EU KI Act: Grenzen für bedenkliche KI

Seit dem 2. Februar 2025 beginnt in der Europäischen Union eine neue Ära der Künstlichen Intelligenz, denn der EU AI Act – das weltweit erste umfassende Regelwerk zur KI – setzt nun strikte Grenzen. Unter diesem Gesetz werden KI-Systeme, die als „inakzeptables Risiko“ eingestuft werden, verboten. Die Vorgaben betreffen eine Vielzahl von Anwendungsfällen, die von der Verwendung in alltäglichen Verbraucherprodukten bis hin zu Systemen in physischen Umgebungen reichen. Das Ziel des Gesetzgebers ist es, potenziell schädliche Anwendungen frühzeitig zu unterbinden und die Sicherheit der Bürger zu gewährleisten.

Das Regelwerk differenziert zwischen vier Risikostufen: Minimales Risiko, bei dem keine behördliche Aufsicht erfolgt; begrenztes Risiko, das nur leichten Regulierungsmaßnahmen unterliegt; hohes Risiko, beispielsweise bei medizinischen Anwendungen, die strengen Kontrollen unterliegen; und schließlich Anwendungen mit inakzeptablem Risiko, die gänzlich verboten sind. Zu diesen verbotenen Anwendungen zählen unter anderem KI-Systeme, die zur sozialen Bewertung von Personen eingesetzt werden, manipulative Entscheidungsprozesse initiieren, Schwächen wie Alter oder Behinderung ausnutzen oder biometrische Daten in Echtzeit erheben und analysieren, um sensitive Rückschlüsse wie die sexuelle Orientierung zu ziehen. Unternehmen, die gegen diese Vorgaben verstoßen, müssen mit empfindlichen Bußgeldern rechnen – entweder bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Während der 2. Februar als erster Meilenstein zur Einhaltung des Gesetzes gilt, werden die Strafen und detaillierten Durchführungsbestimmungen erst ab August 2025 vollumfänglich wirksam. Es wird erwartet, dass bis dahin die zuständigen Behörden die zuständigen Leitlinien und einheitliche Standards festlegen, um den Unternehmen möglichst klare Vorgaben zu machen. Dies ist besonders relevant, da das EU AI Act in einem komplexen rechtlichen Umfeld steht und mit anderen Regulierungen wie der Datenschutz-Grundverordnung (GDPR), der NIS2-Richtlinie und DORA interagiert. Unternehmen müssen also genau verstehen, wie diese Regelwerke ineinandergreifen, um keine Überschneidungen oder Widersprüche zu riskieren.

Im Vorfeld der Gesetzesumsetzung haben über 100 Unternehmen freiwillig den EU AI Pact unterzeichnet, der sie dazu verpflichtet, proaktiv zu identifizieren, welche ihrer KI-Systeme als hochriskant gelten könnten. Zu diesen Unterzeichnern zählen große Namen wie Amazon, Google und OpenAI. Interessanterweise haben Meta und Apple – ebenso wie der französische KI-Startup Mistral, das zu den schärfsten Kritikern des Gesetzes zählt – den Pakt nicht unterzeichnet. Dennoch sind auch diese Unternehmen an die neuen gesetzlichen Vorgaben gebunden.

Ausnahmen gibt es jedoch. So gestattet das Gesetz beispielsweise den Einsatz bestimmter biometrischer KI-Systeme durch die Strafverfolgung, sofern diese zur gezielten Suche nach vermissten Personen oder zur Abwehr unmittelbarer Bedrohungen dienen – allerdings nur mit entsprechender behördlicher Genehmigung. Auch bei Systemen, die Emotionen in Arbeits- oder Bildungskontexten interpretieren, sind Ausnahmen möglich, sofern sie medizinisch oder sicherheitsrelevant begründet sind.

Die Aufhebung der Regelungen des ehemaligen Präsidenten Joe Biden durch Donald Trump hat in den USA zu großer Freude bei kleineren KI-Firmen geführt, die sich bislang durch die strengen Auflagen benachteiligt fühlten. Während in den USA somit kein bundesstaatliches Regelwerk zur Entwicklung von KI-Modellen existiert, geht Europa mit dem EU AI Act einen deutlich restriktiveren Weg, der sowohl die technologische Entwicklung als auch den Schutz der Bürger in den Vordergrund stellt.

Fazit

Mit dem Inkrafttreten des EU AI Acts setzt die Europäische Union ein klares Signal: KI-Anwendungen, die ein inakzeptables Risiko darstellen, sollen verboten werden, um Sicherheit und Datenschutz zu gewährleisten. Die strikten Regelungen und hohen Bußgelder zwingen Unternehmen dazu, ihre Systeme sorgfältig zu überprüfen und anzupassen. Während der US-Markt vor neuen Freiräumen steht, setzt Europa auf umfassende Regulierung, um potenziellen Missbrauch zu verhindern und das Vertrauen der Bürger in KI-Technologien zu stärken. Für Organisationen ist es nun entscheidend, die Wechselwirkungen zwischen dem EU AI Act, GDPR, NIS2 und DORA genau zu verstehen, um Compliance-Lücken zu vermeiden. Insgesamt bietet das neue Gesetz sowohl Herausforderungen als auch Chancen für die Weiterentwicklung sicherer und ethisch vertretbarer KI-Anwendungen in Europa.