Europas Suche nach einem KI-Gesetz gleicht einem Marathon. Einem Marathon, der sich lange Zeit im gemächlichen, flachen Gelände abspielte und bei dem sich zuletzt recht plötzlich noch ein paar größere Hügel auftaten. Jetzt aber scheinen auch diese erst einmal bewältigt. Von einer „historischen“ Einigung spricht EU-Digitalkommissar Thierry Breton.
Tag und Nacht wurde in der vergangenen Woche verhandelt. Dabei spießte es sich bis zuletzt an zwei Punkten. Einerseits spaltete die Frage, wie denn vielseitige KI-Basismodelle („Foundation models“, wie sie etwa hinter dem Chatbot ChatGPT stecken) künftig reguliert werden sollen. Während das Europa-Parlament sich für rigorose Regeln aussprach, kämpften Staaten wie Deutschland oder Frankreich für eine „verpflichtende Selbstregulierung“ der Unternehmen. Andererseits fesselte die Verhandlerinnen und Verhandler ein Punkt an die Tische, der das KI-Gesetz beinahe zu Fall brachte: Ein mögliches Verbot von Künstlicher Intelligenz zur Echtzeit-Erfassung und Verknüpfung biometrischer Daten. Das wollten sich nämlich die Nationalstaaten nicht oktroyieren lassen. Ein Vorgriff an dieser Stelle: Die Staaten setzten sich durch.
Finaler Text fehlt noch
Was aber liegt nun am Tisch und wie wird das Ergebnis von Expertinnen und Experten bewertet? Von einem „wichtigen und guten Kompromiss“ spricht etwa Matthias Kettemann, Professor für Innovationsrecht an der Uni Innsbruck. Ähnliches empfindet Jeannette Gorzala, Juristin und Vizepräsidentin des European AI Forum. Mit einer Einschränkung. Gorzala: „Den finalen Text werden wir wohl frühestens 2024 kennen. Und oft steckt der Teufel ja im Detail.“
Jedenfalls aber, so viel kann bereits gesagt werden, prescht die Europäische Union mit der Regelung vor. Auch wenn es in den USA oder China bereits Regulierung für den Einsatz von Künstlicher Intelligenz gibt, so greift der europäische Ansatz doch viel weiter. Kettemann: „Der AI Act spielt in einer anderen Liga. Das ist, wie wenn ein Champions-League-Verein gegen eine Bezirksliga-Mannschaft spielt.“ Es seien klare Umsetzungsmechanismen implementiert und außerdem hätte man in der Gesetzesfindung auch Unternehmen und die Zivilgesellschaft eingebunden.
Was nun verboten wird
Wie bereits seit geraumer Zeit bekannt, setzt die EU beim AI Act auf einen „risikobasierten Ansatz“. Sprich: Art und Weise der Vorschriften werden auf „die Intensität und den Umfang der Risiken zugeschnitten, die von KI-Systemen ausgehen können“, wie es in einem EU-Dokument heißt. Explizit verboten wird etwa KI-Technologie, die für „manipulative, ausbeuterische und soziale Kontrollpraktiken“ eingesetzt werden kann.
Besonders viele Vorschriften wird es auch für KI-Systeme geben, denen ein „systematisches Risiko“ zugeschrieben wird. Um dieses zu ermitteln, wählt man einen zweigeteilten Ansatz. Einerseits fallen darunter Systeme, die mit einer Rechenleistung trainiert werden, die mehr als 1025 FLOPs (Gleitkommaoperationen; „Floating Point Operations Per Second“) ausmacht. Andererseits sollen auch qualitative Parameter herangezogen werden, an deren Ausgestaltung noch getüftelt wird.
Jeannette Gorzala hofft auf diese Parameter. Dem „mathematischen“ Zugang steht sie „kritisch“ gegenüber, er sei „nicht wirklich geeignet“. Einerseits könne man diesen Wert technisch leicht „unterwandern“ und Leistungen knapp darunter anwenden, andererseits gehe der Trend ohnehin zu kleineren, schlankeren KI-Modellen.
Löchriges Verbot bei Gesichtserkennung
Ein grundsätzliches Verbot gibt es auch beim Einsatz von KI-Systemen für die Echtzeit-Gesichtserkennung im öffentlichen Raum. Sie wissen schon: jenes Thema, das den AI Act beinahe verhindert hätte. Das große Aber: Unter gewissen Umständen, die offizielle Rede ist von „eng abgegrenzten Fällen“, darf derlei Technologie künftig dennoch eingesetzt werden. Als Beispiele werden die „Suche nach potenziellen Opfern von Straftaten, einschließlich vermisster Kinder“ oder „die Gefahr eines Terroranschlags“ genannt. Innovationsrechtler Kettemann: „Die Staaten wollten sich diese Möglichkeiten einfach nicht wegregulieren lassen.“
Bei den Basismodellen setzte sich wiederum das EU-Parlament durch. Sie werden reguliert. Entwickler müssen etwa „technische Dokumentation“ erstellen, die Trainings- und Testverfahren erläutern. Auch ein Wasserzeichen für KI-generierte Inhalte soll kommen. Bei besonders großen Modellen mit „systemischen Risiken“ kommen noch zusätzliche Anforderungen in Sachen Cybersicherheit oder Risikomanagement dazu.
Bevorzugt werden von der Regulierung indes frei verfügbare „Open-Source-Modelle“, wozu etwa Llama 2 vom Facebook-Konzern Meta zählt. „Das attraktiviert eine Open-Source-Veröffentlichung und ist gut für die Wissenschaft“, zeigt sich Uni-Professor Kettemann erfreut.
35 Millionen Strafe: Ab wann der AI Act gilt
Implementiert wird das neue KI-Gesetz schrittweise. Bis „Ende 2023“, so Jeannette Gorzalla, soll es Klarheit geben, wie der Hochrisikobereich definiert wird. Ab dem „ersten Quartal 2026“ soll das neue Gesetz dann in vollem Umfang angewendet werden können. Inklusive der drakonisch anmutenden Strafen: Bringt ein Unternehmen ein verbotenes KI-System auf den Markt, droht eine Strafe in Höhe von 35 Millionen Euro oder sieben Prozent des Jahresumsatzes. Bei anderen Verstößen fallen drei oder 1,5 Prozent des Umsatzes als Strafe an.
Österreichs KI-Beirat wird präsentiert
Als zentrale Stelle soll künftig übrigens eine eigene KI-Behörde innerhalb der Europäischen Kommission fungieren. Darüber hinaus wird es lokale Einrichtungen geben. Österreich preschte bereits vor und kündigte vor geraumer Zeit die Einrichtung einer „KI-Servicestelle“ an, die bei der Regulierungsbehörde RTR angesiedelt wird. Ebenfalls soll ein KI-Beirat („AI Advisory Board“) eingerichtet werden. Dessen Besetzung, bei der auch Vertreter von steirischen Hochschulen eine große Rolle spielen sollen, wird am Dienstag von Digitalstaatssekretär Florian Tursky bekannt gegeben.