Das KI-Gesetz der EU: Erweist sich die EU als Vorreiter?

Schon mit der DSGVO hatte sich durch deren Einführung die EU als Vorreiter in puncto Rechtssicherheit in der Digitalisierung präsentiert. Nun wurde das weltweit erste KI-Gesetz von der EU-Kommission auf den Weg gebracht.

Auch diese EU-Initiative ist ein einsamer Vorstoß und gilt als erste Gesetzes-Initiative weltweit, die versucht, die KI mit ihrem ungeheuren Potenzial, aber auch die damit einhergehenden Gefahren, durch transparente Vorschriften zu bändigen und einem völlig freien Wildwuchs vorzubeugen. Darüber wird künftig eine neu geschaffene EU-KI-Behörde wachen.

Einmal mehr hat sich die EU als Regulierungs-Instanz hervorgetan und weltweit dem ersten KI-Gesetzeswerk den Weg geebnet: dem Artifical Intelligence Act (AIA). Bereits im April 2021 wurden seitens der EU-Kommission erste Vorschläge formuliert, um KI künftig gesetzlich zu regulieren. Nun haben sich die Experten des EU-Parlaments im Dezember 2023 auf eine vorläufige Fassung des Werks verständigt, die nun technisch ausgearbeitet werden muss. Zudem müssen die Vorschläge dann noch die üblichen EU-Instanzen des EU-Rats und des EU-Parlaments passieren, um Gesetzes-Charakter zu bekommen. Erst dann steht die Ratifizierung der Vorlage in den EU-Mitgliedsstaaten an – insgesamt also ist noch ein weiter Weg zu bewältigen, bevor es den AIA tatsächlich als Gesetz in der EU geben wird.

Welche Bereiche umfasst der Artificial Intelligence Act?

Im Gesetzentwurf wird prinzipiell zwischen drei Risiko-Kategorien unterschieden, die Basis für den jeweils rechtlichen Verordnungsrahmen stellen. Zu den besonders riskanten und damit nicht akzeptablen KI-Konzepten gehört beispielsweise ein von Staaten betriebenes Social-Scoring, wie es etwa bei Chinas Behörden gebräuchlich ist. Staaten der EU wird es künftig gesetzlich untersagt, vergleichbare Praktiken anzuwenden. Insgesamt werden die KI-Ansätze am strengsten reguliert, von denen massive Bedrohungen der Freiheits-Grundrechte von EU-Bürgern ausgehen. Weitere Beispiele dafür ist etwa die Biometrische Gesichtserkennung im öffentlichen Raum, die das Gesetz nur gestattet, um Schwerverbrecher zu verfolgen, Terroranschläge zu vereiteln oder Entführern, Menschenhändlern oder Sexualstraftätern das Handwerk zu legen.

Des Weiteren sollen biometrische Daten nicht mit Informationen über religiöse oder politische Vorlieben von Privatpersonen kombiniert werden. Ebenfalls unzulässig ist, online wahllos oder ungefragt biometrische Daten aus Überwachungskameras zu verarbeiten. Folglich werden vor allem Behörden und staatliche Institutionen sehr transparent machen müssen, wo und wie sie sich KI zunutze machen. Als risikoreich werden KI-Systeme eingestuft, die generell biometrische Daten sammeln und auswerten, beispielsweise diejenigen von Arbeitnehmern, um deren Leistungspotenziale am Arbeitsplatz bemessen zu können. Ebenso fiele beispielsweise eine KI in den risikoreichen Bereich, die Lebensläufe von Bewerbern scannt, um dann das Auswahlverfahren automatisiert zu betreiben. Anwendungen, die nicht explizit einem den beiden Risikobereiche zugeordnet sind, bleiben auch künftig frei von jeder Regulierung.

Künftige Kennzeichnung von KI-generierten Contents

Auch mit der Kennzeichnungspflicht von KI-erzeugten Inhalten haben sich die Gesetzgeber der EU beschäftigt. So sieht der Gesetzesentwurf vor, dass künftig von KI erzeugte Inhalte oder beispielsweise der Einsatz von Chatbots klar gekennzeichnet werden müssen. User müssen zudem darüber informiert werden, wenn ihre biometrischen Daten erfasst und ausgewertet werden. Ebenso unterliegen prinzipiell alle Inhalte wie Film-, Bild- und Textdateien einer klaren KI-Kennzeichnungspflicht, wenn es nach dem Willen der Schöpfer des AIA geht.

Empfindliche Strafen und Bußgelder geplant

Im Gesetzentwurf sind auch schon Konzepte für Sanktionierung enthalten. So sieht das Regelwerk vor, Unternehmen, die gegen das KI-Recht verstoßen, mit empfindlich hohen Geldbußen zu belegen. Im Entwurf ist von bis zu 35 Millionen Euro oder bis zu sieben Prozent des weltweiten Jahresumsatzes eines betroffenen Unternehmens die Rede, die als Bußgeld fällig werden können. Bis zu 15 Millionen Euro beziehungsweise drei Prozent des Jahresumsatzes können Verstöße gegen „andere Verpflichtungen“ und 7,5 Millionen Euro oder 1,5 Prozent Umsatzanteil infolge von „falschen Informationen“ betragen.