Was darf Künstliche Intelligenz – und was nicht? Nach jahrelangen Verhandlungen gibt die EU nun endlich eine Antwort auf diese Fragen. Mit dem AI Act soll zum ersten Mal ein umfangreiches Regelwerk für den Einsatz von KI gelten. Was Startups künftig beachten müssen und welche Chancen und Herausforderungen damit verbunden sind, zeigen wir in diesem Beitrag.
Was ist der AI Act?
Der AI Act ist eine Verordnung der EU zur Regulierung von Künstlicher Intelligenz (KI). Er zielt darauf ab, erstmals einen klaren Rahmen für die Entwicklung und den Einsatz von KI festzulegen. Zwar gibt es hierzu bereits in den USA oder China erste Ansätze, allerdings ist der europäische Entwurf das bisher umfangreichste Regelwerk. Der erste Vorschlag für die Verordnung lag bereits 2021 vor, allerdings kam es innerhalb der EU zu zähen Verhandlungen über die Details. Am 9. Dezember 2023 haben sich die Unterhändler nun auf die abschließenden Kernpunkte geeinigt. Neben dem Zukunftsfinanzierungsgesetz ist der AI Act damit das zweite wichtige Regelwerk, das besonders auch die Arbeit von Startups beeinflusst.
Risikosystem: Was ist im AI Act geregelt?
Kern des AI Acts ist ein risikobasierter Ansatz. KI-Anwendungen sind demnach in vier Risikostufen eingeteilt. Das Prinzip: Je höher das Risiko, desto höher sind auch die Anforderungen an die Anbieter der Modelle. Bei Verstößen müssen sie künftig mit hohen Strafen rechnen. Unterschieden werden dabei die folgenden Risikoklassen:
- Verbotene KI-Anwendungen: Für bestimmte KI-Anwendungen sieht der AI Act generelle Verbote vor. Vor allem geht es dabei um die willkürliche Überwachung von Menschen im öffentlichen Raum. Ein Beispiel ist das US-Startup Clearview AI, das Gesichter in sozialen Meiden erfasst und in einer riesigen Datenbank speichert. Dieser Praxis möchte die EU zwar einen Riegel vorschieben, gleichzeitig soll es aber auch Ausnahmen geben: Bei akuten Gefahren – beispielsweise durch Terroranschläge – soll die gezielte Suche nach konkreten Verdächtigen erlaubt sein.
- Hochrisiko-KI-Anwendungen: Strenge Auflagen sollen für sogenannte Hochrisiko-Systeme gelten. Darunter fallen sämtliche Anwendungen, die Einfluss auf die Sicherheit, Gesundheit oder kritische Infrastruktur nehmen können. Gemeint ist damit beispielsweise eine KI, die für autonome Autos oder in medizinischen Geräten eingesetzt wird. Auch der Einsatz im Personalbereich – etwa bei der Filterung von Bewerbungen – fällt in diese Kategorie. Anbieter dieser Modelle sind dann verpflichtet, ihre Systeme stetig zu überwachen und die Behörden über potenzielle Fehler zu informieren. Hierzu sollen sie nicht nur ein Risiko- und Qualitätsmanagementsystem einrichten, sondern auch eine genaue technische Dokumentation über das KI-System erstellen.
- KI-Anwendungen mit begrenztem Risiko: Lockerer sind die Regeln für KI-Systeme mit begrenztem Risiko. In erster Linie bezieht sich dies auf Chatbots oder die Erstellung sogenannter Deep Fakes. Als wichtigste Auflage gilt hierbei die Transparenz: Anbieter der Modelle müssen ihre Nutzer:innen stets darüber informieren, dass sie mit einem KI-System interagieren. Betroffen wäre hiervon etwa das Düsseldorfer Startup Cognigy, das Unternehmen einen KI-Bot für Kundenanfragen anbietet. Auch Deep Fakes müssen künftig klar als solche gekennzeichnet sein. Relevant ist das zum Beispiel für das Berliner Startup Brighter AI, das mit seiner Deep Learning Software die Gesichter von Personen in Videos austauschen kann.
- Freie KI-Anwendungen: Keine Anforderungen sind für KI-Systeme mit geringem Risiko vorgesehen. Grundsätzlich bezieht sich dies auf alle Anwendungen, die nicht in drei genannten Kategorien fallen. Dazu zählen zum Beispiel KI-basierte Videospiele oder auch Spamfilter.
GPT, LLaMA und Co.: Welche Regeln gelten für die großen Basismodelle?
Zu den größten Streitpunkten über den AI Act zählte bis zuletzt die Regulierung großer KI-Basismodelle wie GPT von OpenAI. Das Problem: Andere Anwendungen können über einen Open Source Ansatz auf den Modellen aufbauen und für verschiedenste Zwecke eingesetzt werden – sogenannte General Purpose AI (GPAI). Auch hier unterscheidet die EU nach dem Risiko: Grundsätzlich sind die Anbieter verpflichtet, ihre Trainingsdaten und Testverfahren transparent zu machen.
Diese lockeren Auflagen sollen vor allem für Modelle gelten, die unter einer Open-Source-Lizenz zugänglich gemacht werden. Allerdings: Basismodelle, die ein systemisches Risiko darstellen, müssen höhere Anforderungen beim Risikomanagement und der Cybersicherheit erfüllen. Entscheidend für die Einstufung ist dabei die Rechenleistung, die zum Training der Modelle eingesetzt wird. Laut einer Einschätzung des KI-Bundesverbands unterschreitet beispielsweise das Basismodell des deutschen Soonicorn Startups Aleph Alpha diese Grenze aktuell noch.
Welche Folgen hat der AI Act für Startups?
Der AI Act legt in erster Linie klare Regeln für die Entwicklung und den Einsatz von KI-Modellen fest. Betroffen sind dabei nicht nur die Anbieter großer Basismodelle, sondern auch Startups, die auf dieser Basis neue Geschäftsmodelle entwickeln. Gleichzeitig soll KI künftig noch stärker als Treiber für wirtschaftliches Wachstum dienen. Konkret bietet der AI Act für Startups daher folgende Chancen und Herausforderungen:
- Innovationen von Startups fördern: Um Startups weiterhin eine Tür für neue Geschäftsmodelle zu öffnen, hat die EU sich grundsätzlich auf lockere Regeln für Open-Source-Modelle geeinigt. Dazu sieht der AI Act aber auch sogenannte „regulatory sandboxes“ vor: In kontrollierten Umgebungen sollen Unternehmen eine Möglichkeit haben, neue KI-Anwendungen vor ihrer Markteinführung zu testen. Vor allem Startups soll dies eine Chance geben, ihre Innovationen unter realen Bedingungen weiter entwickeln zu können. Eine vergleichbare Umgebung bietet zum Beispiel das Fraunhofer Institut für den Test von 5G-Technologien an. Auch das Modellprojekt der Founders Foundation in Bielefelder Schulen soll Startups die Tür zu neuen Geschäftsfeldern öffnen.
- Vertrauen von Nutzer:innen stärken: Der AI Act zielt darauf ab, das Vertrauen der Öffentlichkeit in KI-Anwendungen zu stärken. Helfen sollen dabei Transparenzpflichten, die beispielsweise beim Einsatz von Chatbots gelten. Letztlich kann ein höheres Vertrauen in KI-Modelle dabei helfen, dass künftig noch mehr Nutzer:innen die Dienste in Anspruch nehmen. Startups, die transparente und ethische KI-Lösungen anbieten, können davon profitieren.
- An neue Regelungen anpassen: Klar ist, dass Startups ihre KI-Anwendungen künftig an den AI Act anpassen müssen. Wie hoch der Aufwand dabei ist, hängt vom jeweiligen Use-Case ab. Entwickeln Startups beispielsweise ein System für den medizinischen Sektor, bewegen sie sich im Hochrisiko-Bereich und unterliegen somit strengeren Auflagen. Die Anpassung an neue Vorschriften kann dann auch mit zusätzlichen Kosten einhergehen. Allerdings: Stützen sie sich dabei auf den Open-Source-Ansatz, ist hierbei bereits der Anbieter des Basismodells verpflichtet, eine Grundlage für die Compliance-Anforderungen zu bieten. Aktuell sind große Unternehmen hierzu noch nicht verpflichtet.
Wann tritt der AI Act in Kraft?
Ausblick: Der AI Act als Blaupause?
Der AI Act schafft einen wegweisenden Rahmen für den zukünftigen Einsatz von KI. Zunächst sollten sich Startups daher mit den neuen Regulierungen auseinandersetzen und ihre Geschäftsmodelle anpassen – je schneller, desto besser. Gleichzeitig müssen aber auch die großen Anbieter von Basismodellen auf neue Vorschriften reagieren und für ihre Open-Source-Lösungen mehr Transparenz sicherstellen. Letztlich kann durch den AI Act daher auch das Vertrauen in KI gestärkt werden, wovon KI-Startups profitieren können. Mit der Verordnung gilt die EU als internationaler Vorreiter in puncto KI-Regulierung. Auch wenn der AI Act zunächst nur in der EU gilt, könnte er daher eine Blaupause für andere Staaten wie die USA sein.
