Gesetz über Künstliche Intelligenz (AI Act) – Endgültiges Verbot für Gesichtserkennungssoftware?

Suchmaschinen mit Gesichtserkennung wie PimEyes und Co. sind gefährlich, insbesondere für diejenigen, die für Ihre Sicherheit auf Anonymität angewiesen sind, wir berichteten. Dies hat auch die EU erkannt und plant ein Gesetz, um Künstliche Intelligenz (KI) zu regulieren – auch AI Act genannt. Mitte Juni hat sich nun das EU-Parlament auf seine Verhandlungsposition zum Gesetz geeinigt und die Regeln dabei verschärft.

Die EU wäre der weltweit erste Wirtschaftsraum, in dem KI gesetzlich reguliert ist. Bereits am 21.04.2021 legte die Europäische Kommission einen Entwurf des Gesetzes vor. Das Europäische Parlament hat nun in seiner Abstimmung vom 14.06.2023 über seine Position entschieden.  Damit können jetzt die Gespräche zur endgültigen Form des Gesetzes zwischen Kommission, Parlament und Rat beginnen. In seiner Pressemitteilung schreibt das Europäische Parlament:

„Die Vorschriften sollen dafür sorgen, dass in der EU entwickelte und eingesetzte KI in vollem Umfang den Rechten und Werten der Europäischen Union entspricht. Das umfasst, dass sie von Menschen beaufsichtigt wird, Anforderungen an Sicherheit, Datenschutz und Transparenz genügt, niemanden diskriminiert und weder Gesellschaft noch Umwelt schädigt.“

Das Europäische Parlament definiert ein KI-System als „ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren kann und das für explizite oder implizite Ziele Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das physische oder virtuelle Umfeld beeinflussen“, wodurch eine Vielzahl von Software unter das geplante Gesetz fallen würde. Die Vorschriften unterteilen deshalb die KI-Systeme nach der Größe der von ihnen ausgehenden Gefahr.

Verbotene KI-Praktiken

Bestimmte KI-Praktiken sollen verboten werden, welche laut der Pressemittelung „die menschliche Sicherheit in inakzeptabler Weise gefährden“.  Hierzu zählen:

• KI-Systeme, die unterschwellige Beeinflussung oder absichtlich manipulative oder täuschende Techniken einsetzen, um Personen Schaden zuzufügen (mit Ausnahme anerkannter therapeutischer Zwecke).
• Techniken, welche die Schwäche oder Schutzbedürftigkeit von Personen aufgrund bekannter oder vorhergesagter Persönlichkeitsmerkmale oder der sozialen oder wirtschaftlichen Situation, des Alters oder körperlicher/geistiger Fähigkeiten ausnutzt.
• „Systeme zur biometrischen Kategorisierung anhand sensibler Merkmale“ (z. B. Geschlecht, ethnische Zugehörigkeit etc.) mit Ausnahme therapeutischer Zwecke.
• Systeme zur Bewertung des sozialen Verhaltens.
• Biometrische Systeme zur Identifizierung von Personen in Echtzeit oder nachträglich an öffentlich zugänglichen Orten aus der Ferne.
• KI-Systeme, welche anhand von Profilen und Standorten von Personen das Risiko straffällig oder erneut straffällig zu werden einschätzen.
• KI-Systeme, welche Datenbanken zur Gesichtserkennung durch Auslesen aus dem Internet oder Überwachungskameras erstellen oder erweitern.
• Bei der Strafverfolgung, beim Grenzmanagement, am Arbeitsplatz und in Bildungseinrichtungen verwendete KI-Systeme zur Erkennung von Emotionen.

Hochriskante KI

Zu den hochriskanten KI-Systemen gehören unter anderem Systeme, welche ein erhebliches Risiko für die Gesundheit, Sicherheit und Grundrechte von Personen darstellen oder die Umwelt gefährden. Hierfür werden im Anhang III des Gesetzesentwurfs acht Kategorien von KI-Systemen benannt. Unternehmen sollten diesen Anhang künftig im Blick behalten, da dieser durch die Kommission geändert werden kann.

Je nach Risiko müssen umfangreiche Anforderungen eingehalten werden, wie beispielsweise die Registrierung in einer EU-Datenbank vor Marktzulassung, Risiko- und Qualitätsmanagement, Beaufsichtigung durch Menschen und umfangreiche Transparenzanforderungen. Als Beispiel müsste bei sogenannten Deepfake-Fotos die KI-Generierung offengelegt werden, um sie von echten Aufnahmen unterscheiden zu können. Darüber hinaus ist die Erzeugung von rechtswidrigen Inhalten zu verhindern, sowie eine detaillierte Zusammenfassung der Verwendung urheberrechtlich geschützter Daten zu dokumentieren und öffentlich zu machen.

Weitere Risikostufen, Förderung und Schutz der Bürger

Für KI mit minimalem oder keinem Risiko gibt es im Gesetzesentwurf kaum Einschränkungen. Für diese müssen lediglich allgemeine Grundsätze eingehalten werden wie menschliche Kontrolle und Überwachung, technische Robustheit und Sicherheit gegen Schäden und Cyberattacken, Einhaltung der Datenschutzgrundsätze und Verhinderung von Diskriminierung.

Ausnahmen soll es im Bereich von Forschungstätigkeiten geben; insbesondere sollen sogenannte Reallabore gefördert werden, welche es Behörden ermöglichen, KI-Anwendungen unter realen Bedingungen zu testen.

Jede natürliche Person soll ein Recht auf Beschwerde haben, welches bei einer nationalen Aufsichtsbehörde ausgeübt werden kann und es soll auch ein Europäisches Amt für künstliche Intelligenz eingerichtet werden.

Fazit

Auf Grund von Übergangsfristen ist frühstens 2026 mit der Anwendbarkeit der Verordnung zu rechnen. Trotzdem sollten Unternehmen schon frühzeitig prüfen, ob eigene Systeme unter das Gesetz fallen, da in der höchsten Sanktionsstufe bei der Verwendung von verbotenen KI-Systemen Geldbußen von bis zu 40 Millionen Euro oder bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres die Folge sein könnten.