Der AI-Act ist eine Verordnung zu Künstlicher Intelligenz (KI), die vom Europäischen Parlament am 14. Juni 2023 beschlossen wurde. Die Europäische Union will mit diesem KI-Gesetz die Risiken von KI einhegen. Das Gesetz tritt jedoch frühestens 2026 in Kraft.
Die Schweiz ist kein Mitgliedsstaat der EU, doch auch Akteure ausserhalb der EU, die KI entwickeln oder nutzen, müssen sich an die Regelungen halten.
Was ist das KI-Gesetz?
Das KI-Gesetz, auch englisch als AI-Act oder EU Artificial Intelligence Act bezeichnet, dient der Regulierung von Künstlicher Intelligenz und gilt auch für Entwickler, Anbieter und Nutzer von KI ausserhalb der EU. Daher treffen die Regelungen auch für Unternehmen und Privatpersonen in der Schweiz zu, die sich mit KI beschäftigen. Der AI-Act ist das weltweit erste Gesetz zur Regelung von KI.
Ziel des Gesetzes ist die Begrenzung der wachsenden Macht von KI-Systemen und deren Entwicklern. Im Mittelpunkt der Entwicklung von KI müssen Grundrechte und Freiheiten stehen. KI-Systeme sollen verboten werden, wenn sie für die Bürger und die Demokratie ein inakzeptables Risiko beinhalten.
Inhalte des AI-Acts
Der AI-Act soll KI-Anwendungen stärker und wirksamer regulieren. Da sich KI-Anwendungen autonom verhalten, ist deren Verwendung komplex und undurchsichtig. Für personenbezogene Daten und die Grundrechte der Menschen kann KI eine Gefahr darstellen. Das Gesetz sieht vor, ein Europäisches Amt für KI zu schaffen, um die KI-Anwendungen zu überwachen.
Das KI-Gesetz beinhaltet eine Einstufung von KI-Systemen abhängig von ihren Risiken und unterscheidet zwischen risikoarmer KI, begrenzt riskanter KI und Hochrisiko-KI. Für alle Anwendungen, die Menschen unterdrücken können, gilt gemäss Gesetz ein Verbot. Unter dieses Verbot fallen auch Überwachungssysteme auf der Basis natürlicher Daten wie die Gesichtserkennung in Echtzeit oder die automatische Erkennung von Emotionen, wie sie von Ermittlungsbehörden genutzt werden könnte.
AI-Act und der Chatbot ChatGPT
Unter den AI-Act fällt auch der Chatbot ChatGPT, der ab dem Inkrafttreten des Gesetzes strengere Transparenzanforderungen erfüllen muss. Die Nutzung von Chatbots wie ChatGPT ist im Artikel 28 b des AI-Acts geregelt. ChatGPT darf nur von denjenigen genutzt werden, die sich an die Regelungen des Gesetzes halten. Das betrifft auch die Inbetriebnahme von ChatGPT.
Inhalte, die mit ChatGPT generiert werden, müssen entsprechend gekennzeichnet werden. Die Verantwortlichen sind verpflichtet, der Generierung rechtswidriger Inhalte vorzubeugen.
Förderung von KI und Schutz der Grundrechte mit dem AI-Act
Kern des AI-Acts sind die Förderung von KI und der Schutz der Grundrechte. Das Gesetz verfolgt mehrere Ziele:
- Sicherheit von KI-Systemen, die innerhalb der EU auf den Markt kommen, und Wahrung der bestehenden Werte und Grundrechte der EU
- Förderung von Investitionen in KI und Schaffung umfassender Regelungen für die Rechtssicherheit
- Stärkung der Steuerungsmöglichkeiten des KI-Marktes und Wahrung der Grundrechte
- Entwicklung eines einheitlichen europäischen Binnenmarktes für sichere, vertrauenswürdige und rechtskonforme KI-Anwendungen
Regelungen zu KI in der Schweiz
Der AI-Act gilt nicht nur für Unternehmen mit Sitz in der EU, sondern auch für Unternehmen aus anderen Ländern wie der Schweiz, die innerhalb der EU aktiv sind. Für Schweizer Unternehmen gelten neben dem KI-Gesetz der EU auch die Datenschutz-Grundverordnung (DSGVO) und das Schweizer Datenschutzgesetz (DSG). Schweizer Unternehmen, die den Bestimmungen von DSGVO und DSG unterliegen, müssen prüfen, ob für sie zusätzliche Verpflichtungen gemäss des AI-Acts gelten.
Die Schweiz ist aktiv mit der Forschung und Entwicklung von KI beschäftigt. Sie ging bislang eher locker mit der Regulierung von KI um. Aufgrund des wachsenden Drucks durch die EU-Mitgliedsstaaten und nach der Einführung von ChatGPT hat sie ihre Position geändert und spricht sich für Regulierungsansätze zu KI aus. Die Regulierungsansätze müssen mit der KI-Verordnung der EU vereinbar sein. Um weiterhin in EU-Ländern tätig sein zu dürfen, müssen Schweizer Unternehmen, die sich mit KI beschäftigen, die Bestimmungen des AI-Acts einhalten.
Klassifizierung von KI-Systemen nach ihrem Risikopotenzial
Schweizer Unternehmen müssen ihre KI-Systeme sorgfältig analysieren und gegebenenfalls anpassen. Auch für sie gilt die Einstufung von KI-Systemen in vier Kategorien, je nach Risikopotenzial:
- Minimales Risiko: keine spezifische Regulierung für als minimal riskant eingestufte Anwendungen
- Begrenztes Risiko: Pflicht zur Information und Warnung von Nutzern bei Anwendungen mit begrenztem Risiko, zu denen auch ChatGPT gehört
- Hochrisiko-KI-Systeme: umfassendes Risikomanagementsystem, beispielsweise bei der Verwaltung öffentlicher Dienstleistungen
- Unzulässige Risiken: generelles Verbot für Anwendungen, die Grundrechte massiv gefährden
Datenschutzgesetz der Schweiz und KI
Das Schweizer Datenschutzgesetz ist ein technologieneutraler gesetzlicher Rahmen und auch relevant für KI-Anwendungen. Einige Instrumente des Datenschutzgesetzes sind auch auf KI-Systeme anwendbar:
- Privacy by Design und Privacy by Default: Dieser Grundsatz schreibt vor, dass bei der Entwicklung und Anwendung von KI-Systemen von Anfang an der Datenschutz berücksichtigt werden muss.
- Automatisierte Einzelentscheidungen: Vollautomatische Entscheidungen, die ohne menschliches Eingreifen getroffen werden, fallen unter das DSG und unterliegen Informations- und Auskunftspflichten.
- Biometrische Daten: Um biometrische Daten zu bearbeiten, muss ein Rechtfertigungsgrund oder die Einwilligung der betroffenen Person vorliegen.
- Zuweisung von Verantwortlichkeiten: Die Verantwortlichen müssen die rechtlichen Rahmenbedingungen einhalten.
- Profiling: Für das Profiling durch Bundesorgane oder private Dienste, das für betroffene Personen ein hohes Risiko darstellt, muss die ausdrückliche Einwilligung vorliegen.
- Datenschutz-Folgenabschätzung: Bestehen Risiken beim Einsatz von KI-Systemen, sind entsprechende Massnahmen zu ergreifen.
Bildquelle: pexels.com