Nach einem 36-stündigen Verhandlungsmarathon haben die EU-Institutionen eine politische Einigung über das europäische KI-Gesetz erzielt. Damit könnte nun ein weltweiter Maßstab für die Regulierung der künstlichen Intelligenz gesetzt worden sein.
Das KI-Gesetz ist ein bahnbrechender Entwurf zur Regulierung künstlicher Intelligenz auf der Grundlage ihrer Fähigkeit, Schaden zu verursachen. Die Europäische Kommission, der Rat und das Parlament haben am Freitag (8. Dezember) ihre Differenzen beigelegt und damit das langwierige Gesetzgebungsverfahren vollendet.
Bei dem politischen Treffen, das einen neuen Längenrekord für interinstitutionelle Verhandlungen darstellte, mussten die Vertreter der EU-Institutionen eine anspruchsvolle Liste von 21 offenen Fragen durchgehen. Wie Euractiv berichtete, wurden im ersten Teil des Trilogs die Bereiche Open Source, Basismodelle und Governance abgeschlossen.
Die erschöpften EU-Vertreter riefen jedoch nach 22 Stunden zu einer Unterbrechung auf, nachdem klar wurde, dass ein Vorschlag der spanischen EU-Ratspräsidentschaft zur sensiblen Strafverfolgung für sozialdemokratische Verhandlungsteilnehmer nicht akzeptabel war. Die Diskussionen wurden am Freitagmorgen wieder aufgenommen und endeten erst spät in der Nacht.
Nationale Sicherheit
Die EU-Länder, allen voran Frankreich, bestanden auf einer weitreichenden Ausnahmeregelung für alle KI-Systeme, die für militärische oder verteidigungspolitische Zwecke eingesetzt werden, selbst wenn sie von einem externen Auftragnehmer stammen. In der Präambel des Textes wird darauf hingewiesen, dass dies im Einklang mit den EU-Verträgen steht.
Verbotene Praktiken
Das KI-Gesetz enthält eine Liste verbotener Anwendungen, die ein inakzeptables Risiko darstellen. Dazu gehören manipulative Techniken, Systeme, die Schwachstellen ausnutzen, und Social Scoring. Die Abgeordneten fügten Datenbanken hinzu, die auf dem massenhaften Auslesen von Gesichtsbildern basieren, wie Clearview AI.
Die EU-Abgeordneten verhandelten ein Verbot der Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen. Allerdings wurde eine Ausnahme für sicherheitsrelevante Situationen zugelassen, zum Beispiel um zu erkennen, ob ein Fahrer einschläft.
Die Parlamentarier setzten auch ein Verbot von prädiktiver Polizeisoftware durch. Mit dieser Software soll das Risiko einer Person, in Zukunft Straftaten zu begehen, auf der Grundlage von persönlichen Merkmalen bewertet werden.
Darüber hinaus wollte das EU-Parlament den Einsatz von KI-Systemen verbieten, die Personen aufgrund von sensiblen Merkmalen wie ethnischer Herkunft, politischer Meinung oder religiöser Überzeugung kategorisieren.
Auf Drängen der EU-Mitgliedstaaten ließ das Parlament das vollständige Verbot der biometrischen Fernidentifizierung in Echtzeit fallen. Im Gegenzug dafür wurden die beschlossenen Ausnahmen im Bereich der Strafverfolgung sehr eng gefasst. Die Ausnahmen beziehen sich auf die Verhinderung von Terroranschlägen oder das Auffinden von Opfern oder Verdächtigen einer vorab definierten Liste schwerer Verbrechen.
Für die nachträgliche Nutzung dieser Technologie gilt eine ähnliche Regelung, allerdings mit weniger strengen Anforderungen. Die Abgeordneten setzten sich dafür ein, dass diese Ausnahmen nur dann gelten, wenn sie auf der Grundlage nationaler Rechtsvorschriften und der vorherigen Genehmigung einer unabhängigen Behörde unbedingt erforderlich sind. Die Kommission soll mögliche Missbräuche überwachen.
Die Abgeordneten bestanden darauf, dass die Verbote nicht nur für Systeme gelten, die innerhalb der Union verwendet werden, sondern auch Unternehmen mit Sitz in der EU daran hindern sollten, diese verbotenen Anwendungen im Ausland zu verkaufen. Dieses Exportverbot wurde jedoch nicht beibehalten, da man keine ausreichende Rechtsgrundlage dafür sah.
Hochriskante Anwendungsfälle
Die KI-Verordnung enthält eine Liste von Anwendungsfällen, bei denen ein erhebliches Risiko besteht, dass sie die Sicherheit und die Grundrechte der Menschen gefährden. Die beteiligten Institutionen haben eine Reihe von Filterbedingungen festgelegt, um nur wirklich risikoreiche Anwendungen zu erfassen.
Zu den sensiblen Bereichen gehören Bildung, Beschäftigung, kritische Infrastrukturen, öffentliche Dienste, Strafverfolgung, Grenzkontrolle und Justizverwaltung.
Die Abgeordneten schlugen auch vor, die Empfehlungssysteme sozialer Medien, die als „systemisch“ eingestuft werden, in das Gesetz über digitale Dienste (DSA) einzubeziehen. Diese Idee wurde jedoch nicht in die Vereinbarung aufgenommen.
Dem Parlament ist es gelungen, neue Anwendungsfälle einzuführen, etwa für KI-Systeme zur Vorhersage von Migrationstrends und zur Grenzüberwachung.
Ausnahmen für Strafverfolgungsbehörden
Der Rat hat mehrere Ausnahmen für Strafverfolgungsbehörden eingeführt. Hierzu zählen insbesondere eine Abweichung vom Vier-Augen-Prinzip, wenn das nationale Recht dies für unverhältnismäßig hält, und der Ausschluss sensibler Betriebsdaten von den Transparenzanforderungen.
Anbieter und öffentliche Einrichtungen, die Hochrisikosysteme verwenden, müssen diese in einer EU-Datenbank melden. Für Polizei- und Migrationskontrollbehörden wird es einen speziellen nicht-öffentlichen Bereich geben, der nur einer unabhängigen Aufsichtsbehörde zugänglich ist.
In Ausnahmefällen, die mit der öffentlichen Sicherheit zusammenhängen, können die Strafverfolgungsbehörden ein Hochrisikosystem einsetzen. Dieses System muss das Konformitätsbewertungsverfahren nicht durchlaufen haben, um eine richterliche Genehmigung zu erhalten.
Folgenabschätzung für die Grundrechte
Die Abgeordneten der sozialdemokratischen Fraktion haben die Verpflichtung zur Durchführung einer Folgenabschätzung für die Grundrechte erfolgreich ins Spiel gebracht. Dies gilt für öffentliche und private Einrichtungen, die wesentliche öffentliche Dienstleistungen erbringen, wie Krankenhäuser, Schulen, Banken und Versicherungsunternehmen, die Hochrisikosysteme einsetzen.
Verantwortung entlang der Lieferkette
Anbieter von Allzweck-KI-Systemen wie ChatGPT müssen den nachgelagerten Wirtschaftsakteuren, die eine Anwendung innerhalb der Hochrisikokategorie erstellen, alle erforderlichen Informationen zur Verfügung stellen, um die Verpflichtungen des KI-Gesetzes erfüllen zu können.
Bußgelder
Die Bußgelder sind als Mindestbetrag oder als Prozentsatz des weltweiten Jahresumsatzes des Unternehmens festgelegt, falls dieser höher ist.
Für die schwersten Verstöße gegen die verbotenen Anwendungen können die Bußgelder bis zu sieben Prozent oder 35 Millionen Euro betragen, drei Prozent oder 15 Millionen Euro für Verstöße gegen die Pflichten von System- und Modellanbietern und 1,5 Prozent für das Versäumnis, genaue Informationen zu liefern.
Zeitplan
Das KI-Gesetz gilt zwei Jahre nach seinem Inkrafttreten, für die Verbote wird die Frist auf sechs Monate verkürzt. Die Anforderungen an KI-Modelle, die Konformitätsbewertungsstellen und die Governance-Bestimmungen werden bereits ein Jahr früher in Kraft treten.
[Bearbeitet von Zoran Radosavljevic/Kjeld Neubert]