Der AI-Gesetz: Meilenstein-Regulierung tritt in Kraft

Der AI Act: Meilenstein-Regulierung tritt in Kraft

Am 4. Februar 2025 veröffentlichte die Europäische Kommission die Richtlinien zu verbotenen KI-Praktiken, wie sie im AI Act definiert sind, der am 1. August 2024 in Kraft trat.

Der AI Action Summit fand am 10. und 11. Februar 2025 in Paris statt, an dem Staats- und Regierungschefs, Führungspersönlichkeiten internationaler Organisationen und CEOs teilnahmen.

In den letzten Wochen gab es viel Bewegung im Bereich der KI auf dem europäischen Kontinent: Zunächst die Veröffentlichung neuer Leitlinien zum AI Act, der umfassendsten regulatorischen Rahmenbedingungen für KI bis dato; anschließend der AI Action Summit, der von Frankreich ausgerichtet und von Indien co-vorsitzend war.

Die Herausforderungen waren hoch, mit fast 100 Ländern und über 1.000 Vertretern aus dem privaten Sektor und der Zivilgesellschaft anwesend. Ein zentrales Thema der Debatte war die Frage, ob Innovation die Regulierung übertrumpfen kann.

Regulierung vs. Innovation

Der AI Action Summit bot eine Plattform, um zu überlegen, ob Innovation die Regulierung übertrumpfen kann. Es kann jedoch argumentiert werden, dass das Ignorieren der Risiken, die mit KI verbunden sind, die Innovation nicht beschleunigen wird. Die aktuellen europäischen Herausforderungen hängen vielmehr mit der Marktfragmentierung und dem Mangel an Wagniskapital zusammen.

Es ist wichtig, dass demokratische Regierungen praktische Maßnahmen ergreifen, anstatt nur leere Worte zu führen, und dabei auf die Risiken für die soziale, politische und wirtschaftliche Stabilität weltweit durch den Missbrauch von KI-Modellen zu achten.

Der AI Act

Der AI Act folgt einem vierstufigen Risikobewertungssystem. Die höchste Stufe, das „unacceptable risk“, umfasst KI-Systeme, die als klare Bedrohung für die gesellschaftliche Sicherheit gelten. Acht Praktiken sind eingeschlossen:

• Schädliche KI-gestützte Manipulation und Täuschung
• Schädliche KI-gestützte Ausbeutung von Schwachstellen
• Soziale Bewertung
• Individuelle Kriminalitätsrisikobewertung oder -vorhersage
• Untargeted Scraping des Internets oder CCTV-Material zur Erstellung oder Erweiterung von Gesichtserkennungsdatenbanken
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
• Biometrische Kategorisierung zum Ableiten bestimmter geschützter Merkmale
• Echtzeit-Remote-Biometrische Identifikation für Strafverfolgungszwecke in öffentlich zugänglichen Räumen

Bestimmungen innerhalb dieser Stufe, die das Scraping des Internets zur Erstellung von Gesichtserkennungsdatenbanken umfassen, traten am 2. Februar 2025 in Kraft. Diese Systeme sind nun verboten, und Unternehmen drohen Geldstrafen von bis zu 35 Millionen EUR oder 7% ihres globalen Jahresumsatzes, je nachdem, welcher Betrag höher ist, wenn sie sich nicht an die Vorschriften halten.

Hohe Risiken

Die nächste Stufe, die „high-risk“ Stufe, umfasst KI-Anwendungsfälle, die ernsthafte Risiken für die Gesundheit, Sicherheit oder grundlegende Rechte darstellen können. Dazu gehören Bedrohungen für kritische Infrastrukturen (z.B. Verkehr), deren Ausfall das Leben und die Gesundheit von Bürgern gefährden könnte, sowie KI-Lösungen in Bildungseinrichtungen, die den Zugang zur Bildung und den Verlauf des Berufslebens einer Person beeinflussen können.

Obwohl solche Systeme nicht verboten werden, unterliegen hochrisikobehaftete KI-Systeme rechtlichen Verpflichtungen, bevor sie auf den Markt gebracht werden können, einschließlich einer angemessenen Risikobewertung und -minderungsmaßnahmen sowie detaillierter Dokumentationen, die alle erforderlichen Informationen bereitstellen.

Minimale oder keine Risiken

Im Folgenden gibt es die Kategorie „minimal or no risk“. Diese bedeutet leichtere Transparenzpflichten, die unter Umständen verlangen, dass Entwickler und Anbieter sicherstellen, dass Endnutzer sich bewusst sind, dass sie mit KI interagieren, beispielsweise in praktischen Fällen wie Chatbots und Deepfakes. Auch die Erklärbarkeit ist in dieser Gesetzgebung verankert, da KI-Unternehmen möglicherweise Informationen darüber bereitstellen müssen, warum ein KI-System eine Vorhersage getroffen und eine Handlung vorgenommen hat.

Während des Gipfels wurde der Einfluss dieser neuen Leitlinien diskutiert, wobei die USA die europäische Regulierung kritisierten und vor einer Zusammenarbeit mit China warnten. Die USA und das Vereinigte Königreich weigerten sich, die Gipfelerklärung über ‚inklusives‘ KI zu unterzeichnen, was die Hoffnungen auf einen einheitlichen Ansatz zur Regulierung der Technologie dämpfte. Das Dokument wurde von 60 Unterzeichnern, darunter Frankreich, China, Indien, Japan, Australien und Kanada, unterstützt.

Startups wie OpenAI, die nicht lange zuvor den US-Kongress vor der Notwendigkeit einer Regulierung der KI gewarnt hatten, argumentieren, dass der AI Act Europa möglicherweise behindern könnte, wenn es um die kommerzielle Entwicklung von KI geht.

Technologischer Wettbewerb

Der Gipfel fand zu einem Zeitpunkt rascher Veränderungen statt, wobei das chinesische Startup DeepSeek die USA mit der kürzlichen Veröffentlichung des Modells R1 herausforderte. Ein weiterer Akteur im Bereich Open Source, das französische Startup Mistral AI, das gerade sein Le Chat Modell veröffentlicht hat, spielte eine bedeutende Rolle. Das Unternehmen kündigte Partnerschaften mit der nationalen Arbeitsagentur in Frankreich, dem europäischen Verteidigungsunternehmen Helsing und Stellantis, dem Automobilhersteller, der die Marken Peugeot, Citroën, Fiat und Jeep besitzt, an.

Die Einführung der 200 Milliarden EUR InvestAI-Initiative, zur Finanzierung von vier KI-Gigafabriken zur Ausbildung großer KI-Modelle, wurde als Teil einer breiteren Strategie angesehen, die offene und kollaborative Entwicklung fortschrittlicher KI-Modelle in der EU zu fördern.