"Der AI Act ist eine große Chance für Europa, zum weltweiten Vorreiter bei der vertrauenswürdigen und sicheren Nutzung künstlicher Intelligenz zu werden", sagt Johannes Kröhnert, Leiter des Brüsseler Büros des TÜV-Verbands. Vorrangiges Ziel der Regulierungsbemühungen müsse sein, die Chancen von KI-Systemen zu nutzen und gleichzeitig die damit verbundenen Risiken zu begrenzen. Gerade angesichts der rasanten Entwicklungen rund um Generative AI und Tools wie ChatGPT dürfte das ein schwieriger Balanceakt werden.

Die EU-Mitgliedsstaaten hatten sich bereits im Dezember vergangenen Jahres auf einen gemeinsamen Standpunkt hinsichtlich der KI-Regulierung geeinigt. Im Juni 2023 hat dann das Europäische Parlament seine finale Position zum AI Act verabschiedet. Seitdem laufen die Trilogverhandlungen zwischen den EU-Institutionen, um einen Kompromiss zu finden. Das dürfte nicht einfach werden, haben sich doch gerade im zurückliegenden halben Jahr die Ankündigungen zu neuen KI-Entwicklungen regelrecht überschlagen.

Lücken bei der Prüfpflicht

Das macht es nicht einfacher, einen passenden Regulierungsansatz zu finden. Kröhnert zufolge sei der im AI Act vorgesehene risikobasierte Ansatz zwar richtig, allerdings würden die Klassifizierungsvorschriften zu kurz greifen. Nach dem bislang vorliegenden Entwurf sollen nur solche KI-Systeme als hochriskant eingestuft werden, bei denen die physischen Produkte, in die sie integriert werden, bereits einer verpflichtenden Prüfung durch unabhängige Stellen unterliegen. Das betreffe dem TÜV zufolge vor allem Industrieprodukte wie zum Beispiel Aufzüge oder Druckbehälter.

Viele KI-basierte Verbraucherprodukte, darunter Spielzeug oder Smart-Home-Geräte, würden jedoch nicht als Hochrisikoprodukte klassifiziert und fielen damit nicht unter diese Prüfpflicht, sagt TÜV-Mann Kröhnert. Er moniert, dass an dieser Stelle weniger strenge Sicherheitsanforderungen zu erfüllen seien. "Hier sehen wir eine große Regelungslücke, die der EU-Gesetzgeber in den Verhandlungen noch schließen muss."

Es braucht klare Kriterien

Der TÜV-Verband sieht weitere Lücken in der geplanten europäischen KI-Regulierung. Kritisch sehen die Prüfer vor allem die Überlegungen des EU-Parlaments, den Anbietern die Risikoeinstufung ihrer Systeme zu überlassen. Das soll beispielsweise für KI-Systeme gelten, die nicht in bestehende Produkte integriert werden, sondern als reine Software - sogenannte Stand-alone-KI - für bestimmte Anwendungsbereiche auf den Markt gebracht werden. Dazu zählen zum Beispiel KI-Anwendungen für Einstellungsverfahren oder Kreditwürdigkeitsprüfungen.

Kröhnert warnt vor der Gefahr, dass es zu Fehleinschätzungen kommt. "Der EU-Gesetzgeber sollte deshalb klare und eindeutige Klassifizierungskriterien aufstellen, um die Wirksamkeit der verpflichtenden Anforderungen sicherzustellen." Insgesamt sehen die TÜV-Verantwortlichen das vom EU-Gesetzgeber geplante Instrument von Eigenerklärungen der Anbieter kritisch. Gerade von Hochrisikosystemen könnten große Gefahren ausgehen, sowohl für Leib und Leben als auch für die Grundrechte der Nutzerinnen und Nutzern oder die Umwelt.

Hier lesen Sie alle Details zum AI Act:

• AI Act: EU will KI-Einsatz regulieren

• KI-Regulierung: AI Act zwischen Innovation und Verbraucherschutz

• AI Act: So will die EU Künstliche Intelligenz regulieren

• Offener Brief an EU: AI Act bringt Entscheider auf die Barrikaden

Anstelle einer Selbsterklärung brauche es eine umfassende Nachweispflicht einschließlich einer Überprüfung von unabhängigen Stellen, verlangt der TÜV-Verband. Hochriskante KI-Systeme sollten grundsätzlich einer verpflichtenden Zertifizierung unterliegen. Nur durch unabhängige Prüfungen ließen sich mögliche Interessenskonflikte der Anbieter ausschließen. Außerdem werde damit das Vertrauen der Menschen in die Technologie gestärkt.

Testlabore für KI

TÜV-Manager Kröhnert plädiert, wie auch von den EU-Gremien vorgeschlagen, dafür, KI-Reallaboren ("regulatory sandboxes") für die Verprobung von KI-Systemen einzurichten. Labore allein reichten allerdings nicht aus. Nur die Nutzung eines solchen Reallabors durch ein KI-System könne keine Konformitätsvermutung auslösen. Vielmehr müsse jeder Anbieter weiterhin ein vollständiges Bewertungsverfahren durchlaufen, bevor er sein KI-System auf den Markt bringen darf. "Hier sollte der EU-Gesetzgeber im AI Act Klarheit schaffen", fordert der Prüfverband.

Der TÜV fordert zudem, dass auch die neu aufkommenden KI-Tools rund um ChatGPT & Co. im AI Act mitreguliert werden müssten. "Die letzten Monate haben deutlich gezeigt, welches Entwicklungspotenzial in Basismodellen und generativen KI-Systemen steckt, und welche Risiken von ihnen ausgehen kann", konstatiert Kröhnert. Auch generative KI-Systeme müssten grundlegende Sicherheitsanforderungen erfüllen. Daher soll auch geprüft werden, welche Basismodelle als hochkritisch einzustufen sind. Diese müssten dann ebenfalls allen Anforderungen des AI Acts unterliegen, inklusive einer unabhängigen Drittprüfung.