Nach monatelangem Ringen hat das Europäische Parlament das weltweit erste umfassende Gesetz zur Regelung künstlicher Intelligenz (KI) verabschiedet. Die Mitglieder des Europäischen Parlaments (MdEP) stimmten mit 523 Ja- und 46 Nein-Stimmen bei 49 Enthaltungen für einen Text, auf den sich die 27 Mitgliedsstaaten der Europäischen Union bereits im Dezember 2023 im Grundsatz geeinigt hatten.

Laut dem endgültigen Text zielt die Verordnung darauf ab, "die Einführung von menschenzentrierter und vertrauenswürdiger KI zu fördern und gleichzeitig ein hohes Schutzniveau für Gesundheit, Sicherheit, Grundrechte und Umweltschutz vor schädlichen Auswirkungen von Systemen der künstlichen Intelligenz zu gewährleisten. Fast nebenbei wird auch "die Innovation gefördert".

Harte Strafen für unkontrollierte KI

Das Gesetz gilt für alle Unternehmen, die in der EU tätig sind, und sieht Strafen von bis zu sieben Prozent des weltweiten Umsatzes oder bis zu 35 Millionen Euro vor (je nachdem, welcher Betrag höher ist), wenn der KI-Einsatz nicht unter Kontrolle gehalten wird. Ein Großteil der öffentlichen Debatte drehte sich um die Beschränkung der Nutzung biometrischer Identifizierungssysteme durch die Strafverfolgungsbehörden, aber auch kommerzielle KI-Anwendungen müssen mit einem Verbot von Social Scoring und der Nutzung von KI zur Manipulation oder Ausnutzung von Schwachstellen rechnen.

Im Gesetz ist auch das Recht der Verbraucher/innen verankert, sich über den unangemessenen Einsatz von KI durch Unternehmen zu beschweren und aussagekräftige Erklärungen für Entscheidungen zu erhalten, die von einer KI getroffen werden und ihre Rechte betreffen. Gleichzeitig werden bestimmte Praktiken wie das Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungskameras zur Erstellung von Gesichtserkennungsdatenbanken, Social Scoring und KI, die menschliches Verhalten manipuliert oder die Schwachstellen von Menschen ausnutzt, untersagt.

Weitere Bereiche, in denen KI mit hohem Risiko eingesetzt wird, sind kritische Infrastrukturen, Bildung und Berufsausbildung, Beschäftigung, wichtige Dienstleistungen wie das Gesundheits- oder Bankwesen sowie Strafverfolgung, Migration und Grenzmanagement, Justiz und demokratische Prozesse.

Beschränkungen für KI am Arbeitsplatz

Aufgrund des "Ungleichgewichts der Macht" werden explizite Bestimmungen festgelegt, um auch einen größeren Schutz der Arbeitnehmer/innen zu gewährleisten. KI-Systeme dürfen nicht zur Erkennung von Emotionen am Arbeitsplatz oder in der Bildung eingesetzt werden. Dieses Verbot soll sich aber nicht auf KI-Systeme erstrecken, die aus rein medizinischen oder sicherheitstechnischen Gründen auf den Markt gebracht werden, etwa Systeme, "die für therapeutische Zwecke bestimmt sind."

Der Mitberichterstatter Brando Benifei, der das Gesetz im Binnenmarktausschuss des Parlaments durchbringen soll, sagte: "Arbeitnehmer und Gewerkschaften müssen über den Einsatz von künstlicher Intelligenz informiert werden, und alle durch KI erzeugten Inhalte müssen klar gekennzeichnet werden. Schließlich haben die Bürgerinnen und Bürger das Recht auf eine Erklärung und ein kollektives Rechtsmittelverfahren, während die Betreiber verpflichtet sind, die Auswirkungen des KI-Systems auf die Grundrechte der Betroffenen zu bewerten."

Das Interesse von Big Tech

Doch nicht alle waren zufrieden. Die Fraktion der Linken im Europäischen Parlament bezeichnete die Verordnung als übereilt und meinte, dass das Gesetz "die Interessen von Big Tech über die Sicherheit der Bürgerinnen und Bürger stellt".

"Die Unternehmen müssen selbst einschätzen, ob die KI-Systeme, die sie auf den Markt bringen, risikoreich sind oder nicht. Die KI-Verordnung muss grundlegend verbessert werden, damit die Interessen der Bürgerinnen und Bürger an erster Stelle stehen, wenn es um gefährliche Produkte geht", sagte die Gruppe.

Das endgültige Gesetz enthält Maßnahmen zur Förderung von Innovationen und kleinen und mittleren Unternehmen, wie etwa Reallabore ("regulatory sandboxes") und Praxistests, die auf nationaler Ebene eingerichtet und KMUs und Start-ups zugänglich gemacht werden, um KI zu entwickeln und zu trainieren, bevor sie auf den Markt kommt.

Weit davon entfernt, Kritiker zu besänftigen, hat diese Maßnahme die linke Europaabgeordnete Katerina Konecná alarmiert. "Die Verordnung gibt Unternehmen, die KI-Systeme entwickeln, die Freiheit, ihre Produkte unter bestimmten Bedingungen in der realen Welt zu testen, zum Beispiel auf unseren Straßen oder online. Die Verordnung stellt somit die Sicherheit der Bürgerinnen und Bürger in den Hintergrund und rückt die Interessen der Megareichen in den Mittelpunkt", sagte sie.

Nur noch eine Formalie

Um EU-Recht zu werden, muss der endgültige Text noch vom Europäischen Rat, der sich aus den Staats- und Regierungschefs der 27 EU-Mitgliedstaaten zusammensetzt, formell verabschiedet werden. Der Rechtsakt tritt dann 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU in Kraft. Allerdings werden nicht alle Bestimmungen an diesem Tag sofort wirksam. Verbote bestimmter Praktiken werden sechs Monate später in Kraft treten, Verhaltenskodizes neun Monate später, allgemeine KI-Vorschriften zwölf Monate später und Verpflichtungen für Hochrisikosysteme 36 Monate später.

In der Zwischenzeit wird ein spezielles "KI-Büro" eingerichtet, das Unternehmen dabei unterstützen soll, die Regeln einzuhalten, bevor sie in Kraft treten. Es hat bereits damit begonnen, Mitarbeiter einzustellen.

Jetzt schon Vorbereitungen treffen

Auch der TÜV-Verband scharrt schon mit den Hufen, denn aus seiner Sicht müssten die Akteure im KI-Ökosystem bereits jetzt damit beginnen, die Voraussetzungen für die Prüfung der KI-Systeme zu schaffen. "Zwar wird der AI Act erst in etwa zwei Jahren zur Anwendung kommen, aber alle wesentlichen Eckpunkte sind schon jetzt bekannt", betont Geschäftsführer Joachim Bühler in einer Stellungnahme. Die Anbieter könnten daher viele Anforderungen in ihre bestehenden Qualitäts- und Risikomanagementsysteme integrieren.

Eine wichtige Vorgabe sei die Verpflichtung der Mitgliedstaaten, sogenannte Reallabore ("Regulatory Sandboxes") einzurichten, in denen Anbieter KI-Innovationen entwicklungsbegleitend testen können. Für solche KI-Qualitätszentren, die auch KMU und Start-ups zugutekommen sollen, setze sich der TÜV-Verband laut Bühler schon seit mehreren Jahren ein und baue derzeit entsprechende Prüfkapazitäten auf, um die KI-Anbieter bei der Umsetzung des AI Acts begleiten zu können.

Rechtssicherheit durch einheitliche Regeln

Die beiden Branchenverbände Bitkom und eco betonen wiederum die Notwendigkeit der einheitlichen Auslegung und Anwendung des neuen Rechtsrahmens, sowie die Bedeutung der darin vorgesehenen Verhaltenskodizes, um Innovationen zu fördern und gleichzeitig Unternehmen Rechtssicherheit zu bieten.

"Nur wenn KI auch künftig in Deutschland und Europa erfolgreich entwickelt und im globalen Wettbewerb bestehen kann, kann der AI Act als wegweisender Erfolg gelten", erklärte der eco-Vorstandsvorsitzende Oliver Süme. Dazu brauche es jedoch einheitlich ausgelegte Pflichten, Anforderungen und Standards. Nationale Sonderwege würden unweigerlich zu einem Flickenteppich an Regelungen und Rechtsunsicherheit für Unternehmen führen, der Innovationen im Keim erstickt.

Die beiden Verbände setzen dabei ihre Hoffnung auf den zügigen Aufbau der neuen EU Institutionen für Künstliche Intelligenz, allen voran das "AI Board" und das "AI Office". Das EU AI Board müsse als neue zentrale Institution schnell arbeitsfähig werden und für eine EU-weite Koordinierung sorgen, forderte Bitkom-Präsident Ralf Wintergerst. Bei den sogenannten General Purpose AI Models müsse das neu eingerichtete AI Office auf EU-Ebene die Anforderungen an diese KI-Basismodelle bürokratiearm und praxisnah gestalten.

Die Fehler der DSGVO nicht wiederholen

"Die Bundesregierung darf nicht die Fehler der Datenschutz-Grundverordnung wiederholen und das nationale Regulierungskorsett so eng schnüren, dass den Unternehmen der Freiraum für Innovationen fehlt", so Wintergerst. Ziel müsse sein, die Voraussetzungen dafür zu schaffen, dass deutsche Unternehmen und Startups auf Augenhöhe mit den starken internationalen Playern im Bereich der künstlichen Intelligenz kommen können.

Wintergerst wies in diesem Zusammenhang darauf hin, dass in Deutschland erst 13 Prozent der Unternehmen künstliche Intelligenz einsetzten, obwohl 82 Prozent ihr eine große Bedeutung für die künftige Wettbewerbsfähigkeit unserer Wirtschaft zusprechen. Generative KI - etwa Chatbots oder Tools zur Bilderzeugung - kämen sogar nur bei 3 Prozent aller Unternehmen zentral zum Ensatz. "KI in die Breite von Wirtschaft, Gesellschaft und Verwaltung zu bringen, ist die größte Herausforderung der kommenden Monate und Jahre. Die Bundesregierung muss und kann hier mit einer innovationsförderlichen Umsetzung des AI Acts flankieren", so der Bitkom-Präsident.

Dieser Artikel basiert zum Teil auf einem Beitrag der Schwesterpublikation CIO.com