EU-Parlament gibt grünes Licht für KI-Gesetz

Straßburg – Das EU-Parlament gibt grünes Licht für schärfere Regeln für Künstliche Intelligenz (KI) in der Europäischen Union. Die Parlamentarier stimmten heute in Straßburg mehrheitlich für das Gesetz. Nach Angaben des Parlaments handelt es sich um das weltweit erste KI-Gesetz. Demnach sollen KI-Systeme künftig in verschiedene Risikogruppen eingeteilt werden. Je höher die potenziellen Gefahren einer – beispielsweise medizinischen – Anwendung sind, desto höher sollen die Anforderungen sein.

Das nun anstehende Gesetz geht auf einen Vorschlag der EU-Kommission aus dem Jahr 2021 zurück. Systeme, die als besonders risikoreich gelten und beispielsweise in kritischen Infrastrukturen oder im Gesundheitswesen eingesetzt werden, müssen demnach strenge Anforderungen erfüllen.

Bestimmte KI-Anwendungen, die gegen EU-Werte verstoßen, sollen ganz verboten werden. Dazu gehört beispielsweise die Bewertung von sozialem Verhalten („Social Scoring“). Damit werden die Bürgerinnen und Bürger in China in Verhaltenskategorien eingeteilt. Und auch eine Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen soll es in der EU nicht geben.

Auch die Gesichtserkennung im öffentlichen Raum – also zum Beispiel durch Videoüberwachung an öffentlichen Plätzen – soll grundsätzlich nicht erlaubt sein. Dabei gibt es jedoch Ausnahmen: Polizei und andere Sicherheitsbehörden sollen eine solche Gesichtserkennung im öffentlichen Raum nutzen dürfen, um ganz bestimmte Straftaten wie Menschenhandel oder Terrorismus zu verfolgen.

Künstliche Intelligenz bezeichnet meist Anwendungen auf Basis maschinellen Lernens, bei denen eine Software große Datenmengen nach Übereinstimmungen durchforstet und daraus Schlussfolgerungen zieht. Sie werden schon jetzt in vielen Bereichen eingesetzt. Zum Beispiel können solche Programme Aufnahmen von Computertomografen schneller und mit einer höheren Genauigkeit als Menschen auswerten.

Mit der Zustimmung des Parlaments kann das Regelwerk nun in Kraft treten. Zuvor hatten Unterhändler von Europaparlament und EU-Ländern im Dezember nach langen Verhandlungen eine Einigung über eine Regulierung erzielt. Anfang Februar stimmten auch Vertreter der EU-Staaten dem Vorschlag formell zu.

Für die Mitgliedsstaaten bedeutet das nun, dass sie zunächst schrittweise verbotene Systeme außer Betrieb nehmen müssen. Nach zwei Jahren sollen alle Punkte des Gesetzes vollständig umgesetzt sein.

Die Mitgliedstaaten müssen etwa Sanktionen beschließen, wenn Unternehmen die Vorschriften nicht einhalten. Dies können Geldstrafen sein. Privatpersonen, die Verstöße gegen die Vorschriften entdecken, können sich bei nationalen Behörden beschweren. Diese können dann Überwachungsverfahren einleiten und gegebenenfalls Strafen verhängen.

Auch für andere digitale Anwendungen sollen die Regeln verschärft werden: Bereits gestern verabschiedeten die Abgeordneten des EU-Parlaments auch den sogenannten Cyber Resilience Act. Er sieht neue Sicherheitsstandards für vernetzte Geräte und Software vor, die Cyberangriffe erschweren sollen.

Medizinprodukte sind davon zwar ausgenommen, da sie bereits anderweitig reguliert werden. Geräte wie Smartwatches oder Fitnessarmbänder, die Biodaten aufzeichnen, fallen jedoch darunter.

Je nach Geräteklasse oder Softwareart sollen unterschiedliche Sicherheitsstandards gelten, wobei die Zuordnung zu den unterschiedlichen Klassen die Europäische Kommission vornehmen soll. In höheren Sicherheitsklassen sollen benannte Stellen die Zertifizierung der Produkte übernehmen.

Hersteller sollen außerdem verpflichtet werden, Sicherheitsupdates künftig mindestens fünf Jahre lang anzubieten und sie organisatorisch von Funktionsupdates zu trennen. Der Europäische Rat muss das Gesetz noch formal bestätigen, bevor es in Kraft tritt.

dpa/ lau