AI Act: Nach dem EU-Rat stimmen Ausschüsse im EU-Parlament zu
Das Hin und Her der letzten Wochen beim europäischen AI Act ist beendet, der EU-Rat hat nun der Verordnung zugestimmt. Somit wird voraussichtlich noch in diesem Jahr ein Regelwerk in Kraft treten, das AI-Systeme wie ChatGPT reguliert.
Dass im Januar überhaupt noch Widerstand drohte, kam überraschend. Bereits im Dezember 2023 meldeten die EU-Institutionen Vollzug, die EU-Kommission sprach etwa von einem Meilenstein und dem ersten echten KI-Gesetz auf der Welt. Der Text war noch nicht final, man hatte sich aber verständigt, nun sollte es nur noch um technische Fragen gehen.
Umso verärgerter reagierten dann die Abgeordneten des EU-Parlaments, dass bei Themen wie der biometrischen Überwachung deutlich mehr Ausnahmen enthalten waren, als ursprünglich vereinbart. Auch in den Mitgliedsstaaten wurden nochmal kritische Stimmen laut. Kurzzeitig sah es so aus, als könnte die Bundesregierung das europäische Vorhaben blockieren. Insbesondere aus dem Lager der FDP drohte man mit einem Veto. Viele deutsche Verbände – darunter auch Verbraucherschützer – forderten jedoch eine Zustimmung, die am Ende erfolgte.
Nun bestätigte man aus dem EU-Rat, dass der finale Text akzeptiert wurde. Jetzt fehlt noch das EU-Parlament. Erwartet wird, dass die Abgeordneten bis April zustimmen – eigentlich eine Formalie, ganz ausschließen lässt sich zu diesem Zeitpunkt aber nicht, dass es nochmals turbulent wird. Sobald das Plenum im EU-Parlament das Gesetz bestätigt, kann dieser in Kraft treten. Bis die Regelungen gelten, dauert es aber nochmals zwei Jahre.
Lücken im Regelwerk
Was sich in den letzten Wochen aber nochmals zeigte, sind die Konflikte, die auch mit dem AI Act bestehen bleiben. Welche Lücken bestehen, analysierte etwa Netzpolitik.org. Probleme bestehen etwa sowohl bei der biometrischen Überwachung – also etwa der automatisierten Gesichtserkennung – sowie der Emotionserkennung. Dort wurden die Ausnahmen für Polizei und Sicherheitsbehörden erweitert, betroffen ist auch der Bereich Migrations- und Grenzpolitik. Ähnliches gilt auch für die Nationale Sicherheit, so können Staaten die Vorgaben umgehen, wenn es sich um KI-Systeme für militärische oder verteidigungspolitische Zwecke oder die nationale Sicherheit handelt.
Möglich ist aber, dass EU-Mitgliedsstaaten selbst nachschärfen, wenn sie den AI Act in nationale Gesetze umsetzen. „Um den bürgerrechtsverletzenden Einsatz von KI-gestützter biometrischer Gesichtserkennung bundesgesetzlich auszuschließen, werden wir die Freiheiten bei der nationalen Anwendung der europäischen KI-Verordnung nutzen“, sagt Maximilian Funke-Kaiser, digitalpolitischer Sprecher der FDP-Fraktion laut einem Bericht von Heise Online. Ähnlich äußern sich Vertreter von SPD und Grüne. Auch der Internetwirtschaftsverband Eco begrüßt solche Einschränkungen, um das Vertrauen der Bevölkerung nicht zu verspielen.
Der Bitkom warnt allerdings vor zu kleinteiligen nationalen Regelungen sowie Bürokratie. „Wenn wir wollen, dass Unternehmen in Europa und Deutschland weiterhin KI entwickeln und nutzen, müssen wir bei der Umsetzung des AI Act auf unnötige bürokratische Hürden und eine Konsistenz mit der existierenden Gesetzgebung achten“, so Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.
AI Act als Chance für Nutzerrechte
Dass die Bundesregierung im EU-Rat kein Veto einlegen soll, forderten zuletzt zahlreiche Organisationen in einem offenen Brief, den unter anderem auch Mozilla, der Verbraucherzentrale Bundesverband (vzbv), die Stiftung neue Verantwortung sowie zahlreiche Wissenschaftler unterschrieben. Die EU sei mit dem AI Act ein Pionier bei der KI-Regulierung, die Verordnung daher wegweisend. Ein „fehlender Rechtsrahmen (sei daher) angesichts der fortschreitenden Entwicklung von KI riskant für Grundrechtsschutz und Innovationen in Europa“, es drohe ein Flickenteppich nationaler Gesetze. Das wäre nicht nur ein Problem für kleinere Unternehmen, sondern würde die Entwicklung im KI-Markt im Endeffekt den USA und China überlassen.
Dass neben den Lücken auch Vorteile bestehen, heißt es auch in der Analyse von Netzpolitik.org. Dazu zählen vor allem die Pflichten für die Anbieter sowie die Rechte, die Nutzer erhalten.
Risikobasierter Ansatz für die Regulierung
Grundsätzlich verfolgt der AI Act einen risikobasierten Ansatz, der Anwendungen in vier Kategorien einstuft. Je riskanter die Technologie, desto strikter die Vorgaben. Systeme in der Kategorie 1 verstoßen gegen das EU-Recht und sind damit verboten. Die Liste umfasst Techniken für die Manipulation von Verhalten, das massenhafte Sammeln von Gesichtsbildern, das Identifizieren von Emotionen am Arbeitsplatz und in Bildungseinrichtungen sowie Social-Scoring-Systeme (wie in China).
Etwas aus der Reihe fallen die Large Language Models (LLM) sowie darauf basierende Technologien wie ChatGPT, weil es sich nicht um konkrete Anwendungen mit einem bestimmten Zweck handelt, sondern um allgemeine Systeme. Für solche sogenannten „General Purpose AI Systems“ wird nun ein zweistufiges Risikosystem geschaffen.
Darüber hinaus bietet der AI Act noch Fördermaßnahmen, um europäische Startups und Unternehmen zu unterstützen. Das erfolgt etwa mit einem erleichterten Zugang zu Supercomputern für das Training der Modelle.
Der AI Act nimmt die nächste Hürde: Der Ausschuss für den Binnenmarkt und Verbraucherschutz sowie der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres haben das KI-Gesetzeswerk mit 71 zu 8 Stimmen (7 Enthaltungen) abgesegnet. Nun fehlt noch die Mehrheit im Plenum des EU-Parlaments. Wenn die zuständigen Ausschüsse – vor allem mit einer so großen Mehrheit – für ein Gesetz stimmen, ist der letzte Schritt in der Regel nur noch eine Formsache.