Das EU-KI-Gesetz: Alles, was Sie im Jahr 2024 wissen müssen

Das Europäische Parlament hat den weltweit ersten Artificial Intelligence Act (AIA) verabschiedet, einen umfassenden Rahmen zur Bekämpfung der Risiken durch künstliche Intelligenz (KI). Nach zweieinhalb Jahren politischer Debatten und Verhandlungen hat diese Entscheidung Europa zum globalen Maßstab für die KI-Regulierung gemacht. Was bedeutet das für uns und die breitere KI-Community im Jahr 2024?

Was bedeutet das EU-KI-Gesetz?

Die EU erkannte die grundlegende Notwendigkeit, die sichere Entwicklung von KI-Systemen zu gewährleisten. Der EU-KI-Act wurde eingeführt, um Schäden in Bereichen zu minimieren, in denen der Einsatz von KI erhebliche Risiken für Grundrechte birgt, wie zum Beispiel Gesundheitswesen, Ausbildung, öffentliche Diensteund GrenzüberwachungDieses Gesetz regelt Allzweck-KI-Modelle (GPAI) mit Schwerpunkt auf Transparenz, Rückverfolgbarkeit, Diskriminierungsfreiheit und Umweltfreundlichkeit.

Darüber hinaus verlangt die Gesetzgebung von Technologieunternehmen, die KI-Technologien entwickeln, eine Zusammenfassung der Daten zu erstellen, die für Trainingsmodelle, Berichte über die trainierten Daten erstellen und regelmäßige Risikobewertungen durchführen, um Risiken minimieren und die Anforderungen des EU-KI-Gesetzes erfüllen. Diese zusätzlichen Ebenen gewährleisten eine menschliche Aufsicht anstelle automatisierter Prozesse, um Voreingenommenheit, Profilerstellung oder gefährliche und schädliche Folgen zu verhindern.

Darüber hinaus hat das EU-Parlament eine technologieneutrale Definition für KI vorgeschlagen, die auf zukünftige KI-Systeme angewendet werden soll.

Warum das KI-Gesetz der Europäischen Union (EU) wichtig ist

Da dies die erste globale Macht ist, die KI-Gesetze verabschiedet, könnten wir sehen, was letztendlich zu weltweiten Regulierungsstandards wird. Darüber hinaus könnte es einen Schneeballeffekt auslösen, bei dem bestimmte Organisationen in den kommenden Jahren branchenspezifische Vorschriften einführen. Interessanterweise wurde der Gesetzentwurf bereits vor ChatGPTs Einführung im November 2022 und die Explosion von generative KI-Tools im Jahr 2023.

Das EU-KI-Gesetz tritt erst 2025 in Kraft, sodass sich Unternehmen anpassen und vorbereiten können. Zuvor werden Unternehmen aufgefordert, die Regeln im Jahr 2024 freiwillig einzuhalten, es drohen jedoch keine Strafen, wenn sie dies nicht tun. Wenn das Gesetz jedoch endgültig in Kraft tritt, drohen Unternehmen, die gegen die Regeln des KI-Gesetzes verstoßen, Geldbußen von bis zu 35 Millionen Euro oder zwischen 1,5% bis 7% ihres weltweiten Umsatzes im vorangegangenen Geschäftsjahr (weitere Einzelheiten siehe unten).

Welche Einschränkungen beinhaltet das EU-KI-Gesetz?

Das Gesetz zur künstlichen Intelligenz des Rates der Europäischen Union verbietet und beschränkt verschiedene KI-Anwendungen. Hier sind einige Praktiken, die nach der neuen Gesetzgebung verboten sind:

• Wahlloses und ungerichtetes Massenabkratzen von biometrische Daten Die Verwendung von Gesichtsbildern aus sozialen Medien oder Videomaterial zum Erstellen oder Erweitern von Gesichtserkennungsdatenbanken ist verboten. Dies gilt auch für Gesichts- und Emotionserkennungssysteme an öffentlichen Orten wie Arbeitsplätzen, Grenzschutz, Strafverfolgungsbehörden und Bildungseinrichtungen. Es gibt jedoch bestimmte Sicherheitsausnahmen, beispielsweise den Einsatz von KI zur Erkennung des Einschlafens eines Fahrers. Gesichtserkennungstechnologie durch Strafverfolgungsbehörden ist auf Anwendungen wie die Identifizierung von Opfern von Terrorismus, Entführung und Menschenhandel beschränkt.
• Auch die Verwendung von Social-Scoring-Systemen durch öffentliche Behörden zur Bewertung der Compliance der Bürger ist verboten. Dies liegt daran, dass es zu diskriminierenden Ergebnissen, Ungerechtigkeit und Ausgrenzung bestimmter Gruppen führen kann. KI-Systeme, die das Verhalten von Menschen manipulieren, um ihre Entscheidungen zu beeinflussen oder zu lenken, sind verboten. Beispielsweise ist die gezielte Manipulation von Inhalten in sozialen Medien und anderen Plattformen zur Verfolgung politischer oder kommerzieller Ziele verboten. Jeder Betreiber von Systemen, die manipulierte Medien erstellen, muss die Nutzer darüber informieren.
• Darüber hinaus sind alle KI-Systeme verboten, die natürliche Personen oder Gruppen auf Risiken prüfen und Profile auf Straftaten erstellen. Dies verbietet Tools, die das Auftreten oder die Wiederholung eines Vergehens oder Verbrechens vorhersagen, indem sie ein Profil einer Person anhand von Merkmalen und Daten wie Standort oder früherem kriminellen Verhalten erstellen.
• Anbieter von Foundation-Modellen müssen außerdem detaillierte Zusammenfassungen der Trainingsdaten für den Aufbau ihrer KI-Modelle einreichen..

Diese und viele weitere Verbote werden im EU-KI-Gesetz je nach Schweregrad in unterschiedliche Risikostufen eingeteilt. Werfen wir einen Blick auf diese Risikostufen:

Regelungen zu unterschiedlichen Risikostufen im KI-Gesetz

Das EU-KI-Gesetz verfolgt einen risikobasierten Regulierungsansatz und kategorisiert KI-Anwendungen in vier Stufen. Das bedeutet: Je höher das Risiko, desto strenger die Governance.

• Inakzeptables Risiko: Ein KI-System, das als „inakzeptables Risiko“ eingestuft wird, stellt eine Bedrohung für uns Menschen dar. Kognitive Verhaltensmanipulation, Social Scoring und einige Anwendungen biometrischer Systeme fallen in diese Kategorie. Die einzige Ausnahme bildet die Strafverfolgung, aber selbst hier ist der Einsatz auf bestimmte Anwendungen beschränkt.
• Hohes Risiko: KI-Systeme, die die Sicherheit von Menschen und unsere Grundrechte beeinträchtigen, werden als risikoreich eingestuft. Dazu gehören Kredit-Scoring-Systeme und automatisierte Versicherungsansprüche. Alle Hochrisikosysteme, wie das fortschrittliche GPT-4-Modell, werden vor ihrer Markteinführung strengen Konformitätsbewertungen unterzogen und während ihres gesamten Lebenszyklus kontinuierlich überwacht. Unternehmen müssen das Produkt zudem in einer EU-Datenbank registrieren.
• Begrenztes Risiko: KI-Tools wie Chatbots, Deepfakes und Funktionen wie Personalisierung gelten als „risikoarm“. Unternehmen, die solche Dienste anbieten, müssen ihren Kunden gegenüber transparent machen, wofür ihre KI-Modelle verwendet werden und um welche Art von Daten es sich handelt.
• Minimales Risiko: Für Tools und Prozesse mit „minimalem Risiko“ fordert der Entwurf des EU-KI-Gesetzes Unternehmen dazu auf, einen Verhaltenskodex einzuführen, der einen ethischen Einsatz von KI gewährleistet.

Schutz allgemeiner KI-Modelle

Nach längeren Beratungen über die Regulierung von „Grundlagenmodellen“ im EU-KI-Gesetz wurde ein Kompromiss in Form eines abgestuften Ansatzes erzielt. Der Kompromiss konzentriert sich auf die Terminologie rund um Allzweck-KI-Modelle/-Systeme („GPAI“) und beschreibt die Verpflichtungen in zwei Stufen:

• Stufe 1: mehrere einheitliche Verpflichtungen für alle GPAI-Modelle.
• Stufe 2: ein zusätzlicher Satz von Verpflichtungen für GPAI-Modelle mit systemischen Risiken.

Tier-1-Verpflichtungen: Im Rahmen der Stufe 1 müssen alle GPAI-Modellanbieter Transparenzanforderungen erfüllen. Dazu gehört die Erstellung einer technischen Dokumentation mit detaillierten Zusammenfassungen der für die Schulung verwendeten Inhalte. Darüber hinaus müssen diese Organisationen das EU-Urheberrecht einhalten, um eine ethische Nutzung der Inhalte zu gewährleisten.

Verpflichtungen der Stufe 2: GPAI-Modelle, die systemische Risiken beinhalten, gelten als zweitrangig. Für GPA-Modelle der zweiten Stufe gelten strengere Verpflichtungen, darunter die Bewertung von KI-Modellbewertungen, die Risikobewertung und -minderung, der Einsatz angemessener Sicherheitsmaßnahmen, die Meldung schwerwiegender Vorfälle, die Gewährleistung angemessener Sicherheitsmaßnahmen und die Berichterstattung zur Energieeffizienz. Damit GPAI-Modelle mit hohem Risiko in ihrem aktuellen Zustand dem EU-KI-Gesetz entsprechen, wird empfohlen, die Verhaltensregeln einzuhalten, bis die EU-Standards formalisiert und veröffentlicht sind.

Rahmen für Durchsetzung und Strafen

Laut dem Europäischen Rat wird das EU-KI-Gesetz durch die zuständigen nationalen Marktüberwachungsbehörden der einzelnen Mitgliedstaaten durchgesetzt. Darüber hinaus wird ein EU-KI-Büro, ein neues Leitungsgremium innerhalb der EU-Kommission, die Standards und Durchsetzungsmechanismen für neue Regeln für GPAI-Modelle festlegen.

Verstöße gegen das EU-KI-Gesetz werden mit Geldstrafen geahndet. Die Höhe der Geldbußen hängt jedoch von verschiedenen Faktoren ab, wie z. B. der Art des KI-Systems, der Unternehmensgröße und dem Ausmaß des Verstoßes. Die Strafen reichen von:

• 7,5 Millionen Euro oder 1,5% des Bruttoumsatzes eines Unternehmens (je nachdem, welcher Betrag höher ist), wenn die bereitgestellten Informationen falsch sind.
• 15 Millionen Euro oder 3% des Bruttoumsatzes eines Unternehmens (je nachdem, welcher Betrag höher ist) für die Verletzung der Verpflichtungen aus den EU-KI-Gesetzen.
• 35 Millionen Euro oder 3% des Bruttoumsatzes eines Unternehmens (je nachdem, welcher Betrag höher ist) für Verstöße gegen verbotene KI-Anwendungen.

Darüber hinaus könnten kleinere Unternehmen und Start-ups auf der Grundlage von Verhandlungen eine Chance haben, da das EU-KI-Gesetz Obergrenzen für Bußgelder vorsieht, um sicherzustellen, dass diese für diese Organisationen angemessen sind.

EU-KI-Gesetz: Innovationshemmend oder Datensicherheitsfördernd?

Wir können nicht leugnen, dass das EU-KI-Gesetz notwendig ist, um die Datensicherheit zu gewährleisten. Allerdings ist es ein schmaler Grat zwischen der Erreichung dieses Ziels und der Behinderung von Innovationen. Der französische Präsident Emmanuel Macron schloss sich dieser Ansicht an und argumentierte, dass die wegweisenden Regeln dazu beitragen könnten, Europäische Technologieunternehmen hinken der Konkurrenz hinterher in den Vereinigten Staaten, Großbritannien und China.

Dem EU-KI-Entwurf zufolge sind jedoch bestimmte integrierte Sicherheitsvorkehrungen vorgesehen, um innovative KI-Fortschritte zu schützen und aufrechtzuerhalten. Ziel ist es, ein Gleichgewicht zwischen Risikomanagement und der Förderung allgemeiner KI-Innovationen zu finden.

Wir erwarten, dass die EU in den kommenden Monaten die rechtlichen Grundlagen für den Einsatz von KI in der biometrischen Überwachung und für die nationale Sicherheit klärt. Die EU-Regierungen, allen voran Frankreich, haben bereits Ausnahmen für bestimmte KI-Anwendungen im Militär- und Verteidigungsbereich erwirkt.

Da bis zur Umsetzung noch einige Zeit vergeht, könnten bis dahin noch einige Details verfeinert werden. 2024 dürfte daher ein wichtiges Entscheidungsjahr werden.

Wie BigID zur Sicherung der KI-Entwicklung und Reduzierung des KI-Risikos beiträgt

Der EU-KI-Act ist ein neuer Rechtsrahmen für die Entwicklung AI Dem die Öffentlichkeit vertrauen kann. Es spiegelt das Engagement der EU wider, Innovationen voranzutreiben, die KI-Entwicklung zu sichern, die nationale Sicherheit zu gewährleisten und die Grundrechte von Menschen und Unternehmen zu wahren.

Da diese Organisationen KI und große Sprachmodelle (LLMs) Wie ChatGPT (Tier 2) basieren diese Modelle stark auf unstrukturierte Daten für Schulungszwecke. BigID bietet eine Komplettlösung für Verwalten und sichern Sie Daten während des gesamten KI-Entwicklungszyklus, mit der Fähigkeit, persönliche und sensible Informationen zu identifizieren über strukturierte und unstrukturierte Daten Quellen. Mit BigID können Unternehmen:

• Entdecken Sie persönliche und vertrauliche Informationen in KI-Trainingssets, einschließlich Geheimnisse und Passwörter, Kundendaten, Finanzdaten, IP, vertrauliche Daten und mehr.
• Verstehen Sie die spezifischen Identitäten deren Daten für das KI-Training verwendet werden.
• Klassifizieren, kennzeichnen und taggen Sie Daten nach Typ, Regulierung, Sensibilität und sogar Verwendungszweck – über strukturierte Daten, unstrukturierte Daten, vor Ort oder in der Cloud.
• Führen Sie KI sicher ein, indem Sie Richtlinien für die Datennutzung im gesamten Unternehmen entwickeln.
• Verwalten, Schützen und Steuern von KI mit robusten Datenschutz-, Compliance- und Sicherheitsprotokollen, die Zero Trust ermöglichen und Insiderrisiken mindern.
• Bewerten Sie das Datenrisiko und den EU-Regulierungsbehörden schnell Berichte vorlegen.

Vereinbaren Sie eine Demo mit unseren Experten um zu sehen, wie BigID Ihrem Unternehmen helfen kann, Risiken zu reduzieren und die Anforderungen des EU-KI-Gesetzes zu erfüllen.

Autor

Verrion Wright

Strategie und Entwicklung von Inhalten

Verrion Wright ist ein sehr erfahrener und ehrgeiziger Vermarkter mit mehr als 20 Jahren Erfahrung in den Bereichen Produktmarketing, Inhaltsentwicklung und digitale Strategie. Mit dem Schwerpunkt auf datengesteuerten Erkenntnissen und integriertem Marketing hatte er leitende Positionen in verschiedenen Branchen inne, darunter IT-Dienstleistungen, Datenschutz, Marketing und Werbung (Medienplanung). Bei BigID ist Verrion Director of Content Strategy and Development und trägt dazu bei, Inhalte über alle Säulen, Regionen und Käufer hinweg zu verbessern, indem er durchgängig überzeugende Inhalte über verschiedene Medien erstellt - darunter Videos, Artikel, Checklisten, Whitepaper und Leitfäden.