AI Act und seine Stufen
Der AI Act oder auch die KI-Verordnung ist nach einem risikobasierten Ansatz aufgebaut. Es gibt inakzeptable Risiken und damit einhergehend auch KI-Systeme, die verboten sind. Dazu gehört etwa das sogenannte Social-Scoring. Diese Systeme sind bereits seit Anfang des Jahres verboten. Nun soll in einem nächsten Schritt GPAI reguliert werden. General Purpose AI sind jene Basismodelle, die für allgemeine Zwecke eingesetzt werden können – darunter fallen also die GPT-Modelle von OpenAI, Metas Llama oder Googles Gemini. Über die geplante Regulierung sprechen wir in diesem Deep-Dive des Podcasts mit Arnika Zinke, digital-politische Beraterin aus dem EU-Parlament. Denn der eigentliche Fahrplan scheint ins Wanken geraten zu sein. Doch Zinke sagt, viele Sorgen und Gerüchte seien unbegründet und zum Teil sogar mit Absichten gestreut.
Die kommende Stufe des AI Acts bringt noch eine weitere Unterteilung der Größe der Modelle mit – Größe meint verschiedene Kennzahlen wie etwa Parameter, aber auch Nutzer. Besonders große Modelle müssen mehr Pflichten einhalten. Ob auch KI-Modelle von dem französischen Anbieter Mistral oder der Bildgenerator Flux von Black Forest Labs dazugehören, ist noch unbekannt.
Für alle Anbieter von GPAI ist ein Code of Practice vorgesehen, eine Hilfe zur Umsetzung der Verordnung. An dem arbeiten, wie Zinke erklärt, Menschen aus der Politik, von Unternehmen, aus der Wissenschaft und aus der Zivilgesellschaft. Dabei sei dem Parlament besonders wichtig gewesen, dass Experten dabei sind, die den Aussagen der Big-Tech-Unternehmen etwas entgegenhalten können, also etwa, wenn die KI-Anbieter behaupten, etwas sei technisch gar nicht möglich, um Regulation abzuwenden.
Code of Practice für KI-Anbieter
"Grundsätzlich ist es so, dass kein Provider dem folgen muss, es ist ein freiwilliger Code, und man kann auch auf andere Weise den AI Act umsetzen", sagt Zinke. Deswegen sei auch die ganze Debatte, die es aktuell gebe, um diese Unterschrift vor allem von den Big-Tech-Firmen gepusht. Es klinge derzeit manchmal, als könne der ganze AI Act noch scheitern. Dem sei nicht so, versichert Zinke. Es gehe aktuell darum, ob es eine längere Implementierungspflicht geben könne.
Zinke rechnet damit, dass der Code of Practice sehr zeitnah veröffentlicht wird. Eigentlich sollte er bereits im Mai verfügbar sein. Nun bleibt den Anbietern wenig Zeit für die Umsetzung, allerdings seie diese ja bei der Ausarbeitung des Codes dabei gewesen.
KI-Regulierung nur für große Anbieter
Zur Regulierung für GPAI gehören etwa Transparenzpflichten, es soll offengelegt werden, welche Daten für das Training genutzt wurden, es gehe um den Energieverbrauch.
"Und dann gibt es eben noch diesen kleinen Extra-Teil, der nur wirklich für die absoluten Top-Modelle gilt, die entweder sehr viel Energie verbrauchen beziehungsweise sehr viel Computerkapazität verwenden oder die zum Beispiel von sehr, sehr vielen Menschen genutzt werden", sagt Zinke. Für diese Top-Modelle gelten dann noch zusätzliche Risikoabschätzungen, die sie machen müssen, und die sie der Kommissionvorlegen müssen. "Da reden wir zum Beispiel von Risikoabschätzungen; ob sich die KI sozusagen verselbstständigen kann, ob es zu Nuklearkatastrophen kommen kann oder großen Infrastrukturproblemen." HInzukämen Abschätzungen, die Desinformationen und Diskriminierung betreffen, sowie Data-Poisoning, also absichtlich vergiftete Trainingsdaten.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Podcasts immer laden
Standards und die Simplifizierung
Neben dem Code of Practice soll es auch bei der Ausarbeitung der Standards zu Verzögerungen kommen. Wo genau es hapert, ist allerdings derzeit unklar. Es steht im Raum, ob es hier einen Stop-the-Clock geben wird, also einen Aufschub. Auch Henna Virkkunen, Vize-Exekutivpräsidentin der Kommission, hat bereits bestätigt, dass darüber gesprochen werde. Damit soll Unternehmen mehr Zeit bei der Umsetzung gelassen werden, bis alle Fragen geklärt sind.
Problematisch erscheinen vielen Anbietern die Überschneidungen mit der DSGVO. Es geht etwa um Auskunftspflichten und das Recht auf Richtigstellung bei Daten zur eigenen Person. Geplant ist eine Überprüfung der Gesetze, doch diese Simplifizierung, die dabei herauskommen soll, wird frühestens gegen Ende des Jahres Ergebnisse bringen. "Dem möchte ich nicht vorhergreifen, denn der Sinn dieses Digital Fitness Checks ist ja genau herauszufinden, wo es Schwierigkeiten gibt." Idealerweise hätte man natürlich Überschneidungen und Widersprüche bereits bei der Erarbeitung der Gesetze ausgebügelt. Laut Zinke nutzen aber aktuell gerade solche Akteure, denen die DSGVO schon immer ein Dorn im Auge war, dieses Narrativ der Simplifizierung und unnötigen Überschneidungen sowie der Überregulation.
Dabei findet Zinke, sei es enorm wichtig, dass Unternehmen Rechtssicherheit haben und es ein einheitliches Regelwerk gebe. Oft werde vergessen, dass gerade diese Rechtssicherheit einen Rahmen bilde, in dem Startups gedeihen können. "Auch in den USA ist fehlende Regulierung ein Problem, jeder Bundesstaat hat andere KI-Gesetze, und schlussendlich übernehmen die großen Unternehmen einfach jedes Startup."
(emw)
English (US) ·