Wenn Sie ein KI-gestütztes Produkt für Kunden in der Europäischen Union entwickeln, ist es wichtig, die Vorschriften zur künstlichen Intelligenz und zum Datenschutz innerhalb der EU zu verstehen.
Zwei wichtige Gesetzgebungen, der EU AI Act und die Datenschutz-Grundverordnung (DSGVO), haben erhebliche Auswirkungen auf die Entwicklung und den Einsatz von maschinellen Lernsystemen (ML) innerhalb der Europäischen Union.
Einen Cloud-Anbieter (z. B. AWS oder Azure) zu haben, der außerhalb der EU gehostet wird, macht die Sache nicht einfacher. Es ist entscheidend, die potenziellen Konflikte zwischen den EU-Datenschutzvorschriften und den Vorschriften des Landes, in dem Ihr Cloud-Anbieter ansässig ist, zu verstehen, um die Einhaltung der Vorschriften zu gewährleisten und die Datensicherheit zu gewährleisten.
Der EU AI Act
Der EU AI Act, der das erste umfassende rechtliche Rahmenwerk für KI werden soll, verfolgt einen risikobasierten Ansatz zur Regulierung von KI-Systemen. Er klassifiziert KI-Systeme in vier Kategorien basierend auf ihrem Risikoniveau und legt spezifische Anforderungen und Verpflichtungen für jede Kategorie fest. Der EU AI Act wird sich auf alle KI-Tools oder Anbieter auswirken, deren Produkte in der Europäischen Union verwendet werden.
Der EU AI Act wurde am 13. März 2024 vom Europäischen Parlament genehmigt und soll kurz nach der abschließenden Überprüfung durch den Europäischen Rat Gesetz werden. Es wird jedoch erwartet, dass das Gesetz schrittweise umgesetzt wird, wobei verschiedene Bestimmungen zu unterschiedlichen Zeiten bis 2026 in Kraft treten.
Strafen bei Nichteinhaltung können bis zu 35.000.000 EUR oder 7 % des weltweiten Jahresumsatzes eines Unternehmens betragen, je nachdem, welcher Betrag höher ist.
DSGVO
Die Datenschutz-Grundverordnung (DSGVO), die seit 2018 in Kraft ist, legt Regeln für die Verarbeitung personenbezogener Daten fest und gewährt Einzelpersonen bestimmte Rechte über ihre Daten. Obwohl die DSGVO keine spezifischen Anwendungsfälle für künstliche Intelligenz ausdrückt, gelten die Regeln für jede Verarbeitung personenbezogener Daten in der Europäischen Union.
Unter der Datenschutz-Grundverordnung (DSGVO) können rechtswidrige Verstöße mit bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist.
Auf wen trifft der EU AI Act zu?
Der EU AI Act gilt für eine breite Palette von Akteuren, die an der Entwicklung, Bereitstellung und Nutzung von KI-Systemen innerhalb der Europäischen Union beteiligt sind. Der Act schafft einen umfassenden Rechtsrahmen für KI, der sich auf einen risikobasierten Ansatz konzentriert, um KI-Systeme entsprechend ihrer potenziellen Auswirkungen auf Einzelpersonen und die Gesellschaft zu regulieren.
Der EU AI Act gilt für:
Anbieter von KI-Systemen: Personen oder Unternehmen, die KI-Systeme entwickeln oder entwickeln lassen, um sie unter ihrem eigenen Namen oder ihrer eigenen Marke auf den Markt zu bringen oder in Betrieb zu nehmen, unabhängig davon, ob sie in der EU oder in einem Drittland ansässig sind.
Nutzer von KI-Systemen: Jede natürliche oder juristische Person, öffentliche Behörde, Agentur oder andere Einrichtung, die ein KI-System unter ihrer Autorität nutzt.
Importeure und Distributoren von KI-Systemen: Personen oder Unternehmen, die KI-Systeme auf den Markt bringen oder in der EU in Betrieb nehmen, sowie diejenigen, die wesentliche Änderungen an bereits auf dem Markt befindlichen oder in Betrieb genommenen KI-Systemen vornehmen.
Institutionen, Agenturen und Einrichtungen der EU: Wenn sie in den Geltungsbereich des AI Act fallen.
Der EU AI Act gilt für sowohl öffentliche als auch private Organisationen, Startups sowie etablierte Unternehmen, die grundlegende KI-Modelle entwickeln. Er umfasst eine breite Palette von KI-Systemen, von solchen, die unzumutbare Risiken darstellen (die verboten sind), bis hin zu Hochrisiko-, begrenzten Risiko- und Minimalrisiko-Systemen, die jeweils eigene Anforderungen und Verpflichtungen haben.
Ausnahmen
KI-Systeme, die ausschließlich für militärische Zwecke entwickelt oder verwendet werden, sowie solche, die für nationale Sicherheit, Grenzkontrollen und Strafverfolgung verwendet werden, sind vom Geltungsbereich des Acts ausgenommen, da sie separaten Rechtsrahmen unterliegen. Darüber hinaus sind KI-Systeme, die Bestandteil von Produkten sind, die bereits unter spezifische sektorale Gesetzgebungen wie Medizinprodukte, Luftfahrt oder Kraftfahrzeuge fallen, von den Anforderungen des Acts ausgenommen. Schließlich fallen KI-Systeme, die in einer persönlichen, nicht beruflichen Kapazität verwendet werden, wie KI-gestützte persönliche Assistenten oder Heimautomationssysteme, ebenfalls nicht in den Geltungsbereich des EU AI Act.
Ein risikobasierter Ansatz zur KI-Regulierung
Der EU AI Act dreht sich darum, die mit KI-Systemen verbundenen Risiken zu verwalten. Dies wird erreicht, indem KI-Systeme in vier Kategorien eingeteilt werden, basierend darauf, wie stark sie Menschen und die Gesellschaft beeinflussen können:
Verbotene KI-Systeme: Dies sind KI-Systeme, die unzumutbare Risiken darstellen, wie z. B. KI, die subliminale Techniken einsetzt, gefährdete Gruppen ausnutzt oder soziale Bewertung durch öffentliche Behörden ermöglicht, und sind nach dem AI Act streng verboten.
Hochrisiko-KI-Systeme: Diese Systeme könnten die Sicherheit oder grundlegenden Rechte von Menschen ernsthaft beeinträchtigen, wie z. B. KI, die in der Strafverfolgung, im Bildungswesen oder in der Beschäftigung verwendet wird. Hochrisiko-KI-Systeme unterliegen strengen Anforderungen, bevor sie auf den EU-Markt gebracht werden dürfen.
Begrenzte Risiko-KI-Systeme: Diese KI-Systeme stellen einige Risiken dar, da sie nicht vollständig transparent sind, wie z. B. Chatbots, Emotionserkennungssysteme und Deepfakes. Sie müssen spezifische Transparenzanforderungen erfüllen.
Minimalrisiko-KI-Systeme: Diese minimalen Risikosysteme müssen keine zusätzlichen Regeln nach dem AI Act befolgen. Der Act ermutigt jedoch die Anbieter, freiwillige Verhaltenskodizes für diese Systeme zu entwickeln.
Hochrisiko-KI-Systeme
Alles, was die Sicherheit oder die grundlegenden Rechte von Menschen beeinträchtigt, wird als Hochrisiko eingestuft. Dazu gehören Systeme, die als Sicherheitskomponenten von Produkten verwendet werden, sowie solche, die in spezifischen Bereichen wie Strafverfolgung, Bildung und Beschäftigung eingesetzt werden. Hochrisiko-KI-Systeme unterliegen strengen Anforderungen, bevor sie auf den EU-Markt gebracht werden dürfen.
Wenn Sie an einem Hochrisiko-KI-System arbeiten, müssen Sie sicherstellen, dass es alle folgenden Anforderungen erfüllt, bevor Sie es in der EU freigeben können:
Risikomanagement: Sie benötigen ein solides Risikomanagementsystem, um potenzielle Risiken während des gesamten Lebenszyklus des KI-Systems zu identifizieren und zu analysieren.
Tests und technische Robustheit: Ihr KI-System muss strengen Tests unterzogen werden, um sicherzustellen, dass es konsistent und zuverlässig arbeitet, selbst wenn die Eingabedaten Fehler oder Inkonsistenzen aufweisen.
Datenmanagement und Training: Die Daten, die Sie zum Trainieren, Validieren und Testen Ihres KI-Systems verwenden, müssen relevant, repräsentativ und frei von Fehlern und Verzerrungen sein. Sie müssen auch geeignete Datenmanagement- und -verwaltungspraktiken umsetzen.
Transparenz und menschliche Aufsicht: Ihr KI-System sollte transparent entwickelt werden, mit klaren Informationen für die Nutzer. Es sollte auch menschliche Aufsicht und Eingriffsmöglichkeiten ermöglichen, wenn nötig.
Cybersicherheit: Sie müssen Ihr Hochrisiko-KI-System gegen unbefugten Zugriff, Manipulationen und andere böswillige Aktionen schützen.
Begrenzte Risiko-KI-Systeme
Der EU AI Act klassifiziert bestimmte KI-Systeme als begrenztes Risiko aufgrund ihres Potenzials, Benutzer durch mangelnde Transparenz zu täuschen oder zu manipulieren. Diese begrenzten Risiko-KI-Systeme umfassen:
KI-Systeme, die zur Interaktion mit natürlichen Personen bestimmt sind (z. B. Chatbots)
Emotionserkennungssysteme
Biometrische Kategorisierungssysteme
Systeme, die Inhalte generieren oder manipulieren (z. B. Deepfakes)
Für diese begrenzten Risiko-KI-Systeme schreibt der EU AI Act spezifische Transparenzverpflichtungen vor, um sicherzustellen, dass Benutzer wissen, dass sie mit einem KI-System interagieren, und informierte Entscheidungen treffen können. Anbieter von begrenzten Risiko-KI-Systemen müssen:
Offenlegen, dass Benutzer mit einem KI-System interagieren, es sei denn, dies ist aus dem Kontext oder den Umständen offensichtlich.
Sicherstellen, dass KI-generierte oder -manipulierte Inhalte entsprechend gekennzeichnet sind, um klarzustellen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
Der Einfluss dieser Transparenzanforderungen besteht darin, das Bewusstsein der Benutzer zu erhöhen und das Potenzial für Täuschung oder Manipulation zu verringern. Indem sichergestellt wird, dass Benutzer wissen, dass sie mit einem KI-System interagieren oder KI-generierte Inhalte konsumieren, zielt der EU AI Act darauf ab, informierte Entscheidungsfindung zu fördern und Benutzer vor Irreführung zu schützen.
Im Vergleich zu Hochrisiko-KI-Systemen unterliegen begrenzte Risiko-Systeme jedoch weniger Anforderungen und Verpflichtungen nach dem Act. Anbieter von begrenzten Risiko-KI-Systemen müssen nicht die strengeren Anforderungen in Bezug auf Risikomanagement, Tests, technische Robustheit, Datenmanagement, menschliche Aufsicht und Cybersicherheit erfüllen, die für Hochrisiko-Systeme gelten.
Minimalrisiko-KI-Systeme
Für diese Minimalrisiko-KI-Systeme schreibt der EU AI Act keine zusätzlichen obligatorischen Anforderungen oder Verpflichtungen für Anbieter vor, außer denen, die bereits unter bestehenden Gesetzen wie Verbraucherschutzgesetzen oder Produkthaftungsregeln gelten.
Der Act ermutigt jedoch die Entwicklung freiwilliger Verhaltenskodizes für Anbieter von Minimalrisiko-KI-Systemen. Diese Verhaltenskodizes sollen bewährte Praktiken, ethische Standards und Transparenz bei der Entwicklung und Bereitstellung von Minimalrisiko-KI-Systemen fördern.
GPAI-Modelle und systemische Risiken
General Purpose AI (GPAI)-Modelle, auch bekannt als Grundmodelle, sind vielseitige KI-Systeme, die angepasst werden können, um eine breite Palette von Aufgaben in verschiedenen Bereichen zu erfüllen. Während diese Modelle eine Schlüsselrolle im Fortschritt der KI spielen, betrachtet der EU AI Act sie als einzigartige Herausforderungen und systemische Risiken.
Konzentration von Macht
Die EU befürchtet, dass die Entwicklung von GPAI-Modellen unter wenigen großen Technologieunternehmen konzentriert ist, was zu einer Konzentration von Macht und Einfluss über eine breite Palette von Anwendungen und Sektoren führen könnte.
Der EU AI Act betrachtet GPAI-Modelle, die mit einer Gesamtcomputing-Leistung von über 10^25 FLOPs trainiert werden, als systemische Risiken. Anbieter solcher Modelle müssen die Europäische Kommission benachrichtigen, wenn diese Schwelle erreicht ist.
Verstärkung von Vorurteilen und Diskriminierung
Ein weiteres Anliegen der EU ist, dass GPAI-Modelle, die auf riesigen Datenmengen trainiert werden, unbeabsichtigt gesellschaftliche Vorurteile und Diskriminierungen verstärken könnten, was zu unfairen Ergebnissen in mehreren Bereichen führen kann.
Undurchsichtigkeit und fehlende Rechenschaftspflicht
Laut einigen Ansichten kann die komplexe und oft undurchsichtige Natur von GPAI-Modellen es schwierig machen, zu verstehen, wie sie zu bestimmten Ergebnissen kommen, was zu einem Mangel an Rechenschaftspflicht für ihre Entscheidungen und Handlungen führt.
Potenzial für Missbrauch und Dual-Use-Anwendungen
GPAI-Modelle könnten missbraucht oder für böswillige Zwecke angepasst werden, wie z. B. das Erzeugen von Desinformationen, das Manipulieren der öffentlichen Meinung oder die Ermöglichung von Überwachung.
Der Ansatz des EU AI Act zu GPAI-Modellen
Um die systemischen Risiken im Zusammenhang mit GPAI-Modellen anzugehen, führt der EU AI Act spezifische Regeln für Anbieter und Nutzer dieser Systeme ein:
Registrierung:
Anbieter und Nutzer von GPAI-Modellen müssen ihr Modell in einer von der Europäischen Kommission verwalteten EU-Datenbank registrieren.
Risikobewertung:
Umfassende Risikobewertungen müssen durchgeführt und geeignete Maßnahmen zur Risikominderung ergriffen werden.
Transparenz:
Wichtige Merkmale des GPAI-Modells, wie sein Zweck, die Trainingsdaten und die Leistungsmetriken, müssen offengelegt werden, um Transparenz zu gewährleisten.
Sicherheit:
Robuste Sicherheitsmaßnahmen müssen implementiert werden, um unbefugten Zugriff, Missbrauch oder böswillige Angriffe zu verhindern.
Durch die Schaffung eines regulatorischen Rahmens für GPAI-Modelle zielt der EU AI Act darauf ab, mehr Transparenz, Rechenschaftspflicht und Aufsicht zu fördern, während sichergestellt wird, dass diese leistungsstarken KI-Systeme auf verantwortungsvolle, vertrauenswürdige und menschzentrierte Weise entwickelt und eingesetzt werden.
Auswirkungen des EU AI Act auf die Cloud-GPU-Verarbeitung
Zum Zeitpunkt des Schreibens ist der EU AI Act noch nicht in Kraft getreten, daher ist das volle Ausmaß seiner Auswirkungen auf die Cloud-GPU-Verarbeitung (und Datenverarbeiter) in der Europäischen Union unklar.
Es ist auch unklar, wie der EU AI Act mit dem in den Vereinigten Staaten implementierten CLOUD Act und anderen internationalen KI-Vorschriften, die noch überprüft werden, in Einklang gebracht werden kann.
Ähnlich wie bei der Einführung der DSGVO erwarten wir, dass der volle Umfang und die Konsequenzen des EU AI Act besser definiert werden, wenn mehr Unternehmen und Rechtsexperten ihre Ansichten einbringen.
Wenn Sie einen Cloud-GPU-Partner mit Rechenzentren innerhalb der Europäischen Union suchen, ist DataCrunch die richtige Wahl. Wir sind in der Europäischen Union ansässig und 100 % unter EU-Gesetzgebung tätig. Wir sind vollständig DSGVO-konform und ISO 27001-zertifiziert.
Obwohl Sie die Zukunft nicht vorhersagen können, können Sie Maßnahmen ergreifen, um konform und bereit für das, was kommt, zu sein!