Die KI-Verordnung der EU hat einen langen Weg hinter sich. Der erste Vorschlag wurde bereits im April 2021 vorgelegt, also mehr als ein Jahr bevor die Veröffentlichung von ChatGPT den derzeitigen KI-Hype befeuert hat. Es folgte ein zähes Ringen darüber, wie stark die EU die Technologie regulieren soll.

Vor allem Deutschland, Frankreich und Italien hatten sich gegen zu strenge Regelungen gewehrt, weil sie Wettbewerbsnachteile befürchtet hatten. Am 8. Dezember 2023 kam die Einigung, und der zuständige EU-Kommissar Thierry Breton twitterte: „Deal!“ Am 13. März 2024 gab auch das EU-Parlament grünes Licht. Damit ist der Weg frei für das erste wirklich umfassende KI-Gesetz der Welt.

Welche Auflagen KI-Systeme erfüllen müssen, hängt vor allem von deren Einsatzgebiet ab. Ein KI-Tool, das beispielsweise Witze generiert, müsste kaum Auflagen erfüllen. Wird eine KI aber beispielsweise eingesetzt, um im Unternehmen über die Bewerber:innen zu entscheiden oder Anträge von Arbeitslosen zu prüfen, dann gilt sie als Hochrisiko-KI.

Solche hochriskanten KI-Anwendungen müssen zukünftig strenge Auflagen erfüllen. So muss etwa nachgewiesen werden, dass die Trainingsdaten nicht zu einer Benachteiligung bestimmter Gruppen führen. Außerdem müssen die Entscheidungen solcher Systeme immer von Menschen überwacht werden.

Grundsätzlich verboten ist der Einsatz von KI-Systemen zum Aufbau eines Sozialkreditsystems nach chinesischem Vorbild. Auch Gesichtserkennung im öffentlichen Raum ist verboten – allerdings hat sich die EU auf umfangreiche Ausnahmen geeinigt.

Ein großer Streitpunkt war die Regulierung von KI-Basismodellen. Darunter versteht man KI-Modelle, die anhand riesiger Datenmengen trainiert werden und später dann auf spezifische Anwendungsfälle optimiert werden. Bekannte Beispiele für solche Basismodelle sind GPT-4, Gemini oder Llama 2.

Wer solche Basismodelle entwickelt, muss zukünftig anhand einer „technischen Dokumentation“ Auskunft über die Trainingsdaten und Testverfahren liefern. Außerdem muss ein Nachweis darüber erbracht werden, dass geltendes Urheberrecht eingehalten wurde.

Strenger werden die Auflagen bei KI-Modellen, die „systemische Risiken“ bergen. Solche Systeme müssen weitere Vorgaben zur Cybersicherheit und dem Risikomanagement einhalten. Ob ein KI-Modell in diese Kategorie fällt, soll die beim Training eingesetzte Rechenleistung bestimmen.

Die Grenze soll bei 10^25 Gleitkommaoperationen liegen. Nur wenige Basismodelle dürften derzeit oberhalb dieser Schwelle liegen.  GPT-4 von OpenAI könnte aber dazugehören.

Grundsätzlich verboten sind mit der KI-Verordnung Systeme, die im großen Stil Gesichtserkennung mit öffentlich verfügbaren Bildern nutzen. Ebenfalls untersagt ist der Einsatz entsprechender Technologien zur Erkennung von Emotionen.

Für die Strafverfolgungsbehörden gibt es indes einige Ausnahmen. So dürfen die zwar eigentlich keine Systeme zur Echtzeit-Gesichtserkennung nutzen, wenn sie aber zur Verhinderung von Terrorismus oder zum Auffinden von Verdächtigen in Mord- oder Entführungsfällen genutzt werden, soll ihr Einsatz dann doch erlaubt sein.

Wie bei früheren EU-Gesetzen sollen sich die Geldstrafen für Firmen an ihrem weltweiten Jahresumsatz orientieren. Wer von der EU verbotene KI-Systeme einsetzt, soll mindestens 35 Millionen Euro oder sieben Prozent des Vorjahresumsatzes zahlen müssen.

KI-Firmen, die ihren im AI Act festgelegten Verpflichtungen nicht nachkommen, sollen wiederum drei Prozent des Vorjahresumsatzes oder mindestens 15 Millionen Euro Strafe zahlen. Wer inkorrekte Informationen über sein KI-Modell liefert, soll 1,5 Prozent des Umsatzes oder mindestens 7,5 Millionen Euro Strafe zahlen.

Für Startups und mittelständische Unternehmen sind aber geringere Strafen geplant. Genaue Details gibt es dazu aber noch nicht.

Mit dem Inkrafttreten der KI-Verordnung soll es dann auch neue Regulierungsbehörden geben. Innerhalb der EU-Kommission wird eine KI-Behörde eingerichtet, die die Einhaltung der Regeln für Basismodelle überwachen soll. Auf nationaler Ebene sorgen die jeweils zuständigen Behörden für die Einhaltung der Regelungen. Die wiederum sollen in einem EU-Ausschuss zusammenkommen, um so sicherzustellen, dass das Gesetz in den verschiedenen EU-Staaten einheitlich interpretiert wird.