„In Bezug auf künstliche Intelligenz ist Vertrauen ein Muss und kein nettes Extra“, sagt Digital-Vizepräsidentin Margrethe Vestager (im Bild). „Mit diesen wegweisenden Regeln steht die EU an der Spitze der Entwicklung neuer globaler Normen, um sicherzustellen, dass KI vertrauenswürdig ist.“ Indem wir Standards setzen, können wir den Weg zu ethischen Grundsätzen ebnen Technologie weltweit und stellen sicher, dass die EU auf diesem Weg wettbewerbsfähig bleibt. Zukunftssicher und innovationsfreundlich werden unsere Regeln dort eingreifen, wo es unbedingt nötig ist: wenn die Sicherheit und die Grundrechte der EU-Bürger auf dem Spiel stehen.“
Die Regeln unterscheiden zwischen KI-Anwendungen mit hohem Risiko, begrenztem Risiko und minimalem Risiko.
KI-Systeme Als risikoreich eingestuft werden unter anderem KI-Technologien, die verwendet werden in:
- Kritische Infrastrukturen (z. B. Verkehr), die das Leben und die Gesundheit der Bürger gefährden könnten;
- Bildungs- oder Berufsausbildung, die den Zugang zu Bildung und beruflichem Verlauf des Lebens eines Menschen bestimmen kann (z. B. Bewertung von Prüfungen);
- Sicherheitskomponenten von Produkten (z. B. KI-Anwendung in der roboterunterstützten Chirurgie);
- Beschäftigung, Arbeitnehmerverwaltung und Zugang zur Selbstständigkeit (z. B. Software zur Sortierung von Lebensläufen für Einstellungsverfahren);
- Wesentliche private und öffentliche Dienstleistungen (z. B. Kreditbewertung, die den Bürgern die Möglichkeit verweigert, einen Kredit zu erhalten);
- Strafverfolgung, die die Grundrechte der Menschen beeinträchtigen kann (z. B. Bewertung der Zuverlässigkeit von Beweismitteln);
- Migrations-, Asyl- und Grenzkontrollmanagement (z. B. Überprüfung der Echtheit von Reisedokumenten);
- Rechtspflege und demokratische Prozesse (z. B. Anwendung des Gesetzes auf konkrete Tatsachen).
Hochrisiko-KI-Systeme unterliegen strengen Verpflichtungen, bevor sie auf den Markt gebracht werden können:
- Angemessene Systeme zur Risikobewertung und -minderung;
- Hohe Qualität der Datensätze, die das System versorgen, um Risiken und diskriminierende Ergebnisse zu minimieren;
- Protokollierung der Aktivitäten zur Sicherstellung der Rückverfolgbarkeit der Ergebnisse;
- Detaillierte Dokumentation mit allen Informationen, die über das System und seinen Zweck erforderlich sind, damit die Behörden dessen Einhaltung beurteilen können;
- Klare und angemessene Informationen für den Benutzer;
- Angemessene menschliche Aufsichtsmaßnahmen zur Risikominimierung;
- Hohe Robustheit, Sicherheit und Genauigkeit.
Insbesondere alle biometrischen Fernidentifizierungssysteme gelten als risikoreich und unterliegen strengen Anforderungen. Ihr Live-Einsatz in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken ist grundsätzlich untersagt.
Enge Ausnahmen sind streng definiert und geregelt (z. B. wenn dies unbedingt erforderlich ist, um nach einem vermissten Kind zu suchen, eine bestimmte und unmittelbar bevorstehende terroristische Bedrohung zu verhindern oder um einen Täter oder Verdächtigen einer schwerwiegenden Straftat zu erkennen, zu lokalisieren, zu identifizieren oder strafrechtlich zu verfolgen).
Eine solche Verwendung unterliegt der Genehmigung durch eine Justiz oder eine andere unabhängige Stelle sowie angemessenen Zeit-, geografischen und zeitlichen Beschränkungen.
Für KI-Systeme mit begrenztem Risiko gelten besondere Transparenzpflichten: Wenn Nutzer beispielsweise KI-Systeme wie Chatbots verwenden, sollten sie sich darüber im Klaren sein, dass sie mit einer Maschine interagieren, damit sie eine fundierte Entscheidung treffen können, ob sie fortfahren oder einen Schritt zurücktreten möchten.
Zu den KI-Systemen mit minimalem Risiko, für die keine Regulierung erforderlich ist, gehören: KI-gestützte Videospiele oder Spamfilter. Die überwiegende Mehrheit der KI-Systeme fällt in diese Kategorie.
Das European Artificial Intelligence Board wird die Umsetzung der Vorschriften erleichtern und die Entwicklung von Standards für KI vorantreiben.
Für Unternehmen, die Verbote oder Datenanforderungen nicht einhalten, sind Bußgelder in Höhe von 6% des Umsatzes vorgesehen
Für Unternehmen, die andere in den neuen Regeln festgelegte Anforderungen nicht erfüllen, sind geringere Bußgelder vorgesehen
Die Regeln gelten sowohl für Entwickler als auch für Benutzer von KI-Systemen mit hohem Risiko
Anbieter von riskanter KI müssen diese vor der Bereitstellung einer Konformitätsbewertung unterziehen
Weitere Verpflichtungen für KI mit hohem Risiko umfassen die Verwendung hochwertiger Datensätze, die Sicherstellung der Rückverfolgbarkeit der Ergebnisse und die Überwachung durch den Menschen, um das Risiko zu minimieren
Zu den Kriterien für Anwendungen mit hohem Risiko gehören der Verwendungszweck, die Anzahl potenziell betroffener Personen und die Irreversibilität von Schäden.
Die Vorschriften müssen vom Europäischen Parlament und den Mitgliedstaaten genehmigt werden, bevor sie zum Gesetz werden - ein Prozess, der mehrere Jahre dauern kann.