Künstliche Intelligenz – Was das neue KI-Gesetz in der Praxis bedeutet

Am 1. August 2024 ist in der Europäischen Union das erste KI-Gesetz der Welt in Kraft getreten. Die Mitgliedstaaten haben damit nun bis August 2025 Zeit, um zuständige nationale Behörden zu benennen, die dann ab August 2026 die Einhaltung der neuen Vorschriften überwachen. Doch schon jetzt stellt sich die Frage, wie das 144 Seiten starke KI-Gesetz in der Praxis aussehen wird. Was konkret müssen KI-Entwickler in Zukunft anders machen?

Einige Anwendungen werden verboten

Um mehr Klarheit zu schaffen, hat Informatikprofessor Holger Hermanns von der Universität des Saarlandes zusammen mit Kollegen eine Art Leitfaden für Informatiker erstellt. Die Kernaussage: Je riskanter ein KI-System ist, desto mehr muss der entsprechende KI-Entwickler zukünftig beachten. Denn das KI-Gesetz beziehungsweise der „AI Act“ teilt die verschiedenen KI-Anwendungen in vier Risikogruppen ein.

Systeme mit „unannehmbarem Risiko“ werden direkt verboten. Es gibt auch keine Übergangsfrist bis 2026. Zu dieser höchsten Risikogruppe zählen Anwendungen, die eindeutig die Grundrechte von Menschen bedrohen, also zum Beispiel Systeme, die eine „soziale Bewertung“ durch Regierungen ermöglichen, die Emotionen am Arbeitsplatz auswerten oder die der Gesichtserkennung an öffentlichen Orten dienen. Solche Anwendungen sind beispielsweise in China aktiv, wurden bei uns jedoch auch schon vor dem offiziellen Verbot nur im Kleinen erprobt.

Strenge Auflagen für riskante KI

Die nächste Kategorie im KI-Gesetz sind Anwendungen mit „hohem Risiko“ – also Künstliche Intelligenzen, die zum Beispiel in den Bereichen kritische Infrastruktur, Gesundheit oder Justiz zum Einsatz kommen. Auch Kreditscoring-Systeme und Bewerbungssoftware, die automatisch Vorentscheidungen für Personaler trifft, gelten als hochriskant. Macht die Künstliche Intelligenz hier grobe Fehler, können schnell Existenzen oder sogar Leben in Gefahr sein. Daher müssen KI-Entwickler in diesen Bereichen fortan bestimmte Vorgaben einhalten.

„Zum einen muss sichergestellt werden, dass die Trainingsdaten so sind, dass die daraus trainierte KI tatsächlich auch ihre Aufgabe ordentlich erfüllen kann“, erklärt Hermanns. So soll zum Beispiel im Falle einer Bewerbungssoftware verhindert werden, dass die KI eine Gruppe von Bewerbern diskriminiert, nur weil diese in den Trainingsdaten kaum vorgekommen ist. „Außerdem muss das System aufzeichnen, was genau zu welchem Zeitpunkt passiert, ähnlich wie eine Black Box im Flugzeug“, ergänzt Hermanns Kollegin Sarah Sterz. Das soll maximale Transparenz schaffen.

Die Funktionsweise des Systems muss darüber hinaus dokumentiert sein wie in einem klassischen Benutzerhandbuch. Der Betreiber einer KI-Software soll dadurch Fehler im System eigenständig erkennen und berichtigen können. Das Problem hier: Bisher können selbst die Hersteller von KI-Systemen nicht immer genau erklären, warum ihre Modelle so reagieren, wie sie es tun.

All diese Vorgaben des KI-Gesetzes müssen aber ohnehin nur dann eingehalten werden, wenn Hochrisiko-Systeme auch tatsächlich auf den Markt kommen oder in Betrieb genommen werden. In Forschung und Entwicklung, egal ob staatlich oder privat, wird es nach wie vor keine Beschränkungen geben, wie Hermanns erklärt.

Nicht alle Bereiche sind betroffen

Schätzungen der Europäischen Kommission zufolge bewegen sich die meisten KI-Anwendungen aber ohnehin auf deutlich geringen Risiko-Stufen, darunter zum Beispiel Chatbots wie ChatGPT. Hier müssen Programmierer künftig vor allem auf mehr Transparenz dem Endnutzer gegenüber achten, wie die Europäische Kommission erklärt: „KI-Systeme wie Chatbots müssen den Nutzern klar zu verstehen geben, dass sie mit einer Maschine interagieren.“ Auch bestimmte KI-generierte Inhalte wie etwa Deep Fakes sollen künftig eindeutig als solche gekennzeichnet werden. Dasselbe gilt für künstlich erzeugte Audio-, Video-, Text- und Bildinhalte. Wie genau dies zu geschehen hat, wurde allerdings bisher nicht festgelegt.

Weitgehende Narrenfreiheit wiederum haben KI-Entwickler, die an Anwendungen mit „minimalem Risiko“ arbeiten – also zum Beispiel lernfähigen Spam-Filtern von E-Mail-Programmen oder automatisch erzeugten Reaktionen von Videospielcharakteren wie den Konkurrenten in Autorennspielen. Durch das neue KI-Gesetz entstehen für Hersteller solcher Systeme keinerlei zusätzliche Verpflichtungen. Unternehmen können aber natürlich trotzdem freiwillig einen internen Verhaltenskodex verabschieden.

Gesetz könnte Wettbewerbsfähigkeit steigern

Das Fazit von Sterz lautet somit: „Entwickler und Nutzer werden unterm Strich nicht wirklich viel Veränderung spüren.“ Dass europäische Tech-Unternehmen durch die stärkere Regulierung wie teilweise befürchtet den Anschluss im internationalen Wettbewerb verlieren, ist somit ihrer Ansicht nach eher unwahrscheinlich. Im Gegenteil könnte der AI Act der europäischen KI sogar zum Vorteil gereichen, indem er ihr eine Art Gütesiegel für Sicherheit und Transparenz verleiht. „Der AI Act ist ein Versuch, KI auf vernünftige Weise zu regulieren, und das ist nach unserem Dafürhalten gut gelungen“, sagt Hermanns.