FAQ zum neuen AI Act der EU: KI bekommt Regeln

Künstliche Intelligenz hilft bei der Überwachung, aber auch bei der Verbreitung von Hass und Fake News. Die EU schafft nun weltweit einmalig Recht.

Gesichtserkennung kann mit KI erleichtert werden – die Frage nach Echtzeit-Überwachung war in der EU ein Streitthema Foto: Joe Buglewicz/Redux/laif

Bisher ist es weltweit einmalig: Die Europäische Union schafft Regeln zum Umgang mit künstlicher Intelligenz (KI). Am Dienstag stimmen die beiden federführenden Ausschüsse des EU-Parlaments über die KI-Verordnung ab, oft ist englischsprachig vom „AI Act“ die Rede. Die Zustimmung gilt als sicher. Unterhändler von EU-Parlament und Mitgliedstaaten haben schon im Dezember alles ausverhandelt. Dennoch stand das Projekt gerade erst auf der Kippe – wegen der FDP.

Auf den letzten Metern hatte der kleinste Partner der Bundesregierung in Person von Digitalminister Volker Wissing gedroht, Deutschlands Zustimmung doch noch zu verweigern, um weniger Vorgaben für Unternehmen durchzusetzen. Letztlich stimmte die Bundesregierung doch noch zu im Ausschuss der Ständigen Vertreter, der die finalen Entscheidungen des Ministerrats der EU-Regierungen vorbereitet.

Was genau ist der AI Act?

Künstliche Intelligenz (KI) ist als Technologie für eine breite Masse an Menschen noch eine verhältnismäßig junge Entwicklung. Den bislang größten Schub erhielt sie, als vor etwas über einem Jahr das generative Sprachmodell ChatGPT des Unternehmens OpenAI an den Start ging. Die App wurde damals zur App mit den schnellsten Nutzerzuwächsen.

Doch auch in anderen Bereichen steckt KI: In Bild- und Tonbearbeitungsprogrammen, in ersten medizinischen Anwendungen oder in der Polizeiarbeit zum Beispiel. Weil die Einsatzzwecke zunehmend sensibel sind und die Anwendungsbereiche sich ausweiten, hat die EU schon vor knapp drei Jahren eine Regulierung vorgeschlagen: Der AI Act teilt KI-Anwendungen in Risikoklassen und reguliert diese mehr oder weniger streng.

Manche Einsatzzwecke werden auch verboten, zum Beispiel staatliche Scoring-Systeme, die Menschen anhand ihres Verhaltens klassifizieren würden. Bei Verstößen gegen die Regeln drohen Unternehmen Strafen von bis zu 35 Millionen Euro oder bis zu sieben Prozent des weltweiten Gewinns.

Was bringen die vereinbarten Regeln für Verbesserungen?

Ein Lob kommt beispielsweise vom Verbraucherzentrale Bundesverband (vzbv): „Der AI Act stellt eine Verbesserung für Ver­brau­che­r:in­nen dar, etwa bei den Betroffenenrechten“, sagte dessen Vorständin Ramona Pop. Die neuen Regeln könnten daher die „Akzeptanz und das Vertrauen der Ver­brau­che­r:in­nen in die Technologie stärken“. Auch der Bundesdatenschutzbeauftragte sieht Positives: „Die KI-Verordnung stärkt in vielen Teilen den Datenschutz“, sagte ein Sprecher der Behörde. Gut sei etwa das Verbot von Social Scoring, und das Verbot, mittels Scraping, also dem automatischen Durchsuchen des Internets, Gesichtserkennungsdatenbanken zu erstellen. Die Rechte von Betroffenen würden etwa durch Transparenz- und Qualitätsanforderungen für die Unternehmen gestärkt und durch das Recht, bei einer noch einzurichtenden KI-Aufsichtsbehörde Beschwerde einzulegen.

Aber es gibt auch Kritik?

Ja. Im Zentrum der Kritik stehen Überwachungsbefugnisse, die vor allem auf Druck der Mitgliedstaaten aufgenommen wurden. „Es ist sehr bedauerlich, dass es kein klares Verbot biometrischer Echtzeit-Fernerkennung im öffentlichen Raum gibt“, sagt der Sprecher des Bundesdatenschutzbeauftragten.

Die Gesichtserkennung war in den Verhandlungen stark umstritten gewesen. Da ging es beispielsweise um Situationen, in denen Behörden nachträglich oder in Echtzeit die von Überwachungskameras aufgezeichneten Daten mit biometrischer Gesichtserkennungssoftware durchsuchen.

Die europäische Bürgerrechtsorganisation EDRi warnt daher davor, dass die neuen Regelungen dazu beitragen könnten, „die Überwachungsaktivitäten von Polizei und Migrationskontrollbehörden auszuweiten und zu legitimieren“. Die NGO Algorithmwatch kritisiert darüber hinaus „große Schlupflöcher“ für Unternehmen: So hätten die Hersteller von KI-Systemen ein Mitspracherecht bei der Frage, ob ihre Systeme als Hochrisiko-KI, für die besonders strenge Regeln gelten, eingestuft werden.

Darüber hinaus gebe es für Bereiche der nationalen Sicherheit, der Strafverfolgung und der Migration Ausnahmen für Hochrisiko-Systeme. „Der Kompromiss zur KI-Verordnung offenbart einen systemischen Fehler bei der EU-Gesetzgebung. Die nationalen Regierungen und die Strafverfolgungslobby haben einen unverhältnismäßig großen Einfluss“, kritisiert Algorithmwatch-Expertin Angela Müller. Das gehe zulasten von Menschenrechten und öffentlichem Interesse.

Was passiert, wenn der AI Act doch noch scheitert?

Nicht nur Deutschland hatte grundsätzliche Kritik. Auch aus anderen Ländern kam Zurückhaltung – etwa aus Frankreich. Die dortige Regierung hatte ebenfalls für wirtschaftsfreundlichere Regeln lobbyiert. Würde der AI Act scheitern, gäbe es erst einmal gar keine Regulierung. Das heißt: Schutz für Nut­ze­r:in­nen nur, insofern ihn die aktuelle Gesetzgebung hergibt. Für Unternehmen würde das je nach Sichtweise viel Freiheit oder eben Rechtsunsicherheit bedeuten. Denn dass eine KI-Regulierung auf ewig ausbleiben könnte, ist unwahrscheinlich.

Nach der Europawahl im Juni aber werden sich die Mehrheitsverhältnisse im EU-Parlament neu mischen. Auch die EU-Kommission wird neu aufgestellt. Die Befürchtung: Ein deutlicher Rechtsruck würde dazu führen, dass die bislang tendenziell bürgerrechtsfreundliche Position des EU-Parlaments kippt. Gibt es also einen neuen Anlauf in der kommenden Legislaturperiode, wäre das Ergebnis aus Bürger- und Nut­ze­r:in­nen­sicht vermutlich schlechter.

Wenn der AI Act endgültig verabschiedet ist – lässt sich dann noch etwas ändern?

Die letzten Abstimmungen sind derzeit für Mitte April angesetzt, gelten aber nur noch als Formalität. Im Anschluss wird das Gesetzeswerk im Amtsblatt der EU veröffentlicht und tritt 20 Tage später in Kraft – es ist also absehbar, dass das noch vor der Europawahl passiert. Bis die Regeln tatsächlich wirksam werden, gibt es Übergangsfristen von bis zu drei Jahren.

Gleichzeitig sind allerdings die EU-Mitgliedstaaten am Zug: Die haben in bestimmten Bereichen die Möglichkeit, abweichende Regeln festzulegen. Das betrifft zum Beispiel den umstrittenen Punkt der biometrischen Überwachung. Der Bundesdatenschutzbeauftragte fordert die Bundesregierung auf, hier die Öffnungsklausel zu nutzen.