AI Act: Abstimmung auf der Kippe, doch Unternehmen sollten sich rüsten

Am 2. Februar steht der AI Act erneut zur Abstimmung – Zustimmung ungewiss. Bei einer Fachtagung ist von "heißer Nadel" die Rede.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
A,Person's,Head,Covered,By,An,Ai-labeled,Dark,Cloud

(Bild: photoschmidt/ Shutterstock.com)

Lesezeit: 6 Min.

Der Bitkom hat zur Fachtagung AI Act geladen. Zu Gast bei Google in Berlin referierten Politik und Wirtschaft über das, was die neue EU-Regelung zur künstlichen Intelligenz bringen wird. Klar ist, Unternehmen jeder Größe, die KI einsetzen oder auf den Markt bringen, werden sich mit den Bestimmungen auseinandersetzen müssen. Nicht betroffen vom AI Act bleiben allerdings KIs, die sich noch im Forschungsstadium befinden oder allein militärischen Zwecken, beziehungsweise der nationalen Sicherheit dienen und nicht auf dem freien Markt angeboten werden.

Viele Einsatzgebiete fordern von Firmen im Rahmen der Compliance aktives Handeln. Gegebenenfalls müssen Systeme von Behörden abgenommen werden. Es bedarf mindestens der Selbsteinschätzung, ob eigene Systeme Hochrisiko-KI entsprechen. Doch es herrscht Unsicherheit und die Befürchtung, die Anfangsschwierigkeiten der DSGVO könnten sich wiederholen.

"Unternehmen sollten den AI Act zur Kenntnis nehmen. Und Unternehmen sollten entsprechende Strukturen aufbauen", sagt Evelyn Graß, Leiterin des Referats VIB1 Künstliche Intelligenz, Datenökonomie, Blockchain des Bundesministeriums für Wirtschaft und Klimaschutz. Als Teil der Bundesregierung zeigt Graß sich äußerst zufrieden mit der aktuellen Fassung des AI Acts, die erst vor wenigen Tagen geleakt wurde. Hinter den Kulissen brodelt es derweil allerdings doch noch gewaltig. Man sehe die "deutsche Handschrift" sagt Graß – beispielsweise dabei, dass General Purpose AI nicht generell als Hochrisiko-KI eingestuft wird und besondere Pflichten erfüllen muss. Einzig die geplante Übergangsfrist von zwei Jahren hält die Referentin für alle Beteiligten für sehr ambitioniert.

Anders bewertet Kai Zenner, EU-Parlamentsbüroleiter von Axel Voss (CDU), den AI Act. Er sagt, es sei vor allem ein Musterbeispiel für schlechte Rechtssetzung. Damit meint er, der gesamte Prozess sei durch zu wenig Teilhabe gekennzeichnet. Selbst die Mitgliedsstaaten hätten zu spät mitsprechen dürfen. Stakeholder seien nicht ausreichend eingebunden worden. Noch drastischer der Vorwurf: "Der AI Act ist mit heißer Nadel gestrickt." Er erwartet zwar, dass die KI-Verordnung abgenickt wird, befürchtet jedoch, dass einiges rechtlich angreifbar ist – und von großen Unternehmen genutzt wird. Beispielsweise seien die langen Listen mit Ausnahmen ein Zeichen dafür, dass die Felder zu weit gefasst wurden.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Der AI Act könnte im Sommer Inkrafttreten und 24 Monate später zur vollen Anwendung gelangen. Der aktuelle Fahrplan besagt, dass am 2. Februar die Mitgliedsstaaten zustimmen. Es geht um ein schlichtes Ja oder Nein, wobei im Raum steht, dass Deutschland, Frankreich und Italien sich zusammentun könnten, und diesen Termin sprengen – es ist immer wieder von Unzufriedenheit zu hören, vor allem aus den Ländern, in denen große Anbieter von KI-Modellen sitzen. Auch Zenner erklärt, dass es selbst innerhalb von Parteien unterschiedliche Lager gibt: Die einen wollen der aktuellen Fassung zustimmen, die anderen lehnen sie ab. Zenner geht jedoch von der Zustimmung zum Gesetz aus.

Kommt es zum Ja, ist geplant, dass das EU-Parlament etwa zwei Wochen später zustimmt und das Plenum Mitte April. So käme der AI Act im Mai oder Juni ins Amtsblatt, 20 Tage danach tritt er in Kraft. Grundsätzlich gelangt er für alle dann 24 Monate später in Anwendung. Doch es gibt Ausnahmen und noch viel zu tun.

Für Verbote, die der AI Act vorsieht, gibt es nur eine Frist von sechs Monaten. Verboten sind beispielsweise manche Anwendungen, bei denen biometrische Daten gesammelt und ausgewertet werden. Das Risiko dieser Systeme wird als inakzeptabel bezeichnet. Es gibt allerdings zahlreiche Ausnahmen für Strafverfolgungsbehörden.

Anbieter sogenannter General Purpose AI (GPAI) müssen sich auch schon nach zwölf Monaten an den AI Act halten. Wobei jedes Unternehmen in der Verantwortung ist, das eine Anwendung nutzt, die auf einer GPAI basiert. Dazu heißt es aktuell im AI Act, dass Anbieter solcher generativen Modelle und Dienste, zu denen etwa auch ChatGPT gehört, sicherstellen müssen, dass die generierten Inhalte als von einer KI stammend identifiziert werden können – soweit das technisch machbar und bezahlbar sei. Damit will der AI Act Systeme eindämmen, die irrtümlich oder absichtlich KI-Fälschungen von realen Personen oder Ereignissen produzieren. Ausgeschlossen sind jedoch Editoren, die mithilfe von KI Text, Bild und Ton lediglich bearbeiten und verbessern. Hier ist juristischer Streit um die genaue Auslegung bereits vorprogrammiert. Gerichte werden künftig zu klären haben, ab wann eine Nachbearbeitung eines Bildes, einer Audioaufnahme oder eines Textes mit einem KI-Tool noch legitim ist oder bereits als Fälschung gilt und gekennzeichnet werden muss.

Für besonders große KI-Systeme wie Gemini, GPT-4 und ChatGPT könne es noch zu einer anderen Bewertung kommen, wenn sie als Hochrisiko-Systeme eingestuft werden, die besonders gravierende Auswirkungen etwa auf die Gesundheit oder die Finanzen einer Person haben können.

Was als Hochrisiko-KI eingestuft wird, kann jedes Unternehmen zunächst selbst bestimmen. Dazu muss es einen eigenen Prüfprozess durchlaufen und dokumentieren, der dann an einer dafür vorgesehenen Stelle hochgeladen wird. Das EU-Parlament hatte verlangt, dass es ein behördliches Verfahren dafür gibt. Wird bei dem Prozess festgestellt, dass es sich um eine Hochrisiko-KI handelt, gibt es eine Konformitätsbewertung, bei der am Ende im besten Fall ein CE-Kennzeichen steht.

Neben den Unternehmen muss auch von staatlicher Seite noch einiges an Infrastruktur und Behördenstruktur geschaffen werden. Der AI Act verlangt neben der Konformitätsbewertungsstelle, die unabhängig sein muss, eine notifizierende Behörde und eine Marktüberwachungsbehörde. Fachtagungs-Referentin Graß sagt: "Wir haben in Deutschland föderale Besonderheiten." Wie die aktuellen Pläne aussehen? "Da muss ich schmallippig werden."

Auf EU-Ebene müssen weitere Strukturen geschaffen werden, denen beratende Aufgaben, aber auch solche zur Durchsetzung von Regeln zukommen. Fraglich ist, woher die ganzen Experten kommen sollen, die auf allen Ebenen gebraucht werden. Schon jetzt, sagt Zenner, wurden zu wenig Experten bei der Ausarbeitung des AI Acts befragt. Dennoch sieht er auch Licht: Mit der Definition, was KI sei, habe man sich der OECD angepasst. Das Gesetz ermöglicht viel Austausch und Beweglichkeit. Er fordert, dass Wirtschaft und Zivilgesellschaft sich weiter einbringen, dadurch würden alle profitieren und Rechtssicherheit hergestellt.

(emw)