KI-Verordnung der Europäischen Union

Um den größtmöglichen Nutzen von Künstliche Intelligenz (KI) zu erzielen, ohne Menschen dabei wissentlich oder unwissentlich zu schaden, drängt sich die Frage nach Konzepten der KI-Ethik sowie verbindlichen Regeln zur Nutzung und Entwicklung von KI auf. Aus diesem Grund versucht die Europäische Union seit 2018 eine KI-Verordnung zu erstellen. Diese Verordnung hat jedenfalls wegweisenden Charakter, da sie vorrausichtlich weltweit die erste verbindliche Verordnung mit diesem Umfang sein wird.

Chancen und Risiken von KI

Die Chancen der KI liegen auf der Hand: Vereinfachung der Nutzung von Technologie, Automatisierung, Effizienz und Sicherheit sind nur einige der Themen, welche sich stark durch KI verändert haben und auch weiter verändern werden. Speziell seit der Veröffentlichung von ChatGPT ist ein regelrechter Hype um Künstliche Intelligenz entstanden. ChatGPT zeigt jedoch auch die Schwächen von KI-Systemen auf. Stellt man ChatGPT z. B. Fragen zu verschiedenen Themen, so kommt es immer wieder vor, dass die KI „halluziniert“ und plausibel klingende Antworten mit grundlegend falschem Inhalt generiert werden. Konkrete Risiken bei der Nutzung von KI-Modellen sind vor allem unerkannter Bias, nicht nachvollziehbare Entscheidungen sowie mangelnde Transparenz des Modells und der Trainingsdaten.

Entstehung des European AI Acts

Um den genannten Risiken zu entgegnen hat die EU 2018 eine High-Level Expert Group, also eine Gruppe von Expertinnen und Experten zum Thema KI, damit beauftragt, ethische Richtlinien zur KI-Entwicklung und Nutzung zu erstellen. Von dieser Gruppe wurden in den folgenden Jahren mehrere Publikationen veröffentlicht. Auf Basis der in diesen Publikationen erarbeiteten Konzepte wurde im April 2021 die erste Version des AI Acts von der Europäischen Kommission vorgestellt. Im Zentrum des AI Acts stehen sieben Kernforderungen, welche von der HLEG veröffentlicht wurden:

• Vorrang des menschlichen Handelns und menschlicher Aufsicht
• Technische Robustheit und Sicherheit
• Privatsphäre und Datenqualität
• Transparenz und Erklärbarkeit
• Fairness und Bias Mitigation
• Gesellschaftliche und ökologische Verträglichkeit
• Rechenschaftspflicht und Verantwortlichkeit

Definition von KI

Verordnungen im Umfang des AI Acts sorgen selbstverständlich für Diskussionsbedarf. Eine der großen Fragen war dabei die Definition von KI. Wie sollte KI definiert werden, damit die Verordnung vollumfänglich Systeme mit intelligenten Eigenschaften abdeckt, ohne dabei überbordend zu sein? Letztendlich hat sich dabei eine Variante der OECD-Definition von KI durchgesetzt: 

Ein 'System der künstlichen Intelligenz' (KI-System) ist ein System, das so konzipiert ist, dass es mit unterschiedlichen Autonomiegraden arbeitet und das zu expliziten oder impliziten Zwecken Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen.

Gerade der Bezug zur OECD ist dabei spannend, da die Wirkung des EU AI Acts aufgrund der Größe des europäischen Binnenmarktes auch über die Grenzen der EU hinaus spürbar sein wird.

Risikobasierter Regulierungsansatz

Die zentrale Strategie der EU-KI-Regulierung ist die Bewertung von Anwendungen nach ihrem Risiko. Je nach Risikoklasse gelten unterschiedliche Anforderungen an die Systeme. Konkret gibt es drei hierarchisch angeordnete Risikoklassen:

Inakzeptables Risiko

Diese Gruppe enthält Systeme, von denen ein so konkretes Risiko für Menschenrechte, Sicherheit und/oder Wohlbefinden ausgeht, dass das Inverkehrbringen grundlegend verboten sein wird. Beispiele für solche Systeme sind Social Scores, Systeme, die den Zugang zu lebenswichtigen Leistungen einschränken sowie die Überwachung von Menschenmassen oder Individuen ohne deren Zustimmung.

Hohes Risiko

In der Hochrisiko Klasse finden sich Systeme wieder, welche zwar konkrete Risiken bergen, jedoch prinzipiell nicht verboten sein sollen. Die Klassifizierung erfolgt anhand konkreter Kriterien wie Art der Anwendung, Verarbeitung personenbezogener Daten, Auswirkungen auf Sicherheit und Grundrechte sowie Transparenz und Kontrollierbarkeit. Außerdem gibt es eine Liste von Hochrisiko-Systemen im Anhang III der Verordnung, welche jederzeit durch die EU-Kommission erweitert werden kann und keinen weiteren Parlamentsbeschluss benötigt. Für Hochrisiko-Systeme gelten strenge Auflagen, welche in einem Konformitätsbewertungsverfahren dokumentiert werden müssen.

Minimales oder kein Risiko

In diese Risikoklasse fallen Systeme, welche die folgenden Kriterien erfüllen:

• Kein direkter Kontakt mit physischen Umgebungen
• Keine Entscheidungen mit wesentlichen Auswirkungen
• Keine Verarbeitung sensibler Daten
• Keine Verwendung zur Überwachung

Beispiele für solche Systeme sind Chatbots im Kundensupport, Klassifikation von Bildern zum Sortieren (z. B. enthält Autos, Häuser, ...) sowie Spracherkennungssoftware zum Diktieren.

Generative KI

Während der Entstehung des EU AI Acts gewannen generative künstliche Intelligenzen stark an Popularität. Dabei handelt es sich um KIs, welche z. B. Bilder, Texte oder Musik generieren. Um dieser Klasse von KIs gerecht zu werden, wurden Transparenzauflagen, speziell in Hinblick auf die Trainingsdaten, eingeführt.

Weiterer Verlauf

Derzeit befindet sich die Verordnung im Trilog. Dabei werden Verhandlungen zwischen Rat, Kommission und Parlament geführt. Die nationale Gültigkeit der Verordnung wird mit dem Jahr 2026 erwartet.

Selbstevaluierung

Für Entwickler:innen gibt es bereits jetzt die Möglichkeit, die KI-Anwendungen auf Konformität zu prüfen. Dafür wurde von der University of Oxford ein Tool entwickelt, das inhaltlich mit den Maßnahmen des EU AI Acts übereinstimmt: capAI