Die EU überrascht mit dem weltweit ersten KI-Gesetz

Schon die Einführung der Datenschutzgrundverordnung hat der EU eine Vorreiterrolle für Rechtssicherheit in der digitalen Welt eingebracht. Nun folgt das weltweit erste KI-Gesetz von der EU-Kommission, wieder mit Vorreiter-Ambitionen.

Auch diese EU-Initiative ist ein einsamer Vorstoß und gilt als erste Gesetzes-Initiative weltweit, die versucht, die KI mit ihrem ungeheuren Potenzial, aber auch die damit einhergehenden Gefahren, durch transparente Vorschriften zu bändigen und einem völlig freien Wildwuchs vorzubeugen. Damit das künftige Gesetz auch fundierte Anwendung erfährt, wurde gleichzeitig eine neue Behörde geschaffen, die sich künftig um alle Belange kümmert, die mit KI-Systemen in Verbindung stehen.

Das neue Gesetz trägt den Namen Artifical Intelligence Act (AIA) und wird weltweit interessiert beobachtet. Bereits im April 2021 wurden seitens der EU-Kommission erste Vorschläge formuliert, um KI künftig gesetzlich zu regulieren. Nun haben sich die Experten des EU-Parlaments im Dezember 2023 auf eine vorläufige Fassung des Werks verständigt, die nun technisch ausgearbeitet werden muss. Zudem müssen die Vorschläge dann noch die üblichen EU-Instanzen des EU-Rats und des EU-Parlaments passieren, um Gesetzes-Charakter zu bekommen. In einem nächsten Schritt sind dann die EU-Staaten in der Pflicht und müssen die gesetzliche Vorlage in jeweils nationales Recht überführen. Es wird also noch eine Zeit lang dauern, bis das KI-Gesetz europaweit Anwendung findet.

Der Artificial Intelligence Act definiert drei Risikobereiche

Kern des neuen KI-Gesetzes ist die Einstufung von Systemen, die KI nutzen, in drei unterschiedliche Risiko-Bereiche. Zu den besonders riskanten und damit nicht akzeptablen KI-Konzepten gehört beispielsweise ein von Staaten betriebenes Social-Scoring, wie es etwa bei Chinas Behörden gebräuchlich ist. Staaten der EU wird es künftig gesetzlich untersagt, vergleichbare Praktiken anzuwenden. Insgesamt werden die KI-Ansätze am strengsten reguliert, von denen massive Bedrohungen der Freiheits-Grundrechte von EU-Bürgern ausgehen.

Ein weiteres Beispiel dafür ist etwa die biometrische Gesichtserkennung im öffentlichen Raum, die das Gesetz nur gestattet, um Schwerverbrecher zu verfolgen, Terroranschläge zu vereiteln oder Entführern, Menschenhändlern oder Sexualstraftätern das Handwerk zu legen. Darüber hinaus untersagt die Gesetzesvorlage die Kombination von biometrischen Daten mit Informationen zu religiösen Praktiken oder politischen Tendenzen von EU-Bürgern. Ebenfalls unzulässig ist, online wahllos oder ungefragt biometrische Daten aus Überwachungskameras zu verarbeiten. Folglich werden vor allem Behörden und staatliche Institutionen sehr transparent machen müssen, wo und wie sie sich KI zunutze machen.

Generell werden als risikoreich Prozesse eingeordnet, bei denen in großem Stil biometrische Daten gespeichert und bewertet werden, beispielsweise für eine Leistungsbewertung von Mitarbeitenden eines Unternehmens. Ebenso fiele beispielsweise eine KI in den risikoreichen Bereich, die Lebensläufe von Bewerbern scannt, um dann das Auswahlverfahren automatisiert zu betreiben. Werden KI-Konzepte nicht einem der Risikobereiche zugeordnet, unterliegen sie auch künftig keinerlei Regulierungen.

KI-Schöpfungen müssen bald gekennzeichnet werden

Der AIA enthält auch Regelungen, die sich mit der Kennzeichnung von Content beschäftigen, der durch künstliche Intelligenz erzeugt worden ist. So sieht der Gesetzesentwurf vor, dass künftig von KI erzeugte Inhalte oder beispielsweise der Einsatz von Chatbots klar gekennzeichnet werden müssen. User müssen zudem darüber informiert werden, wenn ihre biometrischen Daten erfasst und ausgewertet werden.

Behörde wird hohe Bußgelder verhängen

Ähnlich wie bei der DSGVO geht auch das KI-Gesetz einher mit der Einführung eines Bußgeldkatalogs. So sieht das Regelwerk vor, Unternehmen, die gegen das KI-Recht verstoßen, mit empfindlich hohen Geldbußen zu belegen. Im Entwurf ist von bis zu 35 Millionen Euro oder bis zu sieben Prozent des weltweiten Jahresumsatzes eines betroffenen Unternehmens die Rede, die als Bußgeld fällig werden können. Bis zu 15 Millionen Euro beziehungsweise drei Prozent des Jahresumsatzes können Verstöße gegen „andere Verpflichtungen“ und 7,5 Millionen Euro oder 1,5 Prozent Umsatzanteil infolge von „falschen Informationen“ betragen. Noch ist fraglich, ob Unternehmen in den kommenden Jahren analog zum Datenschutzbeauftragten auch einen KI-Beauftragten benennen müssen, der über die Einhaltung des Gesetzes wacht.