My next 'Bericht aus Brüssel' in the 1st issue in 2024 of the RDV (Fachzeitschrift für Datenschutzrecht) swiftly summarize the results of the AI Act trilogue negotiations as agreed to in December 2023.
Below my contribution for RDV 1/24:
Nach einem Verhandlungsmarathon von fast drei Tagen Anfang Dezember scheint die Zukunft der KI-Verordnung gesichert. Die Vertreter der Mitgliedstaaten der EU, die Kommission und das Europaparlament haben zäh gerungen und wollen, dass Europa ein starkes und gutes Signal für eine vertrauenswürdige KI in die Welt sendet.
Im Detail ist noch vieles streitig. Im Grundsatz soll es einen risikoorientierten Ansatz geben, der gestufte Regeln, abhängig vom Risiko vorsieht, das von einer KI ausgeht. Anwendungen mit minimalem Risiko, die etwa Produkte zum Kauf empfehlen, sollen von strengen und speziellen Verpflichtungen befreit sein. Risikoreiche Anwendungen, die in der Verordnung so präzise wie möglich benannt werden, müssen strenge und spezifische Verpflichtungen erfüllen.
Das gilt etwa für KI-Systeme, die Einfluss auf den Zugang zu Bildungseinrichtungen haben, oder für solche die in der Medizin oder in der Rechtspflege eingesetzt werden. Sie müssen nachweislich robust und störungsfrei laufen und ihre Betreiber müssen deren Aktivitäten transparent machen und protokollieren und sie müssen Sicherheit gegenüber Hackerangriffen aufweisen. Manche Systeme sind auch ganz verboten, weil sie ein nicht akzeptables Risiko aufweisen. Das gilt etwa für Sprachsysteme, die Menschen manipulieren oder gar Kinder negativ beeinflussen können oder Anwendungen, die Staaten einsetzen können, um Bürger zu bewerten.
Am Ende des Verhandlungsmarathons konnten sich Kommission, Rat und Parlament unter anderem auf verbindliche Regeln für sog. GPAI-Modelle einigen. Der Begriff des GPAI-Modells soll dabei den bisher genutzten Begriff der Foundation Models im Sinne der Zukunftsoffenheit der Verordnung ablösen. In der KI-Verordnung soll die Regulierung der GPAI-Models anhand eines zweistufigen Ansatzes verfolgt werden. Demnach treffen die Entwickler kleinerer GPAI-Modelle wie etwa das deutsche Unternehmen Aleph Alpha hauptsächlich Transparenzpflichten. Sie müssen technische Dokumentationen erstellen und diese an Aufsichtsbehörden und an Unternehmen weitergeben, die das Modell in eigene KI-Systeme einbinden wollen. Auf der zweiten Stufe der Regulierung stehen die sogenannten systemischen GPAI-Modelle. Diese werden zunächst auf Basis verschiedener Kriterien, unter anderem der zum Training benötigten Rechenleistung, von der Kommission ausgewählt und unterliegen dann weitergehenden Pflichten. Dazu gehören neben der technischen Dokumentation verpflichtende Maßnahmen zur Gewährleistung von Cybersecurity sowie eine interne Evaluierung des Modells und ein verpflichtender Mechanismus zur Meldung von Vorfällen im Rahmen des Trainings oder des Betriebs des GPAI-Modells. Die konkreten Pflichten für die Entwickler systemischer GPAI-Modellen sollen in Zusammenarbeit zwischen Kommission, Wissenschaft, Zivilgesellschaft und Industrie entwickelt werden.
Welche Leitlinien in den politischen Abmachungen darüber hinaus festgelegt wurden, wie die Stimmung nach den Verhandlungen ist, was die nächsten Schritte auf dem Weg zur KI-Verordnung sind und wann mit deren Verabschiedung gerechnet werden kann, erzählt Kai Zenner in den Folgen 48 (deutsch) und 49 (englisch) des DataAgenda Datenschutz Podcast.
* Kai Zenner ist Büroleiter und Digitalreferent für MdEP Axel Voss und als Experte
des AI Netzwerks der OECD tätig.
More information about the RDV magazine can be found here. The text above is published on this website in agreement with DATAKONTEXT GmbH and Prof. Dr. Schwartmann.
Comments