Magazine ed*
ed* Nr. 02/2024

Das KI-Gesetz:
Europas Weg in die digitale Zukunft

ed* Nr. 02/2024 – Kapitel 2

Die EU hat es sich zur Aufgabe gemacht, die Möglichkeiten von KI zu nutzen und Innovationen in diesem Bereich zu fördern, gleichzeitig aber ihre sichere und verlässliche Anwendung sicherzustellen. Die Notwendigkeit für eine Regulierung ergibt sich für die EU aus den Risiken, die bestimmte KI-Systeme für die Sicherheit und die Wahrung der Grundrechte ihrer Nutzerinnen und Nutzer mit sich bringen, nicht zuletzt durch fehlende Transparenz. Dies kann zu mangelndem Vertrauen, Rechtsunsicherheit und der langsameren Verwendung von KI in vielen Bereichen führen. Vor allem aber läuft der unregulierte Einsatz von KI Gefahr, Diskriminierungen der analogen Welt zu verschärfen. Solche möglicherweise unrechtmäßigen Benachteiligungen sind eine besonders große Herausforderung beim Einsatz von KI in der Verwaltung von öffentlichen Diensten, und damit auch im Bereich der Sozialversicherung.


Bei der Regulierung von KI verfolgt die EU einen wertebasierten Ansatz, der auf die Europäische Erklärung zu den digitalen Rechten und Grundsätzen für die digitale Dekade1 zurückgeht. In dieser im Jahr 2022 von Kommissionspräsidentin, Parlamentspräsidentin und Präsident des Rates unterzeichneten Erklärung sind Vorgaben für eine auf den Menschen ausgerichtete, vertrauenswürdige und ethische KI enthalten. KI-Systeme sollen laut der Erklärung unter anderem nicht dazu genutzt werden, die Entscheidungen von Menschen in Bezug auf Gesundheit und Beschäftigung vorwegzunehmen. Schon vor der Unterzeichnung der Erklärung hatte die Europäische Kommission mit einem aufwendigen und umfassenden Konsultationsprozess für ein KI-Gesetz begonnen, für das sie schließlich 2021 einen Vorschlag vorlegte.

Weltweit erste Regulierung von KI

Die Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz2 – das sogenannte KI-Gesetz – ist zentraler Bestandteil eines umfassenderen Maßnahmenpakets der EU zur Unterstützung einer vertrauenswürdigen KI. Es soll den Spagat schaffen zwischen dem Schutz der Sicherheit und der Grundrechte von Menschen und Unternehmen sowie der Förderung von Investitionen und Innovation im Bereich KI. Nach schwierigen und langen Verhandlungen zwischen Europäischem Parlament und Rat der EU ist das KI-Gesetz am 1. August 2024 in Kraft getreten. Es gilt sektorenübergreifend, um konkurrierende Gesetzgebung in bestimmten Bereichen zu unterbinden. Unter dem KI-Gesetz gelten KI-Systeme als bis zu einem gewissen Grad autonom arbeitende, maschinengestützte Systeme, die aus erhaltenen Eingaben je nach Anwendungsbereich etwa Vorhersagen, Empfehlungen oder Entscheidungen ableiten.



Der Balanceakt zwischen einem hohen Schutzniveau und Innovationsförderung soll im KI-Gesetz durch einen risikobasierten Ansatz gelingen. Dieser sieht vor, dass KI-Systeme zunächst bewertet und je nach Risikopotenzial in vier Klassen eingeteilt werden: unannehmbares Risiko, Hochrisiko, begrenztes Risiko und minimales Risiko. Je höher das Risiko bei der Anwendung eingeschätzt wird, desto strenger sind die auferlegten Vorschriften, denen Anbieter und Betreiber der betroffenen KI-Systeme Folge leisten müssen. Auch Behörden oder sonstige öffentliche Einrichtungen, die ein KI-System in eigener Verantwortung verwenden, müssen sich daran halten. Die europäischen Vorschriften reichen von der Kennzeichnung über die Einhaltung von Dokumentations- und Sorgfaltspflichten bis hin zum vollständigen Verbot für unzulässige Anwendungen. Die Intensität der Regulierung hängt also von dem Risiko ab, das mit dem Einsatz des jeweiligen KI-Systems verbunden ist.

Fokus auf KI-Systemen mit hohem Risiko

Entsprechend legt die KI-Verordnung den Fokus auf die beiden höchsten Risikoklassen. Für Anwendungen mit einem geringen Risiko gelten lediglich eingegrenzte Transparenz- und Informationspflichten. KI-Systeme, von denen ein unannehmbares Risiko ausgeht, werden dagegen verboten. Hierzu zählen etwa Emotionserkennungssysteme am Arbeitsplatz und in Schulen, soziale Klassifizierungen von Menschen auf Grundlage von Verhalten, sozioökonomischem Status und persönlichen Merkmalen (soziales Scoring) sowie die biometrische Identifizierung und Kategorisierung natürlicher Personen.


Ebenfalls stark reguliert werden sogenannte Hochrisiko-KI-Systeme, von denen nach dem KI-Gesetz ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen ausgeht. Hierzu zählen KI-Systeme, die in den Bereichen Zugänglichkeit und Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten und Leistungen der Daseinsfürsorge eingesetzt werden. Dies meint unter anderem Gesundheitsdienste und soziale Dienste, die Schutz in Fällen wie Mutterschaft, Krankheit, Arbeitsunfall, Pflegebedürftigkeit oder Alter gewähren. Ebenfalls als Hochrisiko-KI-Systeme eingeordnet werden Systeme, die für die Risikobewertung und Preisbildung in Bezug auf Lebens- und Krankenversicherungen verwendet werden. Dies betrifft zwar nicht die gesetzliche, aber durchaus die private Krankenversicherung.


Risikopyramide

Die Grafik zeigt die Pyramide der Risiken aufgeteilt in 4 Bereiche. Die Pyramidenstruktur verdeutlicht, dass in der Spitze das höchste Risiko herrscht und weiter nach unten das Risiko abnimmt. Der oberste Bereich steht für ein unannehmbares Risiko, der zweite Bereich für ein hohes Risiko, der dritte Bereich für ein begrenztes Risiko und die Basis für ein geringes Risiko.
Eigene Darstellung auf Basis von Informationen der Europäischen Kommission


Wenn KI-Systeme eingesetzt werden, um zu bestimmen, ob zum Beispiel Gesundheitsdienste, Leistungen der sozialen Sicherheit und soziale Dienste gewährt oder verweigert werden sollten, können sie erhebliche Auswirkungen auf die Lebensgrundlage von Personen haben und ihre Grundrechte wie das Recht auf sozialen Schutz, Nichtdiskriminierung und Menschenwürde verletzen. Entsprechend diesem von ihnen ausgehenden hohen Risiko sind die Regelungen für diese Systeme umfassend. Beispielsweise müssen ­Anbieter und Betreiber dieser Systeme ein Risikomanagementsystem einrichten, Qualitätsmanagement- und Informationspflichten erfüllen, die Genauigkeit, Robustheit und Sicherheit des Systems sicherstellen und das System laufend überwachen und gegebenenfalls korrigieren. Die Missachtung der Vorgaben in der KI-Verordnung zieht erhebliche Sanktionen nach sich.