Ansatzes zu wählen, sei teilweise verfehlt worden. Die Wettbewerbs- und Innovationsfähigkeit werde gefährdet und die von Unternehmen benötigte Rechtssicherheit in Form von praxisnaher und vorausschauender Regulierung sei durch unausgereifte Kriterien nicht gegeben.
"Der Kompromiss bremst unseren Wirtschaftsstandort bei der KI-gestützten Transformation, die gerade für die Bewältigung von Fachkräftemangel und Energiewende dringend gebraucht wird, aus, erklärte Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung. "Europa riskiert auf diesem Weg, den Anschluss an die weltweiten KI-Entwicklungen zu verlieren."
Die großen Mitgliedsländer Deutschland, Frankreich und Italien hatten zuletzt vor scharfen Auflagen gewarnt, um die Entwicklung der Zukunftstechnologie nicht zu gefährden. Der deutsche Digital- und Verkehrsminister Volker Wissing appellierte an die EU, international abgestimmt vorzugehen und "keinen Alleingang" zu wagen. So gibt es Befürchtungen, Start-up-Unternehmen wie Aleph Alpha aus Deutschland und Mistral AI in Frankreich könnten in ihrer Entwicklung behindert werden.
Verschiedene Risikoklassen
Die Union verfolgt bei der Regulierung einen gefahrenbasierten Ansatz. KI-Anwendungen werden in die Kategorien unbedenklich, KIs mit Transparenzverpflichtung, hohes Risiko oder inakzeptables Risiko eingestuft. Als inakzeptabel gelten etwa Social Scorings, also die Bewertung des Verhaltens von Bürgern, wie sie in China bereits eingesetzt werden. Dort kann es etwa Probleme bei der Eröffnung eines Kontos geben, wenn man zu viele Strafzettel gesammelt hat. KIs mit hohem Risiko sind zwar erlaubt, müssen aber Risikoanalysen vorlegen und vor ihrem Einsatz überprüft werden. Dabei handelt es sich etwa um Anwendungen im medizinischen Bereich oder bei Bewerbungsprozessen. Chatbots wie ChatGPT oder Bard gelten gemeinhin als unbedenklich.
Noch im Herbst herrschte in Brüssel große Skepsis, ob der AI Act überhaupt noch vor den Europawahlen im kommenden Jahr fertig werden kann, zu weit lagen die Positionen zwischen EU-Parlament, Kommission und den Mitgliedsstaaten auseinander. Nach der politischen Einigung vom Freitagabend müssen nun noch technische Details ausgearbeitet werden. Das Europaparlament und die Staaten müssen dem nun vereinbarten Vorhaben noch zustimmen. Das gilt aber als Formsache. (APA/Reuters/red, 8.12.2023)