Demnach sollen KI-Systeme künftig in verschiedene Risikogruppen eingeteilt werden. Je höher die potenziellen Gefahren einer Anwendung sind, desto höher sollen die Anforderungen sein.
Künstliche Intelligenz bezeichnet meist Anwendungen auf Basis maschinellen Lernens, bei denen eine Software große Datenmengen nach Übereinstimmungen durchforstet und daraus Schlussfolgerungen zieht. Sie werden schon jetzt in vielen Bereichen eingesetzt. Zum Beispiel können solche Programme Aufnahmen von Computertomografen schneller und mit einer höheren Genauigkeit als Menschen auswerten. Auch selbstfahrende Autos versuchen so, das Verhalten anderer Verkehrsteilnehmer vorherzusagen. Und Chatbots oder automatische Playlists von Streaming-Diensten arbeiten ebenfalls mit KI.
Gesichtserkennung im öffentlichen Raum grundsätzlich nicht erlaubt
Das KI-Gesetz geht auf einen Vorschlag der EU-Kommission aus dem Jahr 2021 zurück. Systeme, die als besonders risikoreich gelten und beispielsweise in kritischen Infrastrukturen oder im Bildungs- und Gesundheitswesen eingesetzt werden, müssen demnach strenge Anforderungen erfüllen. Bestimmte KI-Anwendungen, die gegen EU-Werte verstoßen, sollen ganz verboten werden. Dazu gehört beispielsweise die Bewertung von sozialem Verhalten ("Social Scoring"). Damit werden die Bürgerinnen und Bürger in China in Verhaltenskategorien eingeteilt. Und auch eine Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen soll es in der EU nicht geben.
Auch die Gesichtserkennung im öffentlichen Raum – also zum Beispiel durch Videoüberwachung an öffentlichen Plätzen – soll grundsätzlich nicht erlaubt sein. Dabei gibt es jedoch Ausnahmen: Polizei und andere Sicherheitsbehörden sollen eine solche Gesichtserkennung im öffentlichen Raum nutzen dürfen, um ganz bestimmte Straftaten wie Menschenhandel oder Terrorismus zu verfolgen.
Mit der Zustimmung des Parlaments kann das Regelwerk nun in Kraft treten. Zuvor hatten Unterhändler von Europaparlament und EU-Ländern im Dezember nach langen Verhandlungen eine Einigung über eine Regulierung erzielt. Anfang Februar stimmten auch Vertreter der EU-Staaten dem Vorschlag formell zu.
Für die Mitgliedsstaaten bedeutet das nun, dass sie zunächst schrittweise verbotene Systeme außer Betrieb nehmen müssen. Nach zwei Jahren sollen alle Punkte des Gesetzes vollständig umgesetzt sein. Die Mitgliedstaaten müssen etwa Sanktionen beschließen, wenn Unternehmen die Vorschriften nicht einhalten. Dies können Geldstrafen sein. Privatpersonen, die Verstöße gegen die Vorschriften entdecken, können sich bei nationalen Behörden beschweren. Diese können dann Überwachungsverfahren einleiten und gegebenenfalls Strafen verhängen.
Bundesdatenschutzbeauftragter für striktere nationale Verbote
Der Bundesdatenschutzbeauftragte Ulrich Kelber sieht durch das KI-Gesetz insbesondere den Datenschutz gestärkt. Er begrüßt, dass die Datenschutzaufsichtsbehörden als Aufsicht für diverse Hochrisiko-KI-Systeme vorgesehen sind. Viele der Vorgaben für diese Systeme hätten einen engen Bezug zum Datenschutz – beispielsweise werde der Schutz vor automatisierter Entscheidung aus der DSGVO gestärkt und durch das Erfordernis menschlicher Aufsicht bei KI-unterstützten Entscheidungsfindungen erweitert.
Gleichzeitig bedauert Kelber, dass einige der vom Europäischen Datenschutzausschuss und dem Europäischen Datenschutzbeauftragten in einer gemeinsamen Stellungnahme in 2021 geäußerten Kritikpunkte nicht umgesetzt worden seien: Es sei ein Versäumnis, dass es kein klares Verbot biometrischer Fernerkennung im öffentlichen Raum gebe. Die Bundesregierung sollte die Öffnungsklausel für striktere nationale Verbote nutzen.
Aus der Datenbank beck-online
Saidakhrarovich Gulyamov, Ethische und rechtliche Dimensionen der Regulierung von Quantum Artificial Intelligence-Systemen MMR 2024, 26
Becker/Feuerstack, Der neue Entwurf des EU-Parlaments für eine KI-Verordnung MMR 2024, 22
Ebers, Die KI-Verordnung ante portas: Ein neuer Rechtsrahmen für Legal Tech? LTZ 2024, 1