An Künstlicher Intelligenz (KI) führt in Zukunft kein Weg vorbei. Umso wichtiger ist es, dass Gesetzgeber klare Regeln für riskante KI-Anwendungen festlegen. Mit dem AI Act hat das EU Parlament einen Gesetzesvorschlag formuliert, der die Risiken von KI minimieren und die Grundrechte der EU-Bürger:innen schützen soll.

AI Act: Was bedeutet das für mich?

Das EU Parlament hat mit dem EU AI Act (Artificial Intelligence Act) im März 2024 eine umfassende Verordnung zur Regulierung von Künstlicher Intelligenz (KI) verabschiedet. Ziel des Gesetzes ist es, den Einsatz von KI sicher und transparent zu gestalten. Dazu sollen KI-Anwendungen nach ihrem Risikopotenzial beurteilt und in Kategorien eingeordnet werden.

Für die Bürger:innen der Europäischen Union kann der EU AI Act eine Stärkung ihrer Grundrechte bedeuten. So sollen zum Beispiel KI-Anwendungen, die staatliches Social Scoring oder biometrische Echtzeitüberwachung im öffentlichen Raum ermöglichen, gänzlich verboten werden. Außerdem haben alle Bürger:innen das Recht, zu erfahren, wenn sie mit bestimmten KI-Systemen interagieren. Für Anbieter:innen von KI-Systemen bedeutet das, dass sie sich mit den geltenden Bestimmungen in der EU auseinandersetzen müssen, ehe sie ihre Technik in der EU in Betrieb nehmen.

Welche Richtlinien sieht der AI Act für KI-Entwickler vor?

Mit dem Inkrafttreten des AI Acts sind vor allem die KI-Entwickler in der Pflicht, die Anforderungen der EU an die Sicherheit und Zuverlässigkeit der KI-Systeme zu erfüllen. So will das Europäische Parlament Innovationen ermöglichen, die vertrauenswürdig und sicher sind. Entwickler von KI-Systemen sollten in Zukunft vor allem folgende Punkte beachten:

  1. Das Risiko im Blick: Die EU unterscheidet in drei Risikokategorien zwischen KI-Anwendungen mit inakzeptablem Risiko, hohem Risiko und geringem Risiko. Entwickler müssen demnach darauf achten, die Anforderungen der Risikokategorie ihrer Anwendung zu erfüllen. Naturgemäß gelten für Hochrisikosysteme besonders strenge Vorschriften.
  2. Compliance nachweisen: Bevor Entwickler eine neue KI-Anwendung in der EU veröffentlichen, müssen die Entwickler:innen durch verschiedene Prüfungen und Nachweise zeigen, dass sie den Anforderungen des Artificial Intelligence Acts entspricht.
  3. Transparenz für alle: KI-Systeme dürfen nicht im Verborgenen agieren. Das bedeutet, dass alle KI-generierten Inhalte entsprechend gekennzeichnet sein müssen. Nutzer:innen müssen außerdem erkennen können, ob sie mit einem KI-System interagieren.
  4. Technische Dokumentation: Damit etwaige Gefahren und Risiken eines KI-Systems leicht zu erkennen sind, müssen die Entwickler:innen die Funktionsweise und alle getroffenen Sicherheitsmaßnahmen ihrer Anwendung in einer technischen Dokumentation umfassend beschreiben.
  5. Datenschutz gewährleisten: Sämtliche personenbezogenen Daten und Trainingsdaten, die eine KI-Anwendung sammelt, müssen gemäß der DSGVO geschützt werden.
  6. Kontrolle durch den Mensch: Besonders Hochrisiko-KI-Systeme dürfen nicht ohne menschliche Aufsicht betrieben werden.
  7. Zuverlässigkeit garantieren: Die Entwickler:innen sind verpflichtet, ihre KI-Systeme so gut wie möglich gegen Manipulationsversuche zu schützen. Sie müssen zuverlässig und möglichst ohne Ausfälle laufen.
  8. Risikomanagement sicherstellen: Keine Anwendung funktioniert ohne Risiko. Deswegen sieht der AI Act vor, dass beim Einsatz von KI-Systemen auch ein entsprechendes Risikomanagement eingerichtet ist, das potenzielle Risiken erkennen und entschärfen kann.
  9. Meldepflicht: Alle KI-Systeme, die in die Hochrisiko-Kategorie eingestuft sind, müssen in einer extra dafür vorgesehenen Datenbank registriert werden.
  10. Kontinuierliche Kontrolle: Auch wenn eine KI-Anwendung schon auf dem Markt eingeführt wurde, müssen die Entwickler:innen ihre Systeme weiterhin prüfen und Anpassungen vornehmen, wenn die Systeme die Anforderungen der EU in einem Punkt nicht mehr erfüllen.

Wie ist der aktuelle Stand des AI Acts zu Datenschutz und Sicherheit?

Acht Jahre ist es jetzt her, seit sich Unternehmen mit dem Inkrafttreten der DSGVO umfassend mit dem Thema Datenschutz auseinandersetzen mussten. Sowohl innerhalb als auch außerhalb der EU gelten seitdem hohe Standards zum Schutz personenbezogener Daten. Und das ist auch wichtig, wenn besonders sensible Bereiche Gesundheitsdaten verarbeiten, wie beispielsweise beim Einsatz von KI und Medizin oder im Sozialwesen.

So dürfen personenbezogene Daten zum Beispiel im Rahmen der Speicherbegrenzung nur so lange gespeichert werden, wie es für den Zweck der Speicherung nötig ist. Aber welche zusätzlichen Anforderungen gelten seit dem AI Act zu Datenschutz und Sicherheit?

Transparenzpflichten

Der AI Act der EU betont noch einmal, dass Nutzer:innen genau erkennen können müssen, wie ihre Daten verwendet werden. Diese so genannte Transparenzpflicht bedeutet für Unternehmen und Anbieter von KI-Systemen wie ChatGPT, dass sie den Nutzer:innen alle Informationen über die Verarbeitung der Daten leicht und verständlich zur Verfügung stellen müssen.

Überwachung und Eingreifen

Zudem fordert das AI Gesetz der EU, dass KI-Systeme ständig überwacht werden. In der Praxis heißt das, dass Warnsysteme eingebaut sein müssen, die potenzielle Risiken früh genug erkennen und Gegenmaßnahmen treffen können. Im Extremfall kann das bedeuten, in den Betrieb der KI-Anwendung einzugreifen, um den Datenschutz und die Sicherheit zu gewährleisten.

Welche Auswirkungen hat der Artificial Intelligence Act auf Unternehmen in Österreich?

Mit dem Inkrafttreten des KI-Gesetzes müssen sich Unternehmen innerhalb und außerhalb der EU auf einen gewissen Mehraufwand gefasst machen, wenn sie KI-Anwendungen in der EU betreiben wollen. Die gute Nachricht ist, dass wie bei jedem Gesetz eine Übergangsfrist gilt, bis es vollständig anwendbar ist. Auf EU-Ebene beträgt die Übergangsfrist 24 Monate ab der Veröffentlichung des Gesetzes im Amtsblatt der EU. Da die Veröffentlichung des EU AI Acts Anfang August 2024 stattfand, haben Entwickler von nun an gut zwei Jahre Zeit, um ihre Anwendungen entsprechend anzupassen und zu testen.

Unterstützung durch die KI-Servicestelle in Österreich

Die KI-Servicestelle dient Unternehmen und Bürger:innen als Anlaufstelle, um sich über die rechtlichen Rahmenbedingungen für den Einsatz von KI zu informieren.

Geplant ist, dass die KI-Servicestelle Unternehmen und die Bevölkerung über die Funktionen und Auswirkungen im Umgang mit KI-Systemen schult.

Die durch die KI-Servicestelle gesammelten Informationen dienen dazu, eine designierte KI-Behörde zu schaffen, die für die vom AI Act geforderte Zertifizierung der KI-Systeme zuständig sein wird.

Mit dem AI Act muss künftig klar erkennbar sein, ob Bilder oder Videos KI-generiert sind. Ausnahmen sind Satire und Kunst. Die KI-Servicestelle ist dafür zuständig, diese Kennzeichnungspflicht in der Praxis umzusetzen.

Zu guter Letzt hat es sich die KI-Servicestelle zur Aufgabe gemacht, die Technologiekompetenz der Bevölkerung zu fördern. Auf diese Weise möchte man unter anderem Informationen mit grundlegendem KI-Wissen an die Gesellschaft bringen.