Liebe Leserinnen und Leser,
die Europäische Union hat mit dem AI Act, zu deutsch auch als EU-KI-Verordnung bezeichnet, das erste Regelwerk für einen sicheren Einsatz von Künstlicher Intelligenz verabschiedet. Wer KI-gestützte Produkte herzustellen beabsichtigt oder nutzt, sollte dieses zumindest in groben Zügen kennen. Da empfiehlt sich eine Zusammenfassung der „Plattform für Künstliche Intelligenz“.
Wer genau wissen will, was im „Artificial Intelligence Act“ geschrieben steht, der lese das 458-seitige Original. Dieses steht auf der Seite des Europäischen Parlaments, europarl.europa.eu (Kurzlink https://tinyurl.com/mpw875dj). Ich empfehle Ihnen für den Anfang stattdessen eine von seriöser Quelle bereitgestellte und sehr gut lesbare Zusammenfassung: „AI Act der Europäischen Union – Regeln für vertrauenswürdige KI“. Sie stammt von der „Plattform für Künstliche Intelligenz“ (www.plattform-lernende-systeme.de, Kurzlink https://tinyurl.com/mu233zfu), die wiederum vom Bundesministerium für Bildung und Forschung sowie der Deutschen Akademie der Technikwissenschaften gefördert wird. Es lohnt sich, für den Anfang die kurze Zeit in die Lektüre dieser zehnseitigen Zusammenfassung zu investieren. Es gibt selbstverständlich auch zahlreiche andere Erklärquellen, die jedoch bisweilen den Nachteil haben, dass ihre Absender Ihnen etwas verkaufen wollen.
Das Papier geht sogleich in medias res und fasst sich zum Einstieg „IN KÜRZE“ sogar selbst noch einmal zusammen. Demnach schafft der AI Act einen einheitlichen verbindlichen Rechtsrahmen für einen vertrauenswürdigen Einsatz von KI in der EU. KI-Systeme mit unannehmbaren Risiken werden verboten. Dazu gehört z. B. die biometrische Echtzeitüberwachung im öffentlichen Raum (es gibt Ausnahmen für die Terrorismusabwehr). KI-Systeme mit hohen Risiken müssen bestimmte Sicherheitsvorschriften erfüllen und KI-Modelle wie ChatGPT werden abhängig von ihrer Rechenleistung in einem gestuften Ansatz reguliert.
Die Abbildung einer Risikopyramide mit vier Ebenen – vom minimalen Risiko an der Basis zum unannehmbaren an der Spitze – wird allgemein verständlich erläutert. Auf der dritten Ebene „Hohes Risiko“ werden unter anderem Systeme der kritischen Infrastruktur und Sicherheitskomponenten von Produkten aufgezählt. Dazu folgen Informationen über die Art und Weise der Prüfung solcher Hochrisiko-KI-Systeme. An oberster Stelle wird die Einrichtung eines Risikomanagementsystems genannt. Wer ein KI-System mit hohen Risiken in der EU auf den Markt bringen will, muss die vier Schritte Folgenabschätzung, Konformitätsbewertung, Registrierung und Konformitätserklärung gehen.
Auch zum aktuellen Handlungsbedarf trifft das Papier eine übersichtliche Aussage: Verbote gelten nach sechs Monaten und Vorschriften für GPAI-Modelle (General Purpose AI, z. B. ChatGPT) nach 12 Monaten. Die KI-Verordnung ist zwei Jahre nach Inkrafttreten anwendbar. Der Sicherheits-Berater wird die noch ausstehende Ausarbeitung von Normen durch die europäischen Normungsinstitutionen für Sie im Auge behalten.