Die Zukunft der KI-Regulierung in Europa.
Top Fakten zum EU AI Act Entwurf für Datenschützer
Zusammenfassung
Das Dokument ist ein Entwurf zur Verordnung der Europäischen Union zur Regulierung von künstlicher Intelligenz (KI). Die Verordnung legt einen einheitlichen Rechtsrahmen für die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und die Nutzung von KI-Systemen in der EU fest. Die Verordnung gilt für alle KI-Systeme, unabhängig von ihrer Anwendung oder ihrem Einsatzzweck. Es gibt jedoch bestimmte KI-Systeme, die aufgrund ihres Risikos für die Gesellschaft besonders reguliert werden müssen. Betrachten Sie es als die DSGVO für KI. Link zum Dokument EU AI ACT
Einführung
Die Herangehensweise Europas an die Künstliche Intelligenz (KI) wird maßgeblichen Einfluss auf unsere zukünftige Wettbewerbsfähigkeit und unseren Wohlstand haben. In den vergangenen Monaten haben Durchbrüche im Bereich der generativen Künstlichen Intelligenz, wie ChatGPT, das enorme Potenzial dieser Technologie verdeutlicht. Es gibt jedoch Bedenken, dass Verbote oder übermäßig strenge Auflagen, wie sie teilweise von Mitgliedern des Europäischen Parlaments diskutiert wurden, dazu führen könnten, dass die KI-Entwicklung künftig außerhalb Europas stattfindet und Experten aus Deutschland und anderen europäischen Ländern ihr Wissen anderswo einbringen.
Es ist wichtig, die KI nicht aus Europa zu verdrängen. Zwar benötigt die Technologie Regulierung, doch sollte der Fokus des AI Act auf Anwendungen liegen, die potenziell ein hohes Risiko bergen, beispielsweise im Gesundheits- oder Mobilitätssektor. Pauschale Vorgaben für eine Technologie sind nicht hilfreich und könnten Forschung, Entwicklung sowie Geschäftsmodellbildung behindern.
Ob die EU das schaffen wird, schauen wir uns im Verordnungsentwurf AI Act vom 16.05.2023 genauer an.
Was sind die Leitthemen des Entwurfs für künstliche Intelligenz der EU ?
Das vorgeschlagene Dokument zur Regulierung von künstlicher Intelligenz in der Europäischen Union hat drei Leitthemen:
- Förderung von Innovation: Das Dokument soll die Entwicklung und den Einsatz von KI-Systemen in der EU fördern, um wirtschaftliches Wachstum und Wettbewerbsfähigkeit zu unterstützen.
- Schutz der Grundrechte: Das Dokument soll sicherstellen, dass KI-Systeme in Übereinstimmung mit den Grundrechten und Werten der EU eingesetzt werden, einschließlich des Schutzes der Privatsphäre, des Datenschutzes und der Nichtdiskriminierung.
- Sicherheit und Vertrauen: Das Dokument soll sicherstellen, dass KI-Systeme sicher und vertrauenswürdig sind und keine unangemessenen Risiken für die Gesellschaft oder die Umwelt darstellen.
Welche Bereiche im Bereich AI sollen reguliert werden in der EU
Die Verordnung legt einen einheitlichen Rechtsrahmen für die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und die Nutzung von künstlicher Intelligenz (KI) fest. Die Verordnung gilt für alle KI-Systeme, unabhängig von ihrer Anwendung oder ihrem Einsatzzweck. Es gibt jedoch bestimmte KI-Systeme, die aufgrund ihres Risikos für die Gesellschaft besonders reguliert werden müssen. Diese sind in Annex III Punkt 8 der Verordnung aufgeführt und umfassen unter anderem KI-Systeme, die in sicherheitskritischen Bereichen wie dem Verkehrswesen eingesetzt werden, sowie solche, die zur Überwachung von öffentlichen Räumen oder zur Bewertung der Kreditwürdigkeit von Personen verwendet werden. Darüber hinaus gibt es spezielle Bestimmungen in Artikel 15a und Annex IV Punkt 3b der Verordnung, die sich mit den Auswirkungen von KI-Systemen auf Demokratie und Rechtsstaatlichkeit sowie Umweltfragen befassen.
Welche Maßnahmen werden für die Einhaltung der AI-Verordnung getroffen?
- Die Einführung von AI-Standards. Die Standards sollen auf einer breiten Beteiligung aller relevanten Interessengruppen basieren und sicherstellen, dass sie den Werten der Union entsprechen. Die Standardisierung soll transparent sein und eine multistakeholder Governance repräsentieren, die alle relevanten europäischen Interessengruppen umfasst. Dies schließt Industrie, KMU, Start-ups, Zivilgesellschaft, Forscher und Sozialpartner ein.
- Die Schaffung eines europäischen KI-Registers, in dem alle KI-Systeme registriert werden müssen, die auf dem EU-Markt verfügbar sind.
- Die Einführung von Konformitätsbewertungsverfahren für KI-Systeme, um sicherzustellen, dass sie den Anforderungen der Verordnung entsprechen.
- Die Schaffung eines europäischen Netzwerks von Exzellenzzentren für KI, um die Zusammenarbeit zwischen Forschern und Unternehmen zu fördern und den Wissenstransfer zu erleichtern.
- Die Förderung von Forschung und Entwicklung im Bereich der KI durch öffentliche Finanzierung und Unterstützung von Start-ups und KMU.
- Die Zusammenarbeit zwischen den Mitgliedstaaten bei der Umsetzung der Verordnung und die gegenseitige Unterstützung bei der Durchsetzung der Vorschriften.
Wie wird das Risiko für AI Tools bewertet?
Die Risikobewertung von AI-Systemen muss gemäß der vorgeschlagenen Verordnung für künstliche Intelligenz objektiv und partizipativ durchgeführt werden. Die Bewertung muss auf der Grundlage der in den relevanten Artikeln festgelegten Kriterien erfolgen, einschließlich der Kriterien, die in Annex III aufgeführt sind. Die Risikobewertung muss auch eine Bewertung des potenziellen Schadens oder der negativen Auswirkungen des AI-Systems auf die Gesellschaft oder bestimmte Gruppen von Personen umfassen. Wenn ein AI-System als „hohes Risiko“ eingestuft wird, müssen zusätzliche Anforderungen erfüllt werden, wie beispielsweise eine Überprüfung durch eine benannte Stelle.
In Artikel 5 der Verordnung allgemeine Anforderungen an künstliche Intelligenz-Systeme ist festlegt, dass Transparenz und Nachvollziehbarkeit von Entscheidungen sowie der Notwendigkeit einer menschenzentrierten Gestaltung gefordert wird. Artikel 6 legt spezifische Anforderungen für Hochrisiko-KI-Systeme fest, einschließlich der Notwendigkeit einer Risikobewertung und -management sowie einer Konformitätsbewertung durch eine unabhängige Stelle. Es ist daher wahrscheinlich, dass diese Artikel einige der Kriterien enthalten, auf denen die Risikobewertungsmethodologie des AI Office basieren wird.Weitere Informationen zur Risikobewertung von AI-Systemen finden Sie in Artikel 7a des PDF-Dokuments auf Seite 84.
Kategorien von AI-Systemen aus Annex III auf, die als „hohes Risiko“ eingestuft werden
Die Verordnung definiert bestimmte Kategorien von KI-Systemen als „hohes Risiko“, die aufgrund ihrer potenziellen Auswirkungen auf die Gesellschaft besonders reguliert werden müssen. Diese Kategorien sind in Annex III Punkt 8 der Verordnung aufgeführt und umfassen folgende KI-Systeme:
1. Biometrische Identifikation und Überwachung:
- Echtzeit-Gesichtserkennung in der Öffentlichkeit
- Echtzeit-Stimmerkennung in der Öffentlichkeit
- Biometrische Identifikation zur Zugangskontrolle zu öffentlichen Einrichtungen
2. Kritische Infrastrukturen:
- Verkehr (z.B. autonomes Fahren)
- Energie (z.B. Stromnetze)
- Wasser (z.B. Wasserversorgung)
- Gesundheit (z.B. medizinische Diagnose)
3. Bildung und Arbeit:
- Rekrutierung (z.B. automatisierte Bewerberauswahl)
- Arbeitsplatzüberwachung (z.B. Überwachung von Mitarbeitern am Arbeitsplatz)
- Bildungsentscheidungen (z.B. automatisierte Bewertungen von Prüfungen)
4. Öffentliche Verwaltung und Sicherheit:
- Justiz (z.B. automatisierte Entscheidungsfindung in Gerichtsverfahren)
- Polizei (z.B. Vorhersage von Straftaten)
- Grenzkontrollen (z.B. automatisierte Grenzüberwachung)
Eine vollständige Liste der Kategorien von AI-Systemen in Annex III finden Sie auf den Seiten 117 bis 124 des PDF-Dokuments.
Welche Anforderungen werden an die Kategorie „hohes Risiko“ gestellt?
Die Verordnung legt fest, dass KI-Systeme, die als „hohes Risiko“ eingestuft werden, bestimmte Anforderungen erfüllen müssen, um auf dem EU-Markt verfügbar zu sein. Diese Anforderungen umfassen unter anderem:
- Eine Risikobewertung: Die Hersteller von KI-Systemen müssen eine Risikobewertung durchführen und dokumentieren, um sicherzustellen, dass das System sicher und verlässlich ist und keine unannehmbaren Risiken für wichtige öffentliche Interessen wie Grundrechte, Demokratie oder Umwelt darstellt.
- Technische Dokumentation: Die Hersteller müssen technische Dokumentationen und Protokolle bereitstellen, die Informationen über das Design und die Funktionsweise des KI-Systems enthalten.
- Konformitätsbewertung: Die Hersteller müssen eine Konformitätsbewertung durchführen oder durchführen lassen, um sicherzustellen, dass das KI-System den Anforderungen der Verordnung entspricht.
- Menschliche Überwachung: In einigen Fällen muss das KI-System von einer menschlichen Aufsicht begleitet werden.
Darüber hinaus gibt es spezielle Anforderungen für bestimmte Arten von KI-Systemen. Zum Beispiel müssen biometrische Erkennungssysteme eine höhere Genauigkeit aufweisen als andere Systeme und dürfen nur in begrenzten Fällen eingesetzt werden.
Wie läuft eine Risikobewertung laut dem AI Act ab?
- Identifizierung des Anwendungsbereichs und der Zielsetzung der Bewertung
- Identifizierung der relevanten Risiken, die mit dem AI-System verbunden sind
- Bewertung der Eintrittswahrscheinlichkeit und des potenziellen Schadens jedes identifizierten Risikos
- Bestimmung des Gesamtrisikos durch Kombination von Eintrittswahrscheinlichkeit und potenziellem Schaden
- Identifizierung von Maßnahmen zur Risikominderung oder -vermeidung
- Bewertung der Wirksamkeit dieser Maßnahmen bei der Reduzierung des Gesamtrisikos
- Dokumentation aller Ergebnisse und Entscheidungen im Zusammenhang mit der Risikobewertung
Diese Schritte sind auf Seite 84 des PDF-Dokuments beschrieben
Wie wird der Schutz der Privatsphäre sichergestellt?
Der Schutz der Privatsphäre soll durch die Einhaltung der Grundsätze der Datenminimierung und des Datenschutzes durch Design und Standard gewährleistet werden, wie sie in der DSGVO festgelegt sind. Dies ist insbesondere dann von Bedeutung, wenn die Verarbeitung von Daten erhebliche Risiken für die Grundrechte von Einzelpersonen birgt. Anbieter und Benutzer von KI-Systemen sollten demnach technische und organisatorische Maßnahmen ergreifen, um diese Rechte zu schützen.
Dazu gehören auch Maßnahmen wie Anonymisierung und Verschlüsselung sowie der Einsatz von Technologien, die es ermöglichen, Algorithmen direkt auf den Daten auszuführen, ohne dass eine Übertragung oder unnötige Kopie der Roh- oder Strukturdaten erforderlich ist.
Darüber hinaus sieht der vorgeschlagene Verordnungsentwurf vor, dass bestimmte KI-Systeme als „hochriskant“ eingestuft werden können, wenn sie ein hohes Risiko für die Grundrechte von Einzelpersonen darstellen. Siehe dazu (Kategorien von AI-Systemen aus Annex III auf, die als „hohes Risiko“ eingestuft werden) In solchen Fällen müssen Anbieter und Benutzer dieser Systeme eine Risikobewertung durchführen und geeignete Maßnahmen ergreifen, um das Risiko zu minimieren oder zu vermeiden. Außerdem müssen KI-Systemhersteller gemäß Anhang VIII Abschnitt B Einzelheiten darüber offenlegen, wie die Modelle trainiert wurden.
Weitere Informationen zum Schutz der Privatsphäre finden Sie auf Seite 53 des PDF-Dokuments.
Die Anlaufstellen für Beratungs- und Koordinationsaufgaben zu KI
- Nationale Aufsichtsbehörden für den Datenschutz
- Nationale Behörden für den Verbraucherschutz
- Nationale Behörden für die Wettbewerbspolitik
- Nationale Behörden für die Produktsicherheit
- Europäischer Datenschutzausschuss (EDSA)
- Europäische Kommission
- AI Office
An der Stelle sei genannt, dass die Europäische Union nicht der einzige Ort ist, an dem KI reguliert wird. Länder auf der ganzen Welt beginnen ebenfalls, sich ernsthaft mit der Regulierung von KI auseinanderzusetzen, einschließlich der Vereinigten Staaten.
Was ist das AI Office
Das „AI Office“ bezieht sich auf eine unabhängige Einrichtung der Europäischen Union, die im vorgeschlagenen Verordnungsentwurf für künstliche Intelligenz erwähnt wird. Das AI Office soll als zentrale Anlaufstelle für Fragen im Zusammenhang mit der Regulierung von KI-Systemen dienen und die Umsetzung der Verordnung überwachen. Es soll auch bei der Entwicklung von Leitlinien und Best Practices für den verantwortungsvollen Einsatz von KI-Systemen unterstützen und gegebenenfalls Sanktionen gegen Unternehmen verhängen, die gegen die Verordnung verstoßen.
Das AI Office soll über eine eigene Geschäftsstelle verfügen und angemessen finanziert und besetzt sein, um seine Aufgaben gemäß dieser Verordnung zu erfüllen. Das AI Office soll auch nationale Aufsichtsbehörden und andere EU-Institutionen in Fragen im Zusammenhang mit dieser Verordnung unterstützen. Das AI Office wird durch einen Exekutivdirektor geleitet und von einem Management Board kontrolliert, dem Vertreter der Mitgliedstaaten sowie der Europäischen Kommission, des Europäischen Datenschutzausschusses (EDSA), der Agentur der Europäischen Union für Grundrechte (FRA) und der Agentur der Europäischen Union für Netzwerk- und Informationssicherheit (ENISA) angehören. Weitere Informationen zum AI Office finden Sie auf Seite 86 des PDF-Dokuments.
Welche Strafen drohen bei Verstößen?
Bei Verstößen gegen die Bestimmungen der Verordnung können administrative Geldbußen von bis zu 30 Millionen Euro oder bis zu 6 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden, je nachdem, welcher Betrag höher ist. Es können auch andere Sanktionen wie Warnungen oder Anordnungen verhängt werden. Die genauen Strafen und Sanktionen sind in den Artikeln 71-76 der Verordnung beschrieben.
Weiterführende Richtlinien aus dem AI Act Entwurf vom 16.05.2023
Im Dokument werden mehrere Richtlinien und Verordnungen genannt, die im Zusammenhang mit der Regulierung von künstlicher Intelligenz stehen. Hier sind einige der genannten Rechtsvorschriften aufgelistet:
- Die Datenschutz-Grundverordnung (DSGVO)
- Die Richtlinie über die Verarbeitung personenbezogener Daten im Bereich der Strafverfolgung
(RL (EU) 2016/680) - Die Richtlinie über die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der EU (RL (EU) 2018/1725)
- Die Richtlinie über den barrierefreien Zugang zu den Websites und mobilen Anwendungen öffentlicher Stellen (RL (EU) 2016/2102)
- Die Richtlinie über audiovisuelle Mediendienste (RL (EU) 2010/13/EU)
- Die Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (Geschäftsgeheimnisrichtlinie)