AI Act: Einigung auf umfassende Regeln für vertrauenswürdige KI

Nach einem mehrtägigen Gesprächsmarathon haben die Ratspräsidentschaft und die Verhandlungsführer des Europäischen Parlaments am 8. Dezember 2023 eine vorläufige Einigung über den Vorschlag für das Gesetz über künstliche Intelligenz („AI Act“) erzielt.

Die EU nimmt damit eine weltweite Vorreiterrolle in der Regulierung von KI ein. KI-Modelle werden hohe Anforderungen an Transparenz erfüllen müssen und Verstöße gegen die neue EU-Regulierung werden für die Unternehmen teuer. Das betrifft neben bekannten Anwendungen wie ChatGPT auch von Versicherern entwickelte und genutzte Anwendungen. Nicht betroffen von der Verordnung werden KI-Systeme sein, die ausschließlich zu Forschungs- und Innovationszwecken eingesetzt werden oder Bereiche, welche die nationale Sicherheit berühren.

Einstufung von KI-Systemen und verbotene KI-Praktiken

Eine Einstufung als Hochrisiko soll nur noch erfolgen, wenn tatsächlich Risiken für Gesundheit, Sicherheit oder Grundrechte bestehen. Eine KI-Software soll nicht mehr pauschal unter die Hochrisiko-Kategorie fallen, nur weil sie in einem bestimmten kritischen Bereich eingesetzt wird. Wenn KI-Systeme nur ein geringes Risiko beinhalten, sollen nur leichtere Transparenzpflichten gelten. Klassische Software, welche nichts mit KI zu tun hat, wird nicht mehr unter den AI Act fallen. KI-Systemen mit hohem Risiko können weiterhin zugelassen werden, müssen dabei aber einer Reihe von Anforderungen und Verpflichtungen erfüllen.

Allzweck-KI-Systeme (sogenannte „General Purpose AI“, kurz GPAI) sollen ebenfalls nicht pauschal als Hochrisiko eingestuft werden. Für diese Systeme, zu denen etwa auch ChatGPT gehört, sollen Verantwortlichkeiten entlang der Wertschöpfungskette gelten („Burden Sharing“-Ansatz). Das heißt insbesondere, dass Unternehmen, die GPAI in ihre eigene Hochrisiko-KI einbauen, die zur Erfüllung der Auflagen des AI Acts notwendigen Informationen von den GPAI-Anbietern zur Verfügung gestellt bekommen müssen.

Einige KI-Anwendungen sollen grundsätzlich verboten werden, da deren Risiko als inakzeptabel erachtet wird, dies umfasst z.B. das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen, Emotionserkennung am Arbeitsplatz, Social Scoring oder biometrische Kategorisierung.

Neue Governance-Architektur

Infolge der neuen Regeln für Allzweck-KI-Modelle (GPAI-Modelle) und der offensichtlichen Notwendigkeit ihrer Durchsetzung auf EU-Ebene wird ein AI Office bei der Kommission eingerichtet, das die Aufgabe hat, diese fortschrittlichsten KI-Modelle zu überwachen. Ein wissenschaftliches Gremium unabhängiger Experten wird das AI Office in Bezug auf solche Modelle beraten.

Der KI-Ausschuss, der sich aus Vertretern der Mitgliedstaaten zusammensetzt, wird weiterhin als Koordinierungsplattform und Beratungsgremium für die Kommission fungieren.

Schließlich wird ein beratendes Forum für Interessengruppen insb. aus Industrie und Wissenschaft eingerichtet, das den KI-Ausschuss mit technischem Fachwissen unterstützen soll.

Inkrafttreten

Das vorläufige Abkommen sieht vor, dass der AI Act zwei Jahre nach seinem Inkrafttreten gelten soll, mit einigen Ausnahmen für spezifische Bestimmungen.

Nächste Schritte

Nach der vorläufigen Einigung wird die Arbeit auf technischer Ebene in den kommenden Wochen fortgesetzt, um die Details der neuen Verordnung fertigzustellen. Der gesamte Text muss zuletzt von Parlament und Rat bestätigt und einer finalen juristischen und sprachlichen Überarbeitung unterzogen werden, bevor er förmlich angenommen wird. Dies gilt aber als Formsache.

Auswirkungen für Versicherungsunternehmen

Bestimmte KI-Anwendungen insb. bei Lebens- und Krankenversicherungen werden erwartungsgemäß dem besonders stark regulierten Hochrisikobereich zugeordnet werden und so unter besonderem Augenmerk der Aufsicht stehen. Dies betrifft u.a. Systeme zur Preisgestaltung oder die Bewertung von Risiken von einzelnen Versicherungsnehmern. Zusätzlich zu bestehenden Vorschriften in diesen Bereichen kommen hier also weitere Verpflichtungen auf die Unternehmen zu.

Auch für die Versicherungsbranche kann durch KI der nächste große Innovationsschub ausgelöst werden. Es ist daher zunehmend wichtig, dass eine einheitliche und konsequent umgesetzte AI Governance Bestandteil einer ganzheitlichen KI-Strategie ist. Nur so kann es gelingen, das Vertrauen der Versicherungsnehmer bzw. die Reputation der Versicherungsunternehmen sicherzustellen und gleichzeitig die innovativen Potenziale von KI zu realisieren. Diesbezügliche Leitplanken für die Versicherungsbranche haben wir in einem kürzlich veröffentlichtenen Blogbeitrag beleuchtet.

In unseren Projekten beraten wir unsere Kunden in der Umsetzung einer erfolgreichen AI Governance. Gehen Sie gerne auf mich und meine Kollegen von Actuarial Risk Modelling Services zu, wenn Sie Interesse an diesem Themengebiet haben. Wir freuen uns auf den Austausch mit Ihnen!