Am Mittwoch, 14. Juni 2023, hat sich das EU-Parlament mit 499 zu 28 Stimmen bei 93 Enthaltungen auf eine gemeinsame Position zum Artificial Intelligence Act (AI Act) geeinigt. Mit dem Gesetzespaket wird angestrebt, die Verwendung von künstlicher Intelligenz (KI) in ein Regelwerk zu gießen, um Missbrauch der Technologie zu verhindern. "Mit dem ersten KI-Gesetz weltweit werden wir globale Standards setzen, auf Grundlage des Schutzes der Privatsphäre und der Grundrechte", verkündete Parlamentspräsidentin Roberta Metsola im Rahmen einer Pressekonferenz. 

Künstliche Intelligenz ist vor allem dank Anwendungen wie ChatGPT seit Monaten in aller Munde, zumal sie das Experimentieren mit KI auf niederschwellige Weise ermöglichen und auf Befehl zum Beispiel ganze Texte automatisch verfassen können. Als generative KI werden jene Programme bezeichnet, die mit der einfachen Generierung von Inhalten auch für Unruhe in der Kreativbranche sorgen.

Vier Risikogruppen

Der AI Act soll aber mehr als bloß generative KI regulieren. So ist die Unterteilung in vier Risikoklassen geplant, von inakzeptablen Risiken bis zu Anwendung mit minimalen Risiken. Als inakzeptable Risiken gelten etwa Social-Scoring-Modelle (Klassifizierung natürlicher Personen auf der Grundlage ihres sozialen Verhaltens oder ihrer Persönlichkeitsmerkmale) oder Spielwaren mit Sprachsteuerung, die Kinder zu gefährlichem Verhalten animieren könnten. Sie sollen verboten werden.

Als Anwendungen mit hohem Risiko gelten wiederum unter anderem jene, die sich auf kritische Infrastruktur, Grenzkontrollen, den Bildungsbereich und den Arbeitsmarkt beziehen: Für sie gilt zum Beispiel, dass die Userinnen und User umfassend informiert werden sollen, Mindestanforderungen an die Qualität der Trainingsdaten gestellt werden und die Anbieter eine Risikoevaluierung ihrer Systeme vorlegen müssen. Als Anwendungen mit limitiertem Risiko gelten etwa Chatbots: Hier sollen Nutzerinnen und Nutzer zumindest transparent informiert werden, dass sie mit einem Bot anstatt mit einem Menschen sprechen. Als Anwendungen mit minimalem Risiko gelten zum Beispiel Videospiele mit KI-Elementen oder Spamfilter, sie können frei verwendet werden. 

Forderung für weitere Verbote

Anders als in vorherigen Versionen der Verordnung fordern die Abgeordneten nun Verbote für weitere KI-Anwendungen, die in die Privatsphäre eingreifen und diskriminieren, nämlich für:

• biometrische Systeme, die es ermöglichen, Personen in Echtzeit oder nachträglich an öffentlich zugänglichen Orten aus der Ferne zu identifizieren,
• Systeme zur biometrischen Kategorisierung anhand sensibler Merkmale (z. B. Geschlecht, Rasse, ethnische Zugehörigkeit, Staatsbürgerschaft, Religion oder politische Orientierung),
• vorausschauende Polizeiarbeit (die mit Profilerstellung und Standortermittlung arbeitet und aufgrund früheren kriminellen Verhaltens abschätzt, inwieweit eine Person Gefahr läuft, straffällig zu werden),
• in der Strafverfolgung, beim Grenzschutz, am Arbeitsplatz und in Bildungseinrichtungen verwendete Emotionserkennungssysteme und
• das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen zur Erstellung von Gesichtserkennungsdatenbanken (Verletzung der Menschenrechte und des Rechts auf Privatsphäre).

Die Abgeordneten fordern zudem, dass KI-Systeme, die die Gesundheit, die Sicherheit und die Grundrechte von Menschen bzw. die Umwelt erheblich gefährden, als Hochrisiko-Anwendungen gelten. In die entsprechende Liste wurden KI-Systeme aufgenommen, die zur Beeinflussung von Wählern und Wahlergebnissen sowie in Empfehlungssystemen von Social-Media-Plattformen (mit mehr als 45 Millionen Nutzern) eingesetzt werden.

Streitpunkt Biometrie und KI

Änderungen in letzter Minute gab es noch bei einem Thema, über das intensiv diskutiert wurde und das auch außerhalb der EU-Institutionen für Diskussionen gesorgt hatte: die Echtzeiterkennung und -auswertung von biometrischen Daten via KI, also etwa Live-Gesichtserkennung im öffentlichen Raum. Hier soll es laut Ansicht des Parlaments auch nicht erlaubt sein, Live-Gesichtserkennung für Strafverfolgung zu nutzen. Möglich soll es im Rahmen einer richterlichen Kontrolle und Zustimmung aber sein, nach einer Datenerhebung eine biometrische Identifizierung durchzuführen.

Angestrebt wird vom EU-Parlament auch ein Verbot der Erkennung von menschlichen Emotionen mit KI-Tools – und zwar nicht nur am Arbeitsplatz, sondern auch etwa im Kontext von Migration und Grenzschutz. Derartige Verbote sollen auch gelten, wenn die Staaten zuvor bereits solche Systeme zugelassen und angeschafft haben. Setzt sich das Parlament mit seiner Ansicht durch, so werden sie mit Inkrafttreten der Verordnung verboten.

Diverse NGOs hatten sich im Vorfeld bereits kritisch geäußert. So ortete die österreichische Grundrechtsorganisation Epicenter Works etwa die Gefahr, dass durch KI-Tools Grundrechte untergraben werden, etwa durch eine bisher ungesehene biometrische Massenüberwachung oder die großflächige Diskriminierung von Menschen durch KI-Systeme. Eine entsprechende Regulierung wird daher begrüßt. Dennoch ist der Prozess zur Risikoeinstufung noch lückenhaft, heißt es seitens Epicenter Works in einer Stellungnahme gegenüber dem STANDARD: "Es besteht durch dieses Schlupfloch die Gefahr, dass Hersteller ihren Anwendungen ein geringeres Risiko zuschreiben, als sie tatsächlich haben."

Auch die Menschenrchtsorganisation Amnesty International hatte zuvor an das EU-Parlament appelliert, den diskriminierenden Einsatz von KI – insbesondere in Bezug auf das Thema Grenzschutz und Migration – zu verbieten. 

Pflichten für ChatGPT und Co

Anbieter von Basismodellen müssen künftig Risiken (für Gesundheit, Sicherheit, die Grundrechte von Personen, die Umwelt oder für Demokratie und Rechtsstaatlichkeit) abschätzen und mindern sowie ihre Modelle in der entsprechenden EU-Datenbank registrieren, bevor sie auf den EU-Markt kommen.

Generative KI-Systeme, die auf solchen Modellen beruhen wie ChatGPT, müssen Transparenzanforderungen erfüllen. Sie müssen also offenlegen, dass die Inhalte KI-generiert sind, was auch dazu beitragen soll, sogenannte Deepfake-Fotos von echten Abbildungen zu unterscheiden. Zusätzlich müssen sie dafür sorgen, dass keine rechtswidrigen Inhalte erzeugt werden. Außerdem müssen sie detaillierte Zusammenfassungen der urheberrechtlich geschützten Daten veröffentlichen, die sie zu Trainingszwecken verwendet haben.

Förderung für KI aus Europa

Um KI-Innovationen zu fördern und kleine und mittlere Unternehmen zu unterstützen, fügte das Parlament Ausnahmeregelungen hinzu, die für Forschungstätigkeiten und KI-Komponenten gelten, die im Rahmen von quelloffenen Lizenzen bereitgestellt werden. Die neuen Vorschriften fördern sogenannte Reallabore, in denen Behörden KI-Anwendungen unter realen Bedingungen testen können, bevor sie eingesetzt werden. Es gebe durchaus Raum für eine europäische Alternative zu ChatGPT, antworteten die Parlamentarier auf eine Frage im Rahmen der Presskonferenz. 

Das Parlament will außerdem das Recht der Bürgerinnen und Bürger stärken, Beschwerden über KI-Systeme einzureichen und Entscheidungen erklärt zu bekommen, die auf dem Einsatz hochriskanter KI-Systemen beruhen und ihre Grundrechte erheblich beeinträchtigen. Die Abgeordneten wollen darüber hinaus ein Europäisches Amt für künstliche Intelligenz einrichten, das die Umsetzung des KI-Regelwerks überwachen soll.

Verstoße ein Unternehmen gegen die Regeln, so könne es nach diversen Verhandlungen in letzter Konsequenz zu hohen Strafen kommen, führen die Parlamentarier aus: Eine ungesetzliche Anwendung könnte gänzlich vom europäischen Markt genommen werden, den Anbietern drohen Geldstrafen von bis zu sieben Prozent der Erträge.

Bitte warten

Nach der Einigung der Abgeordneten auf die gemeinsame Position beginnen die Trilog-Verhandlungen zwischen den EU-Institutionen. Die Chancen stehen den Abgeordneten zufolge gut, dass die Verhandlungen bis Ende 2023 abgeschlossen werden.

Allzu bald wird man den AI Act dennoch nicht im Alltag spüren: Inklusive Übergangsfristen wird das Gesetz wohl frühestens in zwei Jahren greifen. EU-Technologiekommissarin Margrethe Vestager hat daher zuletzt darauf gedrängt, dass die USA und die EU parallel dazu die Anbieter zu einer freiwilligen Selbstkontrolle verpflichten sollen. Zudem werden seitens des EU-Parlaments Überlegungen angeregt, einzelne Aspekte – wie etwa die Regulierung generativer KI – in der Umsetzung vorzuziehen. (Stefan Mey, 14.6.2023)

Update, 14.6.2023, 15 Uhr: Dieser Artikel wurde umfassend überarbeitet, Details und Statements ergänzt.