Warum das EU-Gesetz zu KI die neue DSGVO ist

Transparenz

Eine Regulierung der künstlichen Intelligenz steht bevor. Während die USA die Regulierung der KI-Entwicklung hinausgezögert haben, hat die Europäische Union (EU) bewusst einen proaktiveren Ansatz gewählt.

Die EU-Gesetzgebung zur künstlichen Intelligenz ist nun in Kraft, nachdem sie ursprünglich für Dezember 2023 vereinbart worden war. Obwohl die Bestimmungen schrittweise eingeführt werden und erst am 2. August 2026 vollständig in Kraft treten, stellt die Gesetzgebung den weltweit größten Rechtsrahmen für KI dar.

„Dieses wegweisende Gesetz, das weltweit erste seiner Art, befasst sich mit einer globalen technologischen Herausforderung, die auch Chancen für unsere Gesellschaften und Volkswirtschaften schafft“, sagte Mathieu Michel, belgischer Staatssekretär für Digitalisierung, in der offiziellen Pressemitteilung.

Aber bietet das EU-Gesetz zur künstlichen Intelligenz den Bürgern ausreichend Schutz? Und ist das Gesetz ein Beispiel für Überregulierung, die die Entwicklung einer aufstrebenden Industrie bedroht? Die Antwort auf diese Fragen hängt davon ab, wen man fragt.

Die wichtigsten Punkte im Überblick

  • Das EU-Gesetz zur künstlichen Intelligenz ist das bisher umfassendste Gesetz zur künstlichen Intelligenz, das von August 2024 bis August 2026 schrittweise umgesetzt werden soll.
  • Das Gesetz führt wichtige Regeln für die Nutzung von KI ein, darunter Anforderungen für Wasserzeichen in KI-generierten Bildern und die Einhaltung des EU-Urheberrechts.
  • Es wird befürchtet, dass die umfassenden Bestimmungen des Gesetzes Innovationen behindern und KI-Unternehmen vom europäischen Markt verdrängen könnten.
  • Während sich das Gesetz auf den Datenschutz und die unethische Nutzung von KI konzentriert, bleiben Schlupflöcher wie die weit gefassten Zulassungen für biometrische Überwachung bestehen.
  • Möglicherweise ist der Mangel an Klarheit ein Versuch, Innovation zu ermöglichen und gleichzeitig schlechte Akteure oder negative Auswirkungen zu begrenzen.

Welche Auswirkungen hat die EU-Gesetzgebung zu KI auf den Datenschutz der Nutzer?

Eines der Hauptargumente für das KI-Gesetz der EU ist, dass es Regeln einführt, die verhindern, dass KI in einer Weise eingesetzt wird, die die Privatsphäre der Nutzer gefährdet.

Dazu gehören Anwendungsfälle wie biometrische Identifikationssysteme, die Bilder aus dem Internet sammeln, Technologien zur Emotionserkennung am Arbeitsplatz oder in Schulen, Social Scoring, Predictive Policing und jede KI, die menschliches Verhalten manipuliert oder die Schwächen einer Person ausnutzt.

Diese Beschränkungen scheinen ein guter Anfang zu sein, um von einer unethischen Nutzung der KI abzuschrecken, aber sie haben einige ziemlich beunruhigende Einschränkungen.
Beispielsweise kann biometrische Authentifizierung weiterhin zur „Identifizierung von Personen, die einer Straftat verdächtigt werden“, verwendet werden, was ein unglaublich weites Schlupfloch für invasive Überwachungsmaßnahmen darstellt.

Das Gesetz wird KI-Anbieter auch dazu verpflichten, künstlich erzeugte Bilder oder Deepfakes mit Wasserzeichen zu versehen. Dies könnte den Nutzern helfen, künstliche Inhalte besser zu erkennen, was in den letzten Jahren ein Problem war (wie die jüngsten gefälschten Bilder von Taylor Swift gezeigt haben).

Auswirkungen der EU-Gesetzgebung zu künstlicher Intelligenz auf Unternehmen

Das EU-Gesetz zur künstlichen Intelligenz verpflichtet Unternehmen, die KI einsetzen oder entwickeln, ihre künftige Konformität zu bewerten, auch wenn sie nicht in der EU ansässig sind.

Insbesondere müssen allgemeine KI-Systeme wie ChatGPT und die Modelle, auf denen sie basieren, dem EU-Urheberrecht entsprechen und detaillierte Zusammenfassungen der für das Training verwendeten Inhalte veröffentlichen.

Ebenso müssen Lösungen, die künstliche Bilder erzeugen – Tools wie DALL-E 3 oder ImageFX – die Bilder mit einem Wasserzeichen versehen.

Damit sind die Einschränkungen aber noch nicht vollständig. Allzweckmodelle, die systematische Risiken bergen können, müssen zusätzliche Anforderungen erfüllen, darunter Modellbewertungen und eine Meldepflicht für Vorfälle. Für KI-Systeme mit hohem oder inakzeptablem Risiko gelten besondere Anforderungen.

Bei Nichteinhaltung drohen empfindliche Geldbußen von 7,5 Millionen Euro bis 35 Millionen Euro oder 1 % bis 7 % des weltweiten Umsatzes.

James White, Chief Technology Officer von Calypso AI, sagte gegenüber Techopedia:

„Die Auswirkungen auf Unternehmen, die in der EU tätig sind, werden wahrscheinlich davon abhängen, wie das Unternehmen ein KI-Modell einsetzt und in welche Risikokategorie diese Anwendung nach dem Gesetz fällt.

 

“Die Kategorien – verboten, hohes Risiko und geringes oder kein Risiko – sind eher beschreibend als definiert und bleiben in Grenzfällen etwas unscharf. Aber diese Hierarchie ist das Herzstück des Gesetzes und bestimmt den Grad der geringen behördlichen Kontrolle, die angewendet wird, und die Compliance-Anforderungen, die erfüllt werden müssen.“

White geht davon aus, dass Unternehmen das Risikoniveau von KI-Systemen bewerten, ihre allgemeinen Datensicherheits- und Governance-Praktiken stärken, ethische KI-Designprinzipien umsetzen und sicherstellen müssen, dass sie über Compliance- und Reaktionspläne für Vorfälle verfügen.

Viele Bestimmungen werden schrittweise eingeführt, so dass die Unternehmen nur wenig Zeit haben, ihre Angelegenheiten in Ordnung zu bringen. So treten beispielsweise die allgemeinen KI-Pflichten im August 2025 in Kraft und die Pflichten für KI-Systeme mit hohem Risiko im August 2026.

„Wirrwarr an Vorschriften“

Die Einhaltung der europäischen KI-Gesetzgebung wird schwierig sein, da die Verordnung in Bezug auf Einschränkungen der KI-Entwicklung sehr weit gefasst ist.

So wie wichtige Vorschriften wie die Datenschutzgrundverordnung (DSGVO) dazu geführt haben, dass große Technologieunternehmen wie Meta damit drohen, ihre Geschäftstätigkeit in Europa einzustellen, besteht die Möglichkeit, dass das EU-KI-Gesetz KI-Anbieter dazu veranlasst, sich vom Markt zurückzuziehen.

Die eigentliche Herausforderung besteht jedoch darin, dass es so viele Vorschriften gibt, die Unternehmen einhalten müssen, dass es schwierig wird, Schritt zu halten.

Wir haben bereits gesehen, dass Apple die Einführung von KI-Produkten in Europa aufgrund von Bedenken hinsichtlich der Vorschriften in der Region verzögert hat.

Dane Sherrets, Solution-Architekt bei HackerOne, sagte gegenüber Techopedia:

„Viele Unternehmen haben bereits Schwierigkeiten, den zunehmend verwirrenden Wust an Vorschriften zu entwirren, einschließlich des Cyber Resilience Act und des Data Act.”

„Während das jüngste KI-Gesetz der EU einen wichtigen Schritt in Richtung KI-Sicherheit darstellt, haben Bedenken über die zusätzliche Bürokratie, die es mit sich bringt, das Europäische Parlament dazu veranlasst, Grauzonen zu klären, die Verwaltung zu vereinfachen und zusätzliche Ressourcen bereitzustellen, um die Forschung zu unterstützen und kleinen Unternehmen dabei zu helfen, die Gesetzgebung zu verstehen.“

Letztlich könnten solche Regelungen auch Innovationen in anderen Bereichen vorantreiben.

„Ohne diese Anpassungen der Gesetzgebung besteht die ernsthafte Sorge, dass die EU nicht in der Lage sein wird, sich als Vorreiter in diesem Bereich zu etablieren und gegenüber den USA und China ins Hintertreffen gerät“, so Sherrets abschließend.

Fazit

Die KI-Gesetzgebung der EU scheint mit ihrem risikobasierten Ansatz zur Regulierung von KI auf dem richtigen Weg zu sein, aber es muss noch viel klarer werden, welche genauen Verpflichtungen Organisationen haben.

Vielleicht ist der Mangel an Klarheit ein Versuch, Innovation zuzulassen und gleichzeitig schlechte Akteure oder schlechte Folgen einzudämmen. Die EU verdient Lob dafür, dass sie einen Anfang gemacht hat, und die Geschichte wird über den kurz- und langfristigen Erfolg ihrer Maßnahmen urteilen.

Häufig gestellte Fragen

Was ist die EU-Gesetzgebung zu KI?

Wann tritt das EU-Gesetz über künstliche Intelligenz in Kraft?

Wann wurde das EU-Gesetz über künstliche Intelligenz verabschiedet?

Tim Keary
Tech Experte
Tim Keary
Tech Experte

Seit Januar 2017 arbeitet Tim Keary als freiberuflicher Technologie-Autor und Reporter für Unternehmenstechnologie und Cybersicherheit.