Wofür steht der AI Act?
Der AI Act ist die weltweit erste umfassende gesetzliche Regulierung für Künstliche Intelligenz auf Basis eines risikobasierten Ansatzes. Die EU-Verordnung trat im August 2024 in Kraft und gilt für Anbieter, Betreiber und Nutzer von KI-Systemen, die in der EU eingesetzt werden. Dies ist unabhängig davon, ob der Anbieter seinen Sitz innerhalb oder außerhalb der Union hat.
AI Act Ansatz
Der Kern des AI Act ist eine Klassifizierung von KI-Systemen nach ihrem Risikopotenzial in vier Kategorien. Unzulässige KI-Praktiken, die ein inakzeptables Risiko darstellen, sind verboten. Darunter zählen Social Scoring durch Behörden, manipulative KI-Systeme und biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum, die nur in engen, gesetzlich definierten Ausnahmefällen zulässig ist. Hochrisiko-KI-Systeme unterliegen strengen Anforderungen und betreffen Bereiche wie kritische Infrastruktur, Bildung, Beschäftigung, Strafverfolgung und Justiz. KI-Systeme mit begrenztem Risiko unterliegen Transparenzpflichten, etwa dem Hinweis, dass ein Nutzer mit einem Chatbot interagiert. KI-Systeme mit minimalem Risiko sind weitgehend unreguliert.
Anforderungen für Hochrisiko-KI
Anbieter von Hochrisiko-KI-Systemen müssen umfangreiche Pflichten erfüllen:
- Etablierung eines Risikomanagementsystems
- Sicherstellung hochwertiger Trainingsdaten
- Bereitstellung technischer Dokumentation
- Ermöglichung menschlicher Aufsicht
- Prüfung der Systeme auf Genauigkeit, Robustheit und Cybersicherheit
- Durchführung eines Konformitätsbewertungsverfahrens vor dem Inverkehrbringen
- Registrierung der Systeme in einer EU-Datenbank
Regelungen für General-Purpose AI (GPAI)
Der AI Act enthält eigene Regelungen für sogenannte Allzweck-KI-Modelle (General-Purpose AI Models), also leistungsstarke Basismodelle wie große Sprachmodelle. Anbieter solcher Modelle müssen technische Dokumentation bereitstellen, Urheberrechtsrichtlinien einhalten und Zusammenfassungen der Trainingsdaten veröffentlichen. Für Modelle mit systemischem Risiko gelten zusätzliche Pflichten, darunter die Durchführung von Adversarial-Testing und die Meldung schwerwiegender Vorfälle.
Zeitplan des AI Act
Der AI Act wird schrittweise zwischen 2025 und 2027 angewendet, wobei unterschiedliche Regelungsbereiche zu unterschiedlichen Zeitpunkten in Kraft treten. Der AI Act setzt globale Maßstäbe und dürfte ähnlich wie die DSGVO eine Signalwirkung weit über Europa hinaus entfalten.