Startschuss für die KI-Regulierung: Der EU AI Act ist final verabschiedet.

von: DMVÖ Präsidentin Alexandra Vetrovsky-Brychta

Nach drei Jahren zäher Verhandlungen ist es nun geschafft: Der AI Act wurde heute von den Mitgliedsstaaten der Europäischen Union beschlossen. Ab heute tickt die Uhr bis zum Inkrafttreten, das je nach Klassifizierung der Anwendung zwischen 6 und 36 Monaten liegen wird. Einen Überblick über diesen Zeitplan findet man bei der KI-Servicestelle der RTR GmbH hier.

EU als Vorreiter bei Regulierung statt Innovation?

Auf den ersten Blick könnte man meinen, dass die EU statt in Sachen KI-Modellen und Innovation nun zum „Vorreiter“ in Sachen KI-Regulierung geworden ist. Ganz so ist es jedoch nicht. Denn auch ohne AI Act ist Künstliche Intelligenz in Europa kein rechtsfreier Raum. Bestehende Gesetze wie die Datenschutz-Grundverordnung (DSGVO) oder das Urheberrecht regulieren KI bereits. Im AI Act steht ausdrücklich, dass die DSGVO unangetastet bleibt und deren Bestimmungen weiterhin Anwendung finden. Auch auf geltende Urheberrechtsgesetze wird im AI Act klar verwiesen. Spannend dabei: Das Urheberrecht ist in jedem Land unterschiedlich geregelt, im Gegensatz zur DSGVO, die EU-weit mehr oder weniger die gleiche Gültigkeit hat. Es ist daher wahrscheinlich, dass nicht der AI Act das entscheidende Regelwerk für den KI-Regulierungswettkampf sein wird, sondern vor allem das Urheberrecht eine maßgebliche Rolle spielt – und zwar weltweit. Aber bleiben wir in Österreich, wo es eine konkrete Regelung im Urheberrecht, § 42h, gibt, die besagt, dass Text- und Data-Mining (also die digitale Vervielfältigung von Texten, Daten, Bildern etc.) zwar für Forschungszwecke erlaubt ist, aber für kommerzielle Projekte nur, wenn ein rechtmäßiger Zugang erworben wurde. Dass dieses Feld bereits bespielt wird, zeigen Klagen namhafter Verlagshäuser wie etwa die New York Times gegen OpenAI und Microsoft.

Was gilt es jetzt zu tun?

Zurück zum AI Act: Was bedeutet das nun für die heimische Wirtschaft? Zunächst einmal Hausaufgaben und Prozessanalysen. Ähnlich wie bei der DSGVO gilt es nun, das Thema ernst zu nehmen und mit Vorbereitungen zu beginnen. Der AI Act verfolgt einen risikobasierten Ansatz zur Klassifizierung der Anwendungen von KI. Es wird in vier Gruppen unterschieden:

1. Inakzeptables Risiko für Anwendungen, die z.B. zu Manipulation führen könnten, wie „Social Scoring“. Diese Anwendungen sind gänzlich verboten.
2. Hohes Risiko für Anwendungen, die mit großer Wahrscheinlichkeit zu hohem Schaden führen könnten. Dazu gehören konkrete Anwendungen wie medizinische Anwendungen.
3. Begrenztes Risiko für Anwendungen, die mit hoher Transparenz risikominimiert werden können, wie etwa Chatbots oder Videoerstellung.
4. Minimales oder kein Risiko – wie z.B. Spamfilter, die keinen Bestimmungen unterliegen.

Als erster Schritt sollte also geprüft werden, in welche Kategorien die im Einsatz befindlichen KI-Anwendungen fallen. Denn danach leiten sich die Verpflichtungen ab. Insbesondere die Abgrenzung zwischen „hohem Risiko“ und „begrenztem Risiko“ wird entscheidend sein im Hinblick auf einzusetzende Ressourcen an Arbeitskraft und Budget. An Hilfestellungen hierzu wird gearbeitet, sowohl durch die KI-Servicestelle als auch durch uns. Der DMVÖ wird dazu weitere Wissensvermittlung anbieten, um seine Mitglieder mit konkreten Handlungsempfehlungen zu unterstützen. Sobald die Umsetzung in nationales Recht erfolgt ist und sowohl die KI-Servicestelle als auch die KI-Behörde ihre Arbeit voll aufgenommen haben, wird es laufend Informationsveranstaltungen dazu geben. Denn auch wenn der AI Act nun verabschiedet ist, die eigentliche Regulierungsarbeit beginnt erst jetzt, und wir sind gespannt auf die weiteren Entwicklungen.

Bleibt dran, beschäftigt euch mit dem Thema und integriert es bereits jetzt in eure Compliance-Prozesse. Der AI Act ist nur ein Baustein in Sachen Data- und AI-Compliance.