Der EU AI Act: Inhalt, Technologien, Strafen und was die Regulierung für Unternehmen bedeutet.

Update 19. April 2024: Korrigierte Version veröffentlicht

Worum geht es?

Der EU AI Act der in den letzten Wochen in diversen Vorentwürfen diskutiert, teilweise auch mit gigantischen Überarbeitungstabellen über LinkedIn geleakt wurde, wurde nun vom EU-Parlament verabschiedet. Eine korrigierte Version des Acts wurde am 19.4. von der EU veröffentlicht. In meinem Artikel geht es um Folgendes:

• Was reguliert der Act?
• Welche Unternehmen sind davon betroffen?
• Welche Technologien fallen darunter?
• Wie schlimm ist es? Reguliert die EU hier wieder eine digitale Industrie zu Tode?

Inhalt und Abgrenzung

Der Act ist das zentrale Regelwerk zur KI, auch wenn andere Regeln, wie GDPR, Digital Markets Act, Digital Services Act,  Data Governance Act und Data Act jeweils AI-Anwendungen mitbetreffen bzw. mitbetreffen werden. Der Act ist ein mehr als hundertseitiges Papier mit einer sehr detaillierten Regulierung von KI und soll von seinen Regelungen und neu geschaffenen Institutionen eine zentrale Säule eines Framework der Regulierung von allem Digitalen in der EU sein.

Zeitleiste / Roadmap:

21.04.2021: Erster Entwurf des Acts durch die EU Kommission

06.12.2022: Genereller Ansatz des Acts wird festgelegt durch EU Rat (Vertreter der Staaten)

09.12.2023: Rat und Parlament einigen sich auf Textvorschlag

22.01.2024: Der fast finale Text mit den Änderungsentwürfen aller Seiten wurde geleakt

02.02.2024: Frankreich und Deutschland, die beiden einzigen Staaten mit nennenswerten AI-Startups in der EU geben die meisten ihrer Vorbehalte auf, ein paar Fragestellen sind noch offen.

13.03.2024: Verabschiedung im EU Parlament 

19.4.2024: Veröffentlichung umfassend korrigierter Version: https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138-FNL-COR01_EN.pdf

Mai 2024: Veröffentlichung des Gesetzes im Amtsblatt der EU

2024-2025: Die EU wird eine Behördenstruktur (AI Office, AI Board, etc.) aufbauen, die versucht, die Regeln durchzusetzen und weiter zu gestalten.

Q4 2024: Die Regelungen zu verbotenen KI-Anwendungen treten in Kraft

Q2 2025: Die Regelungen zu generativer AI treten in Kraft

Q2 2026. Die Regelungen zu Hochrisikosystemen treten in Kraft        

(alle Daten in der Zukunft estimated)

Für welche Technologien gilt das?

In Anhang I des ursprünglichen Proposals wurde der Anwendungsbereich klar definiert: Aufgeführt sind unter anderem deep, supervised, unsupervised learning. Damit fiele praktisch die gesamte generative KI unter die Definition des Acts (z.B. ChatGPT, andere LLMs, Bildgenerierungsmodelle wie Stable Diffusion oder Dall-E, etc.). Im Gesetz wurde das wieder durch die schwammigere Formulierung „AI is a machine-based system designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate output ...“. Hm, das gilt eigentlich für jedes hinreichend komplexe System. Gemeint ist aber weiterhin KI, so wie sie allgemein verstanden wird.

Für welche Anwendungsbereiche gilt der Act?

1. Für in der EU in Verkehr gebrachte KI
2. Für von EU-Bürgern genutzte KI
3. Für KI-Ergebnisse (was auch immer das sein mag), die in der EU verbreitet werden

Für was gilt es nicht?

1. Nicht für reine Forschungs- und Entwicklungsvorhaben
2. Nicht für die Veröffentlichung von Open Source Models / Software – sondern nur für deren Verwendung (also „in Verkehr bringen“) - allerdings gibt es hier auch ein paar Regelungen, unter die auch Open Source fällt
3. Nicht für Militär und alle Anwendungsgebiete im Bereich der nationalen Sicherheit
4. Für die Strafverfolgung gibt es Ausnahmen der eigentlich verbotenen KI

Wozu braucht man das?

KI Regulierung ist wichtig und viele Regierungen arbeiten daran. Allein z.B. um festzustellen, wem welches Ergebnis von AI zuzuschreiben ist und wer wie für was haftet. Das steht aber leider nicht im AI Act. Diesen EU AI Act braucht außer den EU-Verantwortlichen so richtig dringend niemand. Die EU-Chiefs in Straßburg und Brüssel wollten einfach als Erste mit einer KI-Regulierung eine Duftmarke setzen und haben sich damit selbst unter Druck gesetzt. Das hat auch dazu geführt, dass das Dokument in Teilen mit heißer Nadel gestrickt wurde, wenig praxisbezogen und oft nicht auf dem Stand der Technik ist. Was die EU-Kollegen als Motivation für den Act nennen, ist ein Sammelsurium an verschiedenen, sicherlich gutgemeinten Zielen.

Ist das der Todesstoß für die europäischen AI-Industrie?

Aus meiner Sicht, nein. Viele Praktiker und einige Politiker (unter anderem der französische Präsident Macron) haben kritisiert dass der AI Act Innovation in Europa bremsen wird und den europäischen AI-Gründern massiv schaden wird.

"Wir können beschließen, viel schneller und stärker zu regulieren als unsere großen Konkurrenten. Aber wir werden Dinge regulieren, die wir nicht mehr produzieren oder erfinden werden. Das ist keine gute Idee."

Emmanuel Macron

Macron hat recht, es ist ein zusätzlicher, heftiger Layer an Bürokratie und Einschränkungen für einige Anwendungen und macht das Arbeiten für Unternehmen und vor allem für Startups im Bereich generativer AI schwieriger. Der Hauptgrund, warum sich in Europa kein der USA vergleichbares Ecosystem an AI-Playern entwickelt, liegt aber meines Erachtens eher an den Einschränkungen im Bereich der Kapitalmärkte für Startups und Technologieunternehmen insgesamt in Europa. Ob mit oder ohne AI Act: Mistral und Aleph Alpha wird es wahrscheinlich weiter geben, aber sie werden trotz großartiger Ideen und Produkte auf lange Sicht nur sehr schwer - vielleicht in bestimmten Nischen - mit den amerikanischen Unternehmen konkurrieren können. Damit teilen sie das Schicksal fast der gesamten digitalen Industrie Europas.

Ist das eine Hilfe, ein Orientierungsrahmen für die Industrie?

Margrethe Vestager, die EU Chefin für Wettbewerb und Digitales, sagt, dass der Act Innovation nicht behindert, sondern befördert und klare Vorgaben schafft.

Das macht er in der jetzigen Form nicht. Er schafft keinen Rahmen, weil er eher eine Sammlung von verschiedenen, oft überschneidenden Vorschriften ist und eine strukturierte Sicht auf das Feld fehlt. Und die Entwickler, die Anwender von KI profitieren nicht: Es gibt in dem Act nahezu keinen einzigen Absatz, der es für Unternehmen einfacher macht, als vor dem Act, KI zu entwickeln, zu testen, zu nutzen, auszurollen. Aber, es gibt aber immerhin (siehe unten) sehr große Anwendungsbereiche, in denen sich die Situation nicht verschlechtert zum heutigen Status Quo.

Open Source

Es zieht sich durch das gesamte Dokument. Für die Produzenten von Open Source Modellen / Software gibt es in vielen Bereichen signifikante Ausnahmen von den relativ umfassenden Dokumentations-, Melde- und Nachweispflichten.

Generative KI / Foundation Models

Generative KI, die nach dem ChatGPT-Release auch auf dem Radar der EU auftauchte, wurde erst in den letzten Überarbeitungen des Entwurfs im Dezember integriert, man nennt die generative KI in der EU „general-purpose AI“. Hier werden vorrangig die Anbieter der Modelle reguliert, also z.B. Unternehmen wie OpenAI, Meta, Google oder z.T. wissenschaftliche Einrichtungen, aber nicht die Anwendungsentwickler.

Risikobasierter Ansatz

Es gibt im Act ganz wenige Bestimmungen, die sich auf alle AI-Systeme und Modelle beziehen. Nahezu alle Vorschriften, Regulierungen und zum Teil auch die Strafen sind auf Risikoklassen der AI bezogen – deswegen ist es extrem wichtig, sie zu verstehen. Der Act selbst ist nicht sehr systematisch strukturiert – ein Erbe des Entstehungsprozesses. Eine gründliche Analyse fördert diese Risikokategorien zu Tage:

Basierend auf der Risikobewertung, was muss ein Unternehmen bei der Entwicklung von AI Lösungen tun?

Hier gibt es sehr viele Regelungen, von denen der größte Teil bei den Hochrisiko-Anwendungen aufgeführt ist:

Innovationsförderung

Die EU hat in das Gesetz auch einige sogenannte „Maßnahmen zur Innovationsförderung“ beschrieben: Erstens sollen sogenannte Sandboxes eingerichtet, werden, in denen Unternehmen unter „behördlicher Anleitung“ und der Beachtung einer Reihe von Regeln einigermaßen regulierungsfrei mit KI und echten Nutzern experimentieren können - aber ohne die AI vermarkten zu dürfen. Der Grundgedanke der Sandbox ist sehr gut, hier kommt es auf die Umsetzung an.

Zweitens: Startups werden nicht ausgenommen von dem Wust an Regeln, sondern die nationalen Regierungen werden verpflichtet, den AI Act möglichst gut an kleinere Unternehmen zu kommunizieren (wie, wird auf mehreren Seiten ausdetailliert): Das ist eigentlich keine Innovationsförderung, sondern ein Eingeständnis des Scheiterns beim verständlichen und strukturierten Abfassen des Textes.

Insgesamt ist das natürlich enttäuschend wenig an Innovationsförderung. Hier wäre es spannend gewesen, nicht nur Bürokratie auf-, sondern auch abzubauen, in dem KI-Entwickler z.B. von bestimmten Produkthaftungs-, Datenschutz- oder Copyright-Regeln ausgenommen werden, die Anwendungs- und Modelentwicklung bremsen.

KI Behörden

Für die Einhaltung der Vorschriften baut die EU eine umfangreiche Behördenstruktur auf. Es wird geben

• eine neue Superbehörde der EU (AI Office) zur Überwachung der Regeln und Sanktionierung von Verstößen
• ein AI Board – politische Vertreter der Mitgliedsländer, die mit Office, Kommission und den Experten kommunizieren   
• diverse Experten-Panels (Beratung der Behörden hinsichtlich AI)
• Stakeholder-Foren von AI-Betroffenen – das ist schon wieder ein interessanter Gedanke - wer ist denn hier nicht betroffen?
• und dazu noch mindestens eine zuständige AI-Behörde in jedem Mitgliedsland  – es dürfen dort aber auch mehrere sein.

Strafen

Die Strafen für Verstöße gegen den AI Act gehen bis 7% des Jahresumsatzes eines Unternehmens. Ziemlich heftig dafür, dass bei einem Verstoß typischerweise nichts wirklich passiert, sondern z.B. eine Dokumentationspflicht verletzt wurde. Es gibt aber auch Kategorien von Verstößen, bei denen die Strafen nur noch bei 1% oder 3% des Jahresumsatzes liegen. Startups können einen Extra-Rabatt bekommen.

Das Beste am AI Act

Das Beste ist, was im AI Act gar nicht explizit drin steht: Ein sehr großer Teil der AI wird, da unkritisch, überhaupt nicht oder sehr schwach (Hinweispflicht) reguliert und kann auch nicht (so einfach) von Mitgliedsländern reguliert oder eingeschränkt werden.

Fazit

Insgesamt ist der Act leider nur mittelprächtig. Aus einer Sicht von jemand, der mit KI arbeitet, bekäme er eine 3-4 nach dem deutschen Schulnotensystem. Zugute halten muss man der EU, dass es einfach noch etwas früh ist, um eine vernünftige, wirkungsvolle aber auch pragmatische Gesetzgebung zu dem Thema zu machen.

Positiv für alle, die mit KI arbeiten und Lösungen entwickeln:

1. Der risikobezogene Ansatz im Act ist smart und die Ausnahme nichtriskanter KI-Anwendungen von Vorschriften
2. Die verbotenen Anwendungsbereiche sind richtig gewählt. Hier stellt sich nur die Frage, warum sie in einem AI Act auftauchen: Das Social Scoring, die biometriebasierte Totalüberwachung, die Manipulationssoftware sollte doch genauso verboten sein, wenn ich es schaffe, sie in einem klassischen (regelbasierten) System umzusetzen.
3. Sandboxes zum Experimentieren mit etwas weniger Bürokratie – das ist ein weiterer schlauer Ansatz, der sich auf viele andere techniknahe Regulierungsfelder übertragen lässt
4. Die Abschwächung von Dokumentations- und vielen anderen Anforderungen für Open Source Software ist wegweisend
5. Die Abmilderung von Anforderungen für Startups und KMUs – auch wenn das in der Praxis kaum relevant ist, weil nicht sehr weitgehend. Hier stimmt zumindest die Richtung.

Negativ:

1. Es ist unklar, was die EU damit erreichen will: Es werden extrem heterogene Ziele aufgeführt von Gesundheit über Demokratie, Human Centric AI und Austausch von Gütern bis hin zu Verhinderung von Überregulierung (sic!) – das kann dieser Act ganz sicher nicht leisten. Und wahrscheinlich auch ein guter Act nur schwer.
2. Es werden hypothetische Risiken reguliert: Es gibt wenige Beispiele, bei denen Menschen durch AI schwer geschädigt oder gar ums Leben gekommen sind – verglichen mit normalen Lebensrisiken wie Straßenverkehr (zehntausende von Toten, Millionen von Verletzten im Straßenverkehr der EU pro Jahr), Alkohol, Zigaretten, verbotene Drogen, Krankenhauskeime oder ungesunde Lebensmittel. Fast der gesamte EU AI Act adressiert hypothetische Risiken, die aufwändig reguliert werden, bei denen aber unklar ist, ob und wie sie sich in Wirklichkeit manifestieren.
3. Fehlender Fokus: Es wurden sehr viele heterogene Einzelpunkte ins Gesetz aufgenommen, anstatt zu entscheiden was wichtig oder nicht wichtig ist – dadurch liegt der Act bereits ohne die Anhänge bei über 100 Seiten schwammigen Legalese. Das macht es wenig praktikabel für eine Arbeit im Alltag von Unternehmen, die ja eigentlich die Adressaten sein müssten: Die Folge ist absehbar: Entweder man beschäftigt sich intensiv und mit vielen Ressourcen mit dem Act (Großunternehmen) oder man ignoriert es erstmal (Startups) oder man lässt von dem Thema AI erstmal die Finger (wahrscheinlich große Teile des Mittelstands). Die nette Geste im Gesetz, die nationalen Regierungen zu verpflichten, den AI Act gut zu kommunizieren, kann das Scheitern der Gesetzgeber an dieser Stelle nicht übertünchen.
4. Papier statt Problemlösung. Bei der Mitigation von Risiken verlässt man sich zu stark auf umfassende Dokumentations-, Spezifikations-, Mitteilungs-, Zertifizierungs- und Registrierungsprozesse plus Meldepflichten. Alles sehr aufwändiges Paperwork – aber unklar, was ein System wirklich sicherer macht. Wenn ich den Ansatz der EU auf die Straßenverkehrsordnung übertrage, dürfte ich mit 5 km/h oder auch mit 250 km/h durch eine Spielstraße fahren – aber nur wenn ich jeweils Gründe dokumentiere, dass die Geschwindigkeit angemessen ist. Ach ja - und wenn ich die Behörden und Anwohner vorher informiert habe. Einerseits unpraktisch, andererseits aber auch ziemlich riskant.

Leider hat die EU die Chance verpasst, der europäischen AI-Industrie einen deutlichen Schub zu geben durch eine einfache, erleichternde, innovationsfördernde Regulierung. Die EU-Verantwortlichen werden ja nicht müde zu betonen, dass sie Hochtechnologie in Europa fördern wollen – aber in diesem Fall muss man leider sagen „this act speaks louder than words“.

Und wie geht es jetzt weiter?

Unternehmen sollten sich auf das Gesetz einstellen. Für die meisten Anwendungen sind die Regulierungen nicht sehr aufwändig oder es gibt es gibt keine.

Also, liebe AI aficionados, seht Euch den Act an, aber bitte, bitte macht weiter in der Entwicklung und verliert Euch nicht in Bürokratie und in "wir können nicht", "wir dürfen nicht"!

Für KI in den EU-Risikobereichen wie Fahrzeugen wird die begleitende Bürokratie allerdings ein Zeitfresser bzw. eine Entwicklungsbremse, die noch on-top kommt zu der gesamten, nicht sehr schlanken bisherigen Regulierung der Bereiche.