Bürgerinnen und Bürger der EU vor Gefahren durch Künstliche Intelligenz (KI, englisch AI) schützen – das ist das Ziel des EU AI Act. Anfang Februar 2024 ebneten die EU-Mitgliedsstaaten den Weg für die erste umfassende Verordnung zur KI-Regulierung weltweit. Deren Kernstück: die Einteilung von KI in vier Risikoklassen.
- Inakzeptables Risiko: zum Beispiel Social Scoring oder Emotionserkennung am Arbeitsplatz
- Hohes Risiko: etwa KI, die über die Vergabe von Jobs oder Krediten entscheidet.
- Begrenztes Risiko: Systeme, die mit Menschen interagieren, wie Bots, oder KI, die Bilder und Videos erzeugt.
- Geringes oder kein Risiko: beispielsweise Spamfilter oder die vorausschauende Wartung von Maschinen (Predictive Maintenance).
Je höher das Risiko, desto strikter die Transparenz- und Dokumentationspflichten. Systeme der Klasse eins werden nach einer Frist von sechs Monaten verboten. Für KI der Klassen zwei und drei müssen an die jeweiligen Risiken angepasste Maßnahmen ergriffen werden, etwa müssen die Systeme vor und nach der Inbetriebnahme überwacht und Transparenzpflichten erfüllt werden. Für Klasse vier gelten keine Auflagen.
EU AI Act will für mehr Transparenz bei ChatGPT und Co. sorgen
Einen Sonderfall stellen Basismodelle dar, auf denen generative KI wie ChatGPT aufsetzen. Sie sind auf zahlreiche Arten einsetzbar, die von harmlos bis hoch riskant reichen. Für alle gilt: Entwickler müssen offenlegen, mit welchen Daten sie ihre Modelle trainiert haben. So soll Urheberrechtsverletzungen ein Riegel vorgeschoben werden. Riskante Systeme unterliegen zusätzlichen Transparenzvorgaben. Ab einer gewissen Rechenleistung der Modelle gelten weitere, verschärfte Regeln. Um trotz Regulierung Innovation und Investitionen in KI in der EU nicht auszubremsen, sieht der AI Act zudem vor, dass KI-Entwickler in abgeschotteten sogenannten Reallaboren ihre Systeme erproben dürfen.
Nicht die falsche KI anschaffen
Was heißt das jetzt für Unternehmen? „Sie sollten unverzüglich damit beginnen, die nötigen Kontrollstrukturen, -prozesse und -systeme aufzubauen“, rät Michael Baldauf, Strategist Financial Services beim Softwarespezialisten Pegasystems. „Das ist nicht im Schnellverfahren zu schaffen, aber erforderlich, um keine KI-Systeme mehr zu entwickeln oder anzuschaffen, die künftig verboten sind oder einer Anpassung bedürfen.“ Zudem gelte es, eine Systemlandschaft aufzubauen, die auf Veränderbarkeit ausgerichtet sei. „Dann können Unternehmen nicht nur auf den EU AI Act, sondern auch auf künftige Gesetzesänderungen reagieren. Zum Beispiel wenn Deutschland auf nationaler Ebene strengere Vorschriften einführt.“
Ein weiteres Problem schildert Bankenexperte Baldauf am Beispiel der Finanzbranche: Noch setzten Geldhäuser KI eher punktuell ein. Wollten sie die Technologie künftig aber auch für Entscheidungen – etwa im Risikomanagement – nutzen, müssten diese transparent nachvollziehbar sein. „Dazu braucht es eine Lösung, die bis auf die Ebene einzelner Datenfelder nachweisen kann, was wann wie und auf Basis welchen Modells entschieden wurde. Und das über den kompletten Workflow hinweg“, erklärt Baldauf.
Bei Verstößen drohen hohe Strafen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Viel Zeit bleibt Unternehmen nicht mehr, um sich vorzubereiten: Der EU AI Act findet in den meisten Punkten voraussichtlich ab Mitte 2026 Anwendung.