18. August 2023
Regulierung generativer KI
Künstliche Intelligenz

KI-Verordnung – Die Regulierung generativer KI

Der Einsatz generativer KI-Systeme wird zukünftig wahrscheinlich durch die KI-VO reguliert, der Ende des Jahres in Kraft treten soll.

Künstliche Intelligenz (KI) und maschinelles Lernen haben sich in den letzten Jahren rasant entwickelt. Generative KI-Modelle können Konversationen simulieren, Fragen beantworten und eigenständig neue Inhalte generieren und haben das Potenzial, den beruflichen Alltag von Bereichen wie Journalismus bis hin zu Rechtsberatung zu revolutionieren. Einsatz und Entwicklung generativer KI werden zukünftig voraussichtlich durch das Gesetz über KI (KI-Verordnung, AI Act) reguliert, dessen ursprüngliche Fassung als Entwurf der Kommission durch die am 14. Juni 2023 festgelegte Verhandlungsposition des Parlaments einige Änderungen erfahren hat

Die Auswirkungen der KI-Verordnung in ihrer aktuellen Entwurfsfassung insbesondere auf generative KI sollen mit diesem und dem in unserer CMS Blog-Serie „Künstliche Intelligenz“ folgenden Beitrag näher untersucht werden. 

Chancen und Herausforderungen generativer KI

Generative KI (Generative Artificial Intelligence) ist der Oberbegriff für eine Form der KI, die mit statistischen Methoden neue Inhalte wie digitale Bilder, Videos, Audios, Texte oder auch Softwarecode auf Basis von Wahrscheinlichkeiten erzeugt. Basierend auf Techniken des maschinellen Lernens (Machine Learning) wird ein solches KI-System durch Algorithmen trainiert, die einen vorhandenen Datensatz analysieren und darin Verbindungen und Zusammenhänge identifizieren, und das daraus resultierende sogenannte „Modell“ schließlich nutzen, um Entscheidungen oder Vorhersagen für die Produktion neuer Inhalte zu treffen. Neben der Text- und Inhaltserstellung haben generative KI-Systeme ein weites Anwendungspotenzial, das von Kundenservice, Portfoliomanagement, Musikkomposition, Schaffung von Kunstwerken, Bildbearbeitung, Forschung, Programmierung bis hin zu virtuellen Assistenten reicht.

Wie bei jeder neuen Technologie gibt es bei der Entwicklung und dem Einsatz von generativer KI aber auch Risiken. Die Qualität der von einer generativen KI erzeugten Inhalte und Ergebnisse hängt von der Qualität, dem Inhalt und der Menge der Datengrundlage ab, mit denen das KI-System trainiert wird. Deswegen verwundert es nicht, dass KI-Modelle zwar auf den ersten Blick richtig gute Ergebnisse etwa auf juristische Fragen liefern können, diese Antworten bei genauerer Hinsicht aber nichts mit dem deutschen Recht zu tun haben, falls der Trainingsdatensatz dieses nicht umfasst. Die produktive Nutzung von generativer KI setzt (abgesehen von einem genauen Prompt) also voraus, dass sie mit den richtigen und passenden Daten trainiert worden ist.

Die Verwendung von Datenmengen für das Training einer KI kann je nach Art und Herkunft der Daten grundrechtsrelevante Auswirkungen auf den Schutz von geistigem Eigentum, die Privatsphäre und den Schutz von persönlichen oder sensiblen Daten haben. Wird ein KI-Modell mit ungefilterten, frei aus dem Internet abrufbaren Daten trainiert, spiegeln sich in den von der generativen KI produzierten Inhalten auch in den Datenmengen angelegten gesellschaftlichen Vorurteile wider – die von einer KI produzierten Inhalte können diskriminierend und rassistisch sein, wenn sie nicht gefiltert werden oder bei dem Training der KI eingegriffen wird. 

Regulierung in der EU durch die KI-Verordnung

Ethische und rechtliche Rahmenbedingungen für die Entwicklung und den Einsatz von KI soll innerhalb der Europäischen Union (EU) neben der Richtlinie über KI-Haftung die KI-Verordnung schaffen. Nach der Veröffentlichung des Vorschlags für eine KI-Verordnung (Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für KI (Gesetz über KI, COM(2021) 206 final, 2021/0106(COD)) durch die Kommission am 21. April 2021 wird die KI-Verordnung im Gesetzgebungsprozess von den verschiedenen EU-Institutionen geprüft und diskutiert. 

Am 14. Juni 2023 hat das Europäische Parlament seine Verhandlungsposition angenommen, wobei der ursprüngliche Vorschlag der Kommission nicht unerheblich überarbeitet wurde. So soll nun etwa der Anwendungsbereich auch auf Anwender* mit Niederlassung außerhalb der EU noch einmal erheblich erweitert werden, KI-Systeme in Sozialen Medien können als hochriskant eingestuft werden, allgemeine Prinzipien für den Einsatz und die Entwicklung von KI-Systemen werden festgelegt und eine neue EU-Institution, das AI-Office, eingerichtet.

Im nächsten Schritt stehen Gespräche mit den Mitgliedsstaaten über den finalen Verordnungstext an. Mit einer endgültigen Fassung der KI-Verordnung wird Ende des Jahres 2023 gerechnet.

Das Ziel der KI-Verordnung ist es, zum einen klare Regeln für den Umgang mit KI-gesteuerten Systemen aufzustellen, um Diskriminierung, Überwachung und andere potenziell schädliche Auswirkungen zu vermeiden, insbesondere im grundrechterelevanten Bereich. Gleichzeitig sollen zum anderen der Wettbewerb in der EU gefördert und die Position Europas im globalen KI-Wettbewerb gestärkt werden.

Anwendungsbereich der KI-Verordnung: Generative KI wird grundsätzlich erfasst

Der Anwendungsbereich der KI-Verordnung ist sowohl in sachlicher als auch personeller Hinsicht denkbar weit. Definiert und erfasst werden in der aktuellen Fassung KI-Systeme als maschinen-basierte Systeme, die so konzipiert sind, dass sie mit unterschiedlichen Graden an Autonomie operieren und für explizite oder implizite Ziele Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen können, die die physische oder virtuelle Umgebung beeinflussen können (Art. 3 Nr. 1). Während die Definition in dem Vorschlag der Kommission auf in Anhang I der KI-Verordnung Bezug nahm, in dem Techniken und Konzepte wie maschinelles Lernens oder Deep Learning aufgeführt wurden, werden in der Verhandlungsposition diese Bezugnahme sowie Annex I gestrichen. 

Gelten soll die KI-Verordnung in der aktuellen Fassung des Art. 2 für jegliche Anbieter und Anwender (deployer) von KI-Systemen – unabhängig davon, ob sie in der Union oder in einem Drittland niedergelassen sind – und alle in der Union niedergelassenen oder ansässigen Händler, Einführer von KI-Systemen, von Anbietern von KI-Systemen Bevollmächtigte und Hersteller bestimmter Produkte sowie in der EU ansässige Betroffene, deren Gesundheit, Sicherheit oder Grundrechte durch die Nutzung eines KI-Systems erheblich beeinträchtigt werden.

Generative KI-Systeme sowie ihre Anbieter, Händler, Einführer und Produkthersteller fallen daher grundsätzlich in den Anwendungsbereich der KI-Verordnung.

KI-Systeme und ihr Risikopotenzial: Der risikobasierte Ansatz der KI-Verordnung

Die KI-Verordnung kategorisiert KI-Systeme im Hinblick nach ihrem Risikopotenzial für Gesundheit, Sicherheit und die Grundrechte natürlicher Personen: 

  • unannehmbares Risiko (Verbotene Praktiken),
  • hohes Risiko (Hochrisiko-KI-Systeme),
  • näher bestimmte KI-Systeme (Transparenzbestimmungen),
  • ein geringes oder minimales Risiko (Generelle Anforderungen und freiwillige Verhaltenskodizes).

Eine Einstufung generativer KI in eine der Risikokategorien kann dabei nicht pauschal oder anhand der Funktionsweise vorgenommen werden. Vielmehr kommt es maßgeblich auf die konkrete Zweckbestimmung und Anwendungsmodalitäten der Entwicklung oder des Einsatzes des generativen KI-Systems an. 

Ergänzung des Vorschlags der KI-Verordnung um allgemeine Prinzipien für alle KI-Systeme

Der Verordnungsvorschlag der Kommission, der lediglich die Grundlage für freiwillige Verhaltenskodizes für Anbieter sonstiger KI-Systeme vorsah, wurde in der aktuellen Fassung um generelle und auf alle KI-Systeme anwendbaren allgemeine Prinzipien ergänzt. Alle Akteure, die in den Geltungsbereich der KI-Verordnung fallen, sollen sich nach besten Kräften bemühen, KI-Systeme oder Basismodelle – unabhängig von deren Risikoeinstufung – nur im Einklang mit allgemeinen Grundsätzen für einen ethischen und vertrauensschaffenden Umgang mit KI im Einklang mit Grundrechten und Werten der EU zu entwickeln und einzusetzen (Art. 4a):

  • Menschliche Aufsicht: KI-Systeme sollen als Werkzeuge entwickelt und eingesetzt werden, die dem Menschen dienen, Menschenwürde und persönliche Freiheit respektieren und ihre Funktionsweise eine angemessene Kontrolle und Überwachung durch den Menschen gewährleisten.
  • Technische Robustheit und Sicherheit: Bei Entwicklung und Einsatz von KI-Systemen sollen unbeabsichtigte und unerwartete Schäden minimiert sowie Robustheit im Falle unbeabsichtigter Probleme und die Resilienz gegen Versuche, die Nutzung oder Leistung des KI-Systems zu verändern, um eine unrechtmäßige Nutzung durch böswillige Dritte zu ermöglichen, gewährleistet werden.
  • Schutz der Privatsphäre und Datenschutz: KI-Systeme müssen im Einklang mit den geltenden Vorschriften über den Schutz der Privatsphäre und Datenschutz entwickelt und eingesetzt werden und dabei Daten verarbeiten, die hohen Qualitäts- und Integritätsstandards genügen.
  • Transparenz: KI-Systeme müssen in einer Weise entwickelt und eingesetzt werden, die eine angemessene Nachvollziehbarkeit und Erklärbarkeit ermöglicht, wobei den Menschen bewusst gemacht werden muss, dass sie mit einem KI-System kommunizieren oder interagieren, und die Nutzer über die Fähigkeiten und Grenzen dieses KI-Systems und die Betroffenen über ihre Rechte ordnungsgemäß informiert werden müssen.
  • Vielfalt, Nichtdiskriminierung und Fairness: KI-Systeme müssen in einer Weise entwickelt und genutzt werden, die unterschiedliche Akteure einbezieht und den gleichberechtigten Zugang, die Gleichstellung der Geschlechter und die kulturelle Vielfalt fördert. Diskriminierende Auswirkungen und unfaire Vorurteile, die nach Unionsrecht oder nationalem Recht verboten sind, müssen dabei vermieden werden.
  • Soziales und ökologisches Wohlergehen: KI-Systeme sollen in einer nachhaltigen und umweltfreundlichen Art und Weise entwickelt und eingesetzt werden, die allen Menschen zugutekommt, wobei die langfristigen Auswirkungen auf den Einzelnen, die Gesellschaft und die Demokratie überwacht und bewertet werden.

Diese generellen Prinzipien werden für Anbieter und Anwender von Hockrisiko-KI-Systemen in den konkreten Anforderungen an Hochrisiko-Systeme (Art. 8-15) und jeweils relevanten Pflichten konkret umgesetzt. Für Basismodelle (foundation models) werden sie ebenfalls durch die KI-Verordnung ausformuliert (Art. 28-28b) und müssen von Anbietern eingehalten werden. 

Halten KI-Systeme die Bestimmungen von Art. 28, die Transparenzpflichten (Art. 52) oder harmonisierte Normen, technische Spezifikationen oder Verhaltenskodizes (Art. 6) ein, sollen sie den generellen Prinzipien genügen. Neue Verpflichtungen unter der KI-Verordnung sollen durch die allgemeinen Prinzipien aber nicht geschaffen werden (Art. 4a Abs. 2).

Anbieter und Anwender aller KI-Systeme sollen darüber hinaus geeignete Maßnahmen treffen, um ausreichende KI-Kompetenz (AI literacy) im Hinblick auf ihre Arbeitnehmer und andere mit dem Betrieb und Nutzung der KI-Systeme betrauten Personen sicherzustellen (Art. 4b). Dafür sind insbesondere technische Kenntnisse, Erfahrung, Ausbildung und die konkreten Anwendungsmodalitäten des KI-Systems relevant. Solche geeigneten Maßnahmen sind dabei die Unterweisung in grundlegenden Begriffen und Kenntnissen über KI-Systeme und ihre Funktionsweise, einschließlich der verschiedenen Arten von Produkten und Verwendungen sowie ihrer Risiken und Vorteile.

Die KI-Verordnung reguliert künftig wohl auch generative KI 

Generative KI wird grundsätzlich vom Anwendungsbereich der KI-Verordnung erfasst werden und bei ihrem Einsatz und Entwicklung müssen die allgemeinen Prinzipien der KI-Verordnung beachtet werden. Welche KI-Systeme als Verbotene Praktiken gar nicht zugelassen sind und welche Anforderungen außerhalb der Verbotenen Praktiken an KI-Systeme gestellt werden und welche Pflichten ihre Anbieter, Anwender oder sonstige Beteiligte in der KI-Wertschöpfungskette treffen, hängt von der Klassifizierung der jeweiligen generativen KI anhand ihrer Zweckbestimmung und konkreten Anwendungsbereichen ab. Während KI-Systeme mit unannehmbarem Risiko ganz verboten werden, liegt der Fokus der Regulierung durch die KI-Verordnung dabei auf Hochrisiko-KI-Systemen, deren Anbieter, Anwender, Einführer und Händler sowie sonstige Beteiligte in der KI-Wertschöpfungskette umfangreiche Pflichten erfüllen müssen. 

Auch vor der Rechtsberatung macht KI keinen Halt. Dies hat CMS bereits früh erkannt: Wie künstliche Intelligenz die Arbeit in Kanzleien verändert (cmshs-bloggt.de)Auf unserer Innovationen-Homepage und in unserem CMS To Go Podcast „Einfach.Innovativ“ erhalten Sie weitere Informationen.

In unserem CMS-Blog halten wir Sie in unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend mit aktuellen Beiträgen zu diesen Themen auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Themen wie: Künstliche Intelligenz und der Journalismus der ZukunftEndspurt für die Regulierung von KIVerbotene Praktiken und Hochrisiko-KI-SystemeHochrisiko-KI-Systeme als regulatorischer SchwerpunktPflichten entlang der Wertschöpfungskette und für Anbieter von BasismodellenTransparenzpflichten, Rechte für Betroffene, AI Office und Sanktionen sowie Robo Advisor. Weitere Informationen finden Sie zudem auf unserer Insight-Seite: Implikationen für Künstliche Intelligenz und Recht | CMS Deutschland.

Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Tags: künstliche Intelligenz Regulierung generativer KI