Die internationale KI-Verordnung zum Schutz vor KI-Missbrauch wurde am 27. November 2023 von 18 Ländern präsentiert. Das 20-seitige Dokument betont die Verantwortung von Unternehmen, die KI entwickeln und nutzen. Sie müssen sicherstellen, dass der Einsatz bei Kunden und der breiten Öffentlichkeit keinen Schaden zufügt.
Was bedeutet die KI-Verordnung?
Die KI-Verordnung, auch bekannt als Artificial Intelligence Act (AI), ist ein Gesetz der Europäischen Union, das klare Vorschriften und Anforderungen für Unternehmen festlegt, die KI-Systeme entwickeln oder verwenden. Das Hauptziel dieser Verordnung besteht darin, den Missbrauch von Daten zu verhindern und die Privatsphäre zu schützen. Insbesondere seit der Einführung von ChatGPT ist die Diskussion über Künstliche Intelligenz verstärkt in der breiten Öffentlichkeit präsent.
Eine Umfrage im Jahr 2023 ergab, dass sich 84 % der Befragten in Deutschland gesetzliche Vorgaben für die ethische Entwicklung und den sicheren Einsatz von KI wünschen. Die folgende Statistik zeigt das Ergebnis.
Ziele der KI-Verordnung im Überblick
Die neue KI-Verordnung verfolgt unterschiedliche Ziele, die im Folgenden kurz aufgelistet sind:
Schutz der Grundrechte wie Würde, Privatsphäre und andere Grundrechte
Vertrauensbildung durch Förderung von Transparenz, Rechenschaftspflicht und Verständlichkeit
Förderung von Innovation und Wettbewerbsfähigkeit
Was regelt die KI-Verordnung?
Die KI-Verordnung legt Richtlinien für den Umgang mit KI-Systemen fest, abhängig von ihrer Risikoklasse. Die Anforderungen und Verpflichtungen steigen entsprechend dem Risiko, das ein KI-System darstellt. Die Verordnung unterteilt grundsätzlich in vier Risikoklassen:
Minimales Risiko
Die Mehrheit der KI-Systeme fällt in diese Kategorie. Anwendungen mit minimalem Risiko, wie Empfehlungssysteme oder Spam-Filter, sind von weiteren Verpflichtungen befreit.
Begrenztes Risiko
KI-Systeme mit begrenztem Risiko interagieren mit Menschen, z. B. Emotionserkennungssysteme oder biometrische Kategorisierungssysteme.
Hohes Risiko
Risikoreiche KI-Systeme müssen strenge Anforderungen erfüllen, einschließlich hoher Datenqualität, Protokollierung, ausführlicher Dokumentation, klarer Benutzerinformationen, menschlicher Aufsicht, Genauigkeit und Cybersicherheit. Dazu gehören kritische Infrastrukturen wie Wasserversorgung, Gas- und Stromversorgung, medizinische Geräte sowie Zugangssysteme zu Bildungseinrichtungen oder Personalrekrutierungssysteme.
Inakzeptables Risiko
KI-Systeme, die eine klare Bedrohung für Grundrechte darstellen, sind verboten. Dazu gehören Manipulationen des menschlichen Verhaltens, Förderung gefährlicher Handlungen von Minderjährigen sowie bestimmte Anwendungen in Strafverfolgung, Grenzkontrolle, Rechtspflege und demokratischen Prozessen.
Weitere Risiken
Zu weiteren Risiken gehören die Verbreitung falscher Fakten, da KI wie ChatGPT den Eindruck erwecken kann, fehlerfreie Informationen zu liefern, obwohl sie auf Wahrscheinlichkeiten basieren und Fehler enthalten können. Unsicherheiten bestehen auch im generierten Code, der auf anfälligen Datensätzen basiert und Sicherheitsrisiken aufweisen kann.
Die mangelnde Aktualität der Trainingsdaten führt dazu, dass KI keine aktuellen Informationen liefern und dies zu unzuverlässigen Ergebnissen führen kann. Die Vertraulichkeit von Nutzerdaten ist ein weiteres Risiko, da Betreiber Zugriff auf alle Eingaben haben. Es besteht die Möglichkeit, dass Daten an unbekannte Dritte weitergegeben werden.
Sanktionen bei Verstößen gegen die KI-Verordnung
Verstöße gegen die KI-Verordnung können mit erheblichen Bußgeldern geahndet werden, die bis zu 40 Millionen Euro oder bis zu 7 % des weltweiten Gesamtumsatzes des vorangegangenen Geschäftsjahres betragen können. Angesichts dieser möglichen Konsequenzen ist es für Unternehmen ratsam, den weiteren Verlauf aufmerksam zu verfolgen und sich frühzeitig mit den damit verbundenen Verpflichtungen auseinanderzusetzen.
Wann tritt die KI-Verordnung in Kraft?
Die politische Vereinbarung der KI-Verordnung erfolgte am 8. Dezember 2023. Der endgültige Text des AI Acts wird derzeit ausgearbeitet und muss noch sowohl vom Europäischen Parlament als auch vom Rat angenommen werden. Ein Übergangszeitraum wird gewährt, bevor die Verordnung in Kraft tritt.
Grundsätzlich soll die Verordnung zwei Jahre nach ihrem Inkrafttreten wirksam werden, wobei einige Bestimmungen möglicherweise früher Anwendung finden können. Da es sich um eine Verordnung handelt, werden die darin enthaltenen Regeln unmittelbar in allen EU-Mitgliedstaaten gelten, ohne dass eine nationale Umsetzung erforderlich ist.
Fazit: Die Verantwortung liegt nun bei Unternehmen und Einzelpersonen, sicherzustellen, dass KI-Systeme transparent und im Einklang mit Datenschutzrichtlinien betrieben werden.