KI anleinen: Der EU-AI-Act kommt

Der EU AI-Act wurde verabschiedet und tritt in den nächsten zwei Jahren schrittweise in Kraft. Zahlreiche Unternehmen testen bereits generative KI, nutzen Bildgenerierungstools, Chatbots und andere KI-Anwendungen. Neue Gesetze gelten nun für Unternehmen, Behörden und Privatpersonen. Ist die bisher verwendete KI-Software noch legal? Mit welchen Strafen müssen Unternehmen rechnen? Hier ist, was wir bisher wissen.
Putting AI on a leash: What does the EU AI Act mean for companies

Der EU AI-Act wurde verabschiedet - Welche KI-Anwendungen dürfen Unternehmen weiterhin nutzen?

Übersicht: Der EU AI-Act und häufige Missverständnisse

Am 21. Mai 2024 hat der Rat der Europäischen Union die KI-Verordnung (AI Act) angenommen. Mit der Veröffentlichung im EU-Amtsblatt beginnen die Fristen zu laufen. Es bleiben jedoch viele Fragen zur praktischen Umsetzung des Gesetzespakets, das KI-Anwendungen in der EU regulieren wird, offen.

Zum Beispiel: Viele Unternehmen nutzen ChatGPT oder andere große Sprachmodelle (LLMs) – was müssen sie jetzt beachten? Was können sie von Modellanbietern wie OpenAI verlangen? Wie sieht die rechtliche Lage aus, wenn es zu Problemen kommt oder falsche Ergebnisse geliefert werden?

Lassen Sie uns die großen Missverständnisse gleich ausräumen:

Missverständnis 1: Alle Bereiche der KI werden reguliert

Der EU AI-Act wird nur bestimmte Bereiche der künstlichen Intelligenz regulieren; ein Großteil der Anwendungen wird nicht von dem neuen Gesetz betroffen sein. Warum? Der AI-Act konzentriert sich nicht auf die Technologie selbst, sondern auf den Anwendungsbereich. Konkret fragt er: In welchem Anwendungsbereich besteht ein Risiko für unsere Gesellschaft?

Betrachten wir zum Beispiel eine KI-Anwendung, die einen einfachen Empfehlungsalgorithmus wie bei Netflix steuert. Dies stellt kein gesellschaftliches Risiko dar. Im schlimmsten Fall schlägt der KI-Algorithmus „Pretty Woman“ anstelle von „Star Wars“ vor 🙂 Dies ist kein gesellschaftliches Risiko, das durch das KI-Gesetz reguliert werden muss.

Missverständnis 2: Der EU AI Act ist das erste Gesetz, das Künstliche Intelligenz reguliert

Das ist nicht korrekt, denn es gibt bereits Gesetze, die bestimmte Bereiche implizit regulieren. Wenn ich etwas Illegales plane, wie den Bau einer Bombe, und mir ein LLM erklärt, wie das geht, ist das genauso illegal, als hätte ich es zuvor gegoogelt.

Missverständnis 3: LLMs wie ChatGPT und General-Pupose-KI unterliegen denselben Vorschriften

LLMs, also Large Language Models, und andere allgemeine KI-Anwendungen (einschließlich des beliebten und bekanntesten LLM ChatGPT) unterliegen denselben Vorschriften wie andere KI-Anwendungen. Große Sprachmodelle und allgemeine KI-Anwendungen (GeP-KI, kurz für General Purpose AI) werden ebenfalls reguliert, jedoch unterliegen sie ihren eigenen Regelwerken. Dies widerspricht der Logik „die Anwendung wird reguliert, nicht das Produkt“; hier hat der Gesetzgeber bewusst eine Ausnahme geschaffen.

Es gibt bestimmte Anforderungen für diese GP-AI-Modelle, also die allgemeinen KI-Modelle:

  • Anforderungen an die Datenqualität, um Vorurteile, illegale Inhalte und Hasskommentare zu vermeiden.
  • Anbieter sind verpflichtet, ihre Produkte zu überprüfen, um sicherzustellen, dass keine diskriminierenden oder illegalen Inhalte ausgegeben werden. Falls dies der Fall ist, müssen die Modelle angepasst werden.
  • Es muss Meldeoptionen für Nutzer geben, die solche Inhalte melden möchten.
  • Kennzeichnungspflicht: Bei Chatbots muss klar erkennbar sein, dass es sich um einen KI-Chatbot und nicht um einen Menschen handelt.
  • Es wird eine zusätzliche Kategorie besonders leistungsfähiger Modelle geben, die höhere Anforderungen erfüllen müssen, wie zum Beispiel „Nachhaltigkeit im Design“ oder Cybersicherheitsanforderungen. Der Knackpunkt ist hier die Definition, wann ein KI-System als besonders leistungsfähig eingestuft wird.

Neue Instanzen: Wer ist verantwortlich?

Die rechtliche Durchsetzung für die GP-AI-Modelle, also die General Purpose AI-Modelle, wird vom EU AI Office (auch bekannt als European AI Office) übernommen, das noch eingerichtet werden muss. Für alle anderen Bereiche sind nationale Behörden zuständig. In Deutschland ist beispielsweise noch nicht klar, welche Behörde diese Aufgabe übernehmen wird. Da KI-Software unter die Produktsicherheitsgesetze fällt, kommen verschiedene Standardisierungsorganisationen auf europäischer und nationaler Ebene in Frage, wie der TÜV, das BSI oder die staatlichen Datenschutzbehörden.

Das AI Office wird als Zentrum für KI-Expertise in der Europäischen Kommission angesiedelt. Es wird eine zentrale Rolle bei der Durchsetzung der Gesetze sowie bei der Unterstützung der Mitgliedstaaten und Unternehmen spielen. Es fungiert als Sparringspartner und Aufsichtsorgan für alle Beteiligten, koordiniert die verschiedenen Mitgliedstaaten und nationalen Behörden und übernimmt die rechtliche Durchsetzung für die General Purpose AI-Modelle.

Der EU AI Act definiert auch eine Kette der Verantwortlichkeit: Das bedeutet, dass ein Unternehmen, das sein Produkt auf einem KI-Produkt eines anderen Unternehmens aufbaut, das Recht hat, die notwendigen Informationen zu erhalten, um rechtlich konform zu sein.

Sanktionen und Strafverfolgung

Der EU AI-Act sieht strenge Strafen für die Nichteinhaltung vor, um die Einhaltung der Vorschriften sicherzustellen:

  • Unternehmen, die gegen die Vorschriften verstoßen, können mit Geldstrafen von bis zu 30 Millionen Euro oder 6 % ihres jährlichen weltweiten Umsatzes belegt werden, je nachdem, welcher Betrag höher ist.
  • Für weniger gravierende Verstöße können Geldstrafen von bis zu 20 Millionen Euro oder 4 % des jährlichen Umsatzes verhängt werden.
  • Kleinere Verstöße können mit Geldstrafen von bis zu 10 Millionen Euro oder 2 % des Umsatzes geahndet werden.

 

Zusätzlich erlaubt das Gesetz Korrekturmaßnahmen, einschließlich zwingender Anpassungen oder der Einstellung der betroffenen KI-Systeme. Diese Strafen sollen sicherstellen, dass Unternehmen die Verantwortung für ihre KI-Systeme übernehmen und ethische Standards bei der Entwicklung und Nutzung von KI einhalten.

Fazit zum EU AI Act

Der EU AI-Act zielt darauf ab, die Regulierung gefährlicher KI mit der Förderung von Innovation zu vereinbaren. Er kategorisiert KI-Systeme nach Risikostufen und setzt strenge Regeln für Hochrisikoanwendungen wie biometrische Überwachung fest.

Wichtige Anforderungen sind Datenqualität, Transparenz, Verantwortlichkeit und menschliche Aufsicht. Um eine Überregulierung zu vermeiden, bietet das Gesetz Flexibilität für Forschung und Unternehmen. Es fördert die Zusammenarbeit zwischen den EU-Mitgliedstaaten für einen harmonisierten Ansatz. Ziel ist es, die Bürger zu schützen, während technologischer Fortschritt und wirtschaftliches Wachstum gefördert werden.

Die EU muss jedoch das Tempo erhöhen, da viele Fragen noch offen sind. Ein rechtlicher Rahmen und Institutionen wie das AI Office und ein unabhängiges Expertengremium müssen schnell geschaffen werden.

Wenn Sie regelmäßig Updates zum Thema „KI im Marketing“ und zum EU AI-Act erhalten möchten, melden Sie sich für unseren Newsletter an.

Haben Sie Fragen zu KI?

Welche Tools eignen sich am besten für Ihren Anwendungsfall? Welche sind rechtlich unbedenklich? Worauf müssen Sie besonders achten? Wir verraten es Ihnen!

Fragen Sie unsere KI-Experten!

Aktuelles direkt in Ihr Postfach

Möchten Sie regelmäßige Updates zu "KI im Marketing" und dem EU AI-Act erhalten? Tragen Sie sich direkt unten in unseren Newsletter ein.