Die KI-Verordnung der EU: Erste Antworten auf die Frage, was KI leisten muss
Die KI-Verordnung (auf Englisch „AI Act“) der Europäischen Union (EU) soll den Einsatz von Künstlicher Intelligenz (KI) regeln, um Grundrechte zu schützen. Es ist eine wichtiger Schritt – mit einigen Schwächen.
Foto von Alexander Van Steenberge auf Unsplash
Was ist die KI-Verordnung?
Die KI-Verordnung ist eine von mehreren Maßnahmen der EU, um den digitalen Sektor zu regulieren. Sie soll Produktsicherheit garantieren, denn: KI-Systeme können sich negativ auf unsere Grundrechte auswirken. Einige Beispielfälle: Autoversicherungen diskriminieren Versicherte, wenn sie automatisch Beiträge von Menschen mit nahezu identischen Profilen unterschiedlich berechnen; Unternehmen und staatliche Behörden schränken das Recht auf Privatsphäre sowie das Recht auf Meinungs- und Versammlungsfreiheit ein, wenn sie mit ihren KI-Systemen öffentliche Räume überwachen und Menschen nach ihrem Aussehen als Gefahr einstufen oder nicht; „vorausschauende“ Polizeisysteme stellen Menschen unberechtigt unter Verdacht, weil sie zufällig mit Verdächtigen Kontakt hatten.
(Seit) wann gilt die KI-Verordnung?
Der Gesetzestext der KI-Verordnung wurde im März 2024 angenommen. Das Gesetz trat im August 2024 in Kraft, der Abschnitt über verbotene KI-Praktiken gilt seit Februar 2025. Die meisten Vorschriften der neuen KI-Verordnung werden ab dem 2. August 2026 gelten. Um den Übergangszeitraum bis zur vollständigen Anwendung zu überbrücken, will die Kommission mit einem KI-Pakt KI-Entwickler dazu bringen, die wichtigsten Verpflichtungen der KI-Verordnung vor dieser Frist freiwillig einzuhalten. Die KI-Verordnung kann nicht rückwirkend auf Systeme angewendet wenden, die schon davor im Einsatz gewesen sind. Die Verordnung hat über die EU hinaus Folgen: Auch wenn Anbieter ihren Sitz außerhalb der EU haben, unterliegen sie der Verordnung, wenn sie in der EU KI-Systeme auf den Markt bringen.
Die für KI-Systeme geltenden Regeln sind von deren Risiko abhängig. Verboten sind Systeme, die wahrscheinlich für Personen erhebliche inakzeptable Schäden zur Folge haben, zum Beispiel Systeme, mit denen gezielt Menschen manipuliert oder getäuscht werden können. „Hochrisiko-Systeme“ dürfen nur eingesetzt werden, wenn ihre Funktionsweise transparent ist und technische Maßnahmen das Risiko mindern. Besondere Transparenzanforderungen gelten auch für Anwendungen, die Deepfakes generieren können oder Menschen auf der Grundlage biometrischer Daten kategorisieren.
KI und Algorithmen sind nicht selbst eine Gefahr für die Demokratie, gefährlich ist die gesellschaftliche Polarisierung, die KI und Algorithmen verstärken. Nutzer*innen werden oft nur Informationen angezeigt, die mit denen übereinstimmen, die sie sich vorher angesehen haben. Darauf bezieht sich das Stichwort „Filterblase“. So schotten Plattformen Nutzer*innen von Inhalten ab, die nicht ihren Meinungen entsprechen.
KI darf nicht zu einem Instrument werden, um zu polarisieren und zu manipulieren. Deshalb muss KI wirksam kontrolliert werden. Ein Versuch dazu ist die KI-Verordnung der EU, der AI Act. Dieses KI-Gesetz verbietet KI-Systeme, die sehr wahrscheinlich erhebliche Schäden haben werden, zum Beispiel Systeme, mit denen gezielt Menschen manipuliert oder getäuscht werden können.
Du möchtest auch dazu beitragen, dass KI besser reguliert wird? Dann werde jetzt offiziell "Friend of AlgorithmWatch" mit deiner Fördermitgliedschaft - schon ab 5 € im Monat.
Gute Ansätze
Menschen müssen informiert werden, wenn sie direkt mit KI-Systemen wie Chatbots interagieren (und es nicht offensichtlich ist) oder wenn Systeme zur Emotionserkennung und biometrischen Kategorisierung ihre Daten verarbeiten − es sei denn, die Polizei verwendet diese Systeme bei einer Strafverfolgung. Deepfakes dürfen Online-Nutzer*innen nur mit einem Hinweis angezeigt werden, dass sie digital generiert wurden.
Die KI-Verordnung sieht vor, eine EU-Datenbank für risikoreiche KI-Systeme einzuführen. Damit soll gewährleistet werden, dass der Öffentlichkeit und Organisationen, die das öffentliche Interesse vertreten, Informationen über den Nutzungskontext solcher KI-Systeme zur Verfügung stehen. (Davon sind aber Systeme ausgenommen, die bei der Strafverfolgung und der Migrations- und Grenzkontrolle eingesetzt werden. Solche Systeme werden in einer separaten Datenbank aufgeführt, die der Öffentlichkeit nicht zugänglich ist.)
Alle Betreiber müssen eine menschliche Aufsicht über den Systemeinsatz sicherstellen. Wenn das KI-System fehlerhaft ist oder sogar Schäden verursacht, muss der Betreiber den Einsatz stoppen und den Anbieter sowie die zuständigen Behörden informieren.
Wenn Einzelpersonen erheblich von Entscheidungen betroffen sind, die auf KI-Systemen beruhen, oder durch sie benachteiligt werden, haben sie das Recht, Erklärungen über die Rolle des KI-Systems im Entscheidungsprozess zu erhalten. Einzelpersonen haben auch das Recht, bei den nationalen Behörden Beschwerde einzulegen, wenn sie glauben, dass ein Verstoß gegen die KI-Verordnung vorliegt.
Wenn Unternehmen verbotene KI-Systeme angewendet haben, müssen sie mit Bußgeldern in Millionenhöhe rechnen. Sie können die Höhe des Bußgeldes aber reduzieren, indem sie mit den Regulierungsbehörden zusammenarbeiten, um die von den Systemen verursachten Schäden zu begrenzen.
Die KI-Verordnung soll Produktsicherheit garantieren, denn: KI-Systeme können sich negativ auf unsere Grundrechte auswirken. Wir haben für euch eine Übersicht zu den Risiken und Gefahren von KI erstellt, um zu zeigen, warum diese Systeme unsere Grundrechte überhaupt gefährden könnten.
Lückenhaft und längst nicht fertig
Wenn KI-Systeme Menschen in öffentlichen Räumen und in Echtzeit anhand von biometrischen Daten identifizieren können, etwa durch Gesichtserkennung, gelten für sie Auflagen. Eine nachträgliche biometrische Identifizierung im öffentlichen Raum irgendwann nach der Aufnahme ist dagegen schon beim bloßen Verdacht bestimmter Straftaten möglich.
Generell verboten ist eine Kategorisierung biometrischer Daten, um daraus Rückschlüsse auf die ethnische Zugehörigkeit, politische Überzeugungen oder die sexuelle Orientierung zu ziehen. Einige Formen der biometrischen Kategorisierung erlaubt die KI-Verordnung hingegen, zum Beispiel eine Bestimmung des Geschlechts. Während Emotionserkennung am Arbeitsplatz und im Bildungswesen verboten ist, dürfen Strafverfolgungs- und Migrationsbehörden solche Systeme verwenden. Beim Thema Migration werden Verbote weitgehend ausgespart.
Die KI-Verordnung gilt nicht in den Bereichen Militär, Verteidigung und nationale Sicherheit. Regierungen können sich auf eine Ausnahmeregelung zur nationalen Sicherheit berufen und dadurch sogar verbotene KI-Anwendungen ohne im Gesetz vorgesehene Schutzmaßnahmen einsetzen.
Eine große Schwäche der KI-Verordnung ist auch, dass die Entwickler von KI-Systemen selbst entscheiden dürfen, ob ihre Systeme ein hohes Risiko darstellen oder nicht, und so die meisten Anforderungen der Verordnung umgehen können.
In den nächsten Jahren wird sich entscheiden, wie durchsetzungsfähig die KI-Verordnung ist. EU-Institutionen, nationale Gesetzgeber und auch Unternehmen werden Standards festlegen, Auslegungsleitlinien veröffentlichen, Aufsichtsstrukturen aufbauen und daran arbeiten, dass das Gesetz sich in den EU-Mitgliedstaaten etabliert.
Community-NewsletterDu möchtest mehr über die Arbeit von AlgorithmWatch erfahren und über unsere Kampagnen und anstehenden Veranstaltungen informiert werden? Dann abonniere unseren Community-Newsletter.
Etwa einmal im Monat. Was erwartet mich? Hier eine Beispielausgabe lesen.
