Nachdem das EU-Parlament den AI Act beschlossen hat, stellt sich die Frage wie es mit dem „ersten KI-Gesetz der Welt“ nun weitergeht. Um hier etwas Licht ins Dunkel zu bringen wollen wir einen Blick in die (angedachte) Zukunft werfen.
Der AI Act der EU wird voraussichtlich zwischen Mai und Juli 2024 im Amtsblatt der EU veröffentlich
20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU tritt Sie in in Kraft
6 Monate danach werden die in dem AI-Act enthaltenen Verbote anwendbar.
Titel II der Verordnung listet verbotene KI-Praktiken auf. Das Verbot gilt für alle KI-Systeme, die als unannehmbar gelten, weil sie beispielsweise Grundrechte verletzen. Die Praktiken umfassen beispielsweise:
9 Monate nach dem Inkrafttreten werden die enthaltenen Regelungen zu Verhaltenskodizes wirksam.
Titel IX der Verordnung enthält die Grundlagen zur Schaffung von Verhaltenskodizes, die Anbietern von KI-Systemen, die kein hohes Risiko darstellen, Anreize geben sollen, die zwingend vorgeschriebenen Anforderungen an Hochrisiko-KI-Systeme (nach Titel III) freiwillig anzuwenden. Anbieter von KI-Systemen, die kein hohes Risiko darstellen, können selbst Verhaltenskodizes festlegen und umsetzen. Diese Kodizes können auch freiwillige Verpflichtungen beispielsweise im Hinblick auf die ökologische Nachhaltigkeit, den Zugang für Personen mit Behinderungen, die Beteiligung von Interessenträgern an Entwurf und Entwicklung von KI-Systemen sowie die Diversität des Entwicklungsteams enthalten.
12 Monate nach dem Inkrafttreten werden die Regeln für künstliche Intelligenz mit allgemeinem Verwendungszweck, einschließlich Governance anwendbar
Die Regelungen für KI-Systeme mit allgemeinem Verwendungszweck werden in Titel IV und Titel V der Verordnung dargelegt. Gemäß Artikel 52 müssen Anbieter von KI-Systemen mit allgemeinem Verwendungszweck sicherstellen, dass ihre KI-Systeme eine ausreichende Sicherheit und Transparenz aufweisen und bestimmte Dokumentationsanforderungen erfüllen. Anhang III gibt an, welchen Mindestinhalt die Dokumentation umfassen muss, um eine angemessene Transparenz zu erreichen. Mit den Anforderungen an die Dokumentation soll sichergestellt werden, dass die KI-Systeme für jeden Benutzer, einschließlich der von ihnen betroffenen Personen, verständlich sind. Artikel 53 sieht zudem vor, dass Anbieter von KI-Systemen mit allgemeinem Verwendungszweck die Benutzer darüber informieren müssen, dass sie eine Entscheidung auf der Grundlage von KI-Systemen treffen. Der Benutzer muss auch darüber informiert werden, wer für die Verarbeitung verantwortlich ist und welche Regeln ansonsten für die Verarbeitung seiner personenbezogenen Daten gelten. Weiterhin muss der KI-Anbieter angemessene Maßnahmen ergreifen, um die Integrität und Sicherheit der KI-Systeme zu gewährleisten.
24 Monaten nach dem Inkrafttreten werden bis auf eine Ausnahme alle anderen Bestandteile anwendbar. Dies betrifft die meisten Verpflichtungen für Wirtschaftsakteure, die KI-Systeme entwickeln, einsetzen oder auf den Markt bringen. Bis dahin müssen noch einige Dinge erledigt werden:
36 Monate nach Inkrafttreten gelten die Verpflichtungen für Hochrisikosysteme verbindlich
Hochrisiko-KI-Systeme unterliegen den Regelungen, die in Titel III der Verordnung dargelegt sind. Anbieter von Hochrisiko-KI-Systemen müssen eine vollständige Risikobewertung gemäß Anhang IV durchführen und sicherstellen, dass ihr KI-System bestimmte Mindestanforderungen erfüllt. Dazu gehören unter anderem die Einhaltung spezifischer Daten- und Transparenzanforderungen, das Vorhandensein von Aufzeichnungen sowie gegebenenfalls menschliche Kontrolle über das KI-System. Weiterhin gibt es ein Verbot bestimmter KI-Systeme, wie beispielsweise von Systemen, die darauf abzielen, menschliche Verhaltensweisen zu manipulieren, sowie KI-Systemen, die dazu beitragen, durch Überwachung von Personen systematisch Sozialkreditpunkte zu vergeben oder abzuziehen.