AI Act – Juristische Beratung zur KI-VO

Was Unternehmen über die AI-Verordnung der EU wissen müssen

Was die Veröffentlichung von ChatGPT mit dem neuen AI Act der EU zu tun hat und welche Auswirkungen das Ganze auf Unternehmen haben wird.

Die Veröffentlichung von ChatGPT schlug hohe Wellen bei Fans und Kritikern der künstlichen Intelligenz. Begeisterung über erste Gehversuche mit dem Programm traf schnell auf mahnende Stimmen; schließlich folgte sogar die Warnung führender KI-Unternehmer, innezuhalten und sich auf einen Regelkatalog für die revolutionäre Technologie zu einigen.

Jedem ist klar, dass künstliche Intelligenz reguliert werden muss. Vorschläge für einen freiwilligen KI-Verhaltenskodex kursieren, auch die Forderung nach einer unabhängigen internationalen Behörde zur Überwachung von KI steht im Raum.

Rechtsanwalt Dr. Dietmar Höffner, Berlin
Rechtsanwalt Dr. Dietmar Höffner

Im Dezember 2023 erzielte die EU nach 37 Stunden Verhandlungen eine vorläufige Einigung über ihr KI-Gesetz. Thierry Breton, EU-Kommissar für den Binnenmarkt, bezeichnete diese Entwicklung als „historisch“. Sie soll das erste umfassende internationale Gesetz zur Regulierung der künstlichen Intelligenz einleiten.

Was plant die EU?

Brüssel geht es darum, einen verantwortungsvollen Umgang mit künstlicher Intelligenz zu etablieren. Die Regulierungen der EU sollen dafür sorgen, dass die neuen Möglichkeiten zum Wohl der Öffentlichkeit eingesetzt werden und Persönlichkeitsrechte geschützt werden.

Um das Feld zu regulieren, unterscheidet Brüssel die KI-Anwendungsfelder nach den vier Risikoklassen niedrig, mittel, hoch und inakzeptabel.

Inakzeptable KI-Anwendungen sind etwa in Echtzeit und ferngesteuerte Gesichtserkennungssysteme oder sprachgesteuerte, verhaltensmanipulierende Anwendungen. Auch Anwendungen, die zur Überwachung von Bürgerinnen und Bürgern dienen und damit demokratiefeindlichen Zwecken dienen können, fallen in diese Kategorie.

Als KI-Anwendungen mit hohem Risiko klassifiziert die EU nach dem bisherigen Plan Anwendungen für biometrische Identifizierung, für den Betrieb von kritischer Infrastruktur, für Bildungs- und Ausbildungszwecke, für Grenzkontrollen und z. B. im Rechtsbereich.

Im mittleren Risikobereich sieht Brüssel generative KI wie ChatGPT, die Bilder und Texte generieren kann. Geht es nach der EU, unterliegt ChatGPT künftig besonderen Transparenzregeln: Nutzerinnen und Nutzer müssen informiert werden, dass sie ein KI-generiertes Bild oder einen KI-generierten Text vor sich haben und die Hersteller müssen sicherstellen, dass Anwendungen wie ChatGPT nicht für die Produktion von illegalen Inhalten verwendet werden.

Einzig KI-Anwendungen mit niedrigem Risiko, etwa Programme die Bilder manipulieren können, sollen mit niedrigen Transparenz-Anforderungen belegt werden.

Zur Regulierung sieht Brüssel Risikomanagement-Systeme für die Anwendungen vor, die stetig aktualisiert werden müssen. Auch eine technische Dokumentation, eine menschliche Aufsicht und die Möglichkeit der Abschaltung werden gefordert. Beim Verstoß gegen die Regulierungen sollen Unternehmen mit Strafen bis zu 40 Millionen Euro oder 7 Prozent des Jahresumsatzes belegt werden.

Im Juni wurde der AI Act bereits im Europaparlament angenommen. Im nächsten Schritt müssen sich die EU-Kommission und die Mitgliedsstaaten abstimmen, schon zum Jahresende könnte die Regulierung in Kraft treten. Nach einigen Übergangsfristen würden die Regeln dann voraussichtlich ab 2026 greifen. Über die Einzelheiten des Gesetzes muss noch entschieden werden – es wird wahrscheinlich frühestens 2025 in Kraft treten.

Schützender Standard oder Bremse?

Manche KI-Experten sind der Ansicht, gut definierte Standards für KI auf europäischer Ebene könnten für Deutschland und Europa zum Standortvorteil werden, weil Nutzerinnen und Nutzer dann wüssten, worauf sie sich einlassen.

Doch mehr als 100 hochrangige europäische Wirtschaftsvertreterinnen und -vertreter, darunter die CEOs von Siemens, Airbus und ARM, beklagten im Juni 2023 in einem Brandbrief, das geplante Gesetz gehe zu weit.

Ein besonderer Dorn im Auge sind ihnen Brüssels Regulierungsansätze für die generative KI nach dem Vorbild von ChatGPT, die Bilder und Texte generieren können. Ihre Sorge: Unternehmen müssten dann eventuell allein für die Transparenz-Anforderungen der EU für generative KI-Anwendungen eigene Compliance-Abteilungen einrichten. Der damit verbundene Aufwand und die Kosten würden die Wettbewerbsfähigkeit Europas gefährden und Unternehmen dazu zwingen, ihre Aktivitäten ins Ausland zu verlagern, argumentieren die Unterstützer des Briefes.

Die europäischen Wirtschaftsvertreter fürchten, dass mit der Regulierung aus Brüssel die Entwicklung von KI-Anwendungen behindert wird, während vor allem in den USA die weitgehend unregulierte Konkurrenz ungehemmt voranpreschen kann. Deshalb forderten die Wirtschaftsbosse eine engere Abstimmung der EU mit den USA, um ein transatlantisches Regelwerk aufzustellen.

Tatsächlich lässt auch die US-Regierung derzeit prüfen, ob die USA die Branche regulieren sollten; denkbar wäre auch ein Zertifizierungsprozess für Anwendungen. US-Regierungsbehörden werden beim Einsatz von künstlicher Intelligenz bereits Regeln auferlegt, für die freie Wirtschaft gelten sie jedoch noch nicht. Ob die EU und die USA sich bei der Regulierung von KI tatsächlich enger abstimmen, ist noch nicht abschätzbar – undenkbar ist es nicht.

Rat der Europäischen Union Pressemitteilung 9 Dezember 2023

Gesetz über künstliche Intelligenz: Rat und Parlament einigen sich über weltweit erste Regelung von KI

Nach dreitägigen Marathonverhandlungen haben der Ratsvorsitz und die Verhandlungsführer des Europäischen Parlaments eine vorläufige Einigung über die vorgeschlagenen harmonisierten Vorschriften für künstliche Intelligenz – das sogenannte KI-Gesetz – erzielt. Mit dem Verordnungsentwurf soll gewährleistet werden, dass KI-Systeme, die auf dem EU-Markt in Verkehr gebracht und in der Union verwendet werden, sicher sind und die Grundrechte und die Werte der EU wahren. Ziel dieses wegweisenden Vorschlags ist es auch, Investitionen und Innovationen im KI-Bereich in Europa anzuregen.

Dies ist eine historische Errungenschaft und ein großer Schritt in die Zukunft! Mit der heutigen Einigung gehen wir eine globale Herausforderung in einem technologischen Umfeld an, das im raschen Wandel begriffen ist, und das ein Schlüsselbereich für die Zukunft unserer Gesellschaften und Volkswirtschaften ist. Dabei ist es uns gelungen, ein äußerst empfindliches Gleichgewicht zu wahren, nämlich einerseits Innovationen und die Nutzung von künstlicher Intelligenz in Europa zu fördern und andererseits dafür zu sorgen, dass die Grundrechte unserer Bürgerinnen und Bürger uneingeschränkt geachtet werden. Carme Artigas, spanische Staatssekretärin für Digitalisierung und künstliche Intelligenz

Das KI-Gesetz ist eine legislative Leitinitiative und hat das Potenzial, die Entwicklung und Verbreitung sicherer und vertrauenswürdiger KI durch private und öffentliche Akteure im gesamten EU-Binnenmarkt zu fördern. Im Wesentlichen geht es darum, KI zu regulieren, da sie gesellschaftlichen Schaden anrichten könnte; dabei gilt es, einen „risikobasierten“ Ansatz zu verfolgen: Je höher das Risiko, desto strenger die Vorschriften. Als weltweit erster Legislativvorschlag dieser Art könnte er – wie schon die DSGVO – zu einem globalen Standard für die Regulierung von KI in anderen Rechtsräumen werden und so dem europäischen Ansatz bei der Regulierung von Technologien auf globaler Ebene größere Geltung verschaffen.

Wichtigste Bestandteile der vorläufigen Einigung

Im Vergleich zum ursprünglichen Kommissionsvorschlag lassen sich die wichtigsten neuen Elemente der vorläufigen Einigung wie folgt zusammenfassen:

  • Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck und beträchtlichen Auswirkungen, die zukünftig systemische Risiken verursachen können, sowie für Hochrisiko-KI-Systeme
  • ein überarbeitetes Governance-System mit bestimmten Durchsetzungsbefugnissen auf EU-Ebene
  • eine Erweiterung der Liste der Verbote, jedoch mit der Möglichkeit, den Strafverfolgungsbehörden vorbehaltlich bestimmter Schutzvorkehrungen zu erlauben, im öffentlichen Raum biometrische Fernidentifizierung einzusetzen
  • besser geschützte Rechte, indem die Betreiber von Hochrisiko-KI-Systemen verpflichtet werden, vor der Inbetriebnahme eines KI-Systems eine Folgenabschätzung in Bezug auf die Grundrechte durchzuführen.

Konkret geht es in der vorläufigen Einigung um folgende Aspekte:

Begriffsbestimmungen und Anwendungsbereich

Um sicherzustellen, dass die Definition eines KI-Systems ausreichend klare Kriterien zur Unterscheidung zwischen KI und einfacheren Softwaresystemen enthält, wird sie im ausgehandelten Kompromiss an den von der OECD vorgeschlagenen Ansatz angepasst.

Außerdem wird klargestellt, dass die Verordnung nur für Bereiche gilt, die in den Anwendungsbereich des EU-Rechts fallen, und keinesfalls die Zuständigkeiten der Mitgliedstaaten oder anderer, mit entsprechenden Aufgaben betrauter Stellen in Bezug auf die nationale Sicherheit berühren sollte. Darüber hinaus wird das KI-Gesetz nicht für Systeme gelten, die ausschließlich militärischen oder verteidigungspolitischen Zwecken dienen. Ausgenommen sind auch KI-Systeme, die ausschließlich für Forschung und Innovation verwendet werden, sowie Personen, die KI aus nichtgewerblichen Gründen nutzen.

Klassifizierung von KI-Systemen als Hochrisiko-Systeme und verbotene KI-Praktiken

Der ausgehandelte Kompromiss enthält eine horizontale Schutzebene (zu der auch die Hochrisiko-Klassifizierung gehört), um sicherzustellen, dass KI-Systeme, die wahrscheinlich keine schwerwiegenden Grundrechtsverletzungen oder andere bedeutende Risiken verursachen, nicht erfasst werden. Für KI-Systeme mit begrenztem Risiko würden nur sehr geringe Transparenzpflichten gelten, z. B. die Offenlegung, dass die Inhalte KI-generiert sind, sodass Nutzerinnen und Nutzer fundierte Entscheidungen über deren Weiterverwendung treffen können.

Eine ganze Reihe von Hochrisiko-KI-Systemen würden zugelassen, müssten aber bestimmte Anforderungen und Verpflichtungen erfüllen, um Zugang zum EU-Markt zu erhalten. Die Anforderungen wurden dahingehend präzisiert und angepasst, dass sie technisch machbarer sind und für die, die sie einhalten müssen, eine geringere Belastung darstellen, wenn es zum Beispiel um die Datenqualität oder die technische Dokumentation geht, die von KMU erstellt werden sollte, um nachzuweisen, dass ihre Hochrisiko-KI-Systeme den Anforderungen entsprechen.

Da KI-Systeme über komplexe Wertschöpfungsketten entwickelt und verbreitet werden, enthält der ausgehandelte Kompromiss Änderungen, mit denen die Zuweisung der Zuständigkeiten und Aufgaben der verschiedenen Akteure in diesen Ketten, insbesondere der Anbieter und Nutzer von KI-Systemen, klargestellt werden. Präzisiert wird auch die Beziehung zwischen den Verantwortlichkeiten im Rahmen des KI-Gesetzes und jenen, die bereits im Rahmen anderer Rechtsvorschriften bestehen, wie etwa der einschlägigen Datenschutz- oder sektoralen Rechtsvorschriften der EU.

KI-Anwendungen, deren Risiko als unannehmbar gilt, werden in der EU verboten. Unter dieses Verbot sollen laut vorläufiger Einigung unter anderem folgende Anwendungen fallen: kognitive Verhaltensmanipulation, das ungezielte Auslesen („Scraping“) von Gesichtsbildern aus dem Internet oder aus CCTV-Aufzeichnungen, Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen, Sozialkreditsysteme, biometrische Kategorisierung, die auf sensible Daten wie die sexuelle Orientierung oder religiöse Überzeugungen schließen lässt, sowie bestimmte Fälle vorausschauender Polizeiarbeit („Predictive Policing“) in Bezug auf einzelne Personen.

Ausnahmen für die Strafverfolgung

Angesichts der besonderen Situation von Strafverfolgungsbehörden und der Notwendigkeit, dass sie weiterhin in der Lage sein müssen, KI für ihre unverzichtbare Arbeit zu nutzen, wurden mehrere Änderungen des Kommissionsvorschlags in Bezug auf den Einsatz von KI-Systemen für Strafverfolgungszwecke vereinbart. Vorbehaltlich angemessener Schutzvorkehrungen soll dem Umstand Rechnung getragen werden, dass die Vertraulichkeit sensibler operativer Daten im Zusammenhang mit den Tätigkeiten der Strafverfolgungsbehörden gewahrt werden muss. So wurde beispielsweise ein Notfallverfahren eingeführt, das es Strafverfolgungsbehörden erlaubt, in dringenden Fällen auch Hochrisiko-KI-Instrumente einzusetzen, die das Konformitätsbewertungsverfahren nicht bestanden haben. Zugleich wurde jedoch ein spezifischer Mechanismus eingeführt, um sicherzustellen, dass die Grundrechte ausreichend vor potenziellem Missbrauch durch KI-Systeme geschützt werden.

In Bezug auf die Verwendung biometrischer Echtzeit-Fernidentifizierungssysteme im öffentlichen Raum werden zudem die Ziele präzisiert, für die eine solche Verwendung zu Strafverfolgungszwecken unbedingt notwendig ist, und zu denen den Strafverfolgungsbehörden die Verwendung solcher Systeme daher ausnahmsweise gestattet werden sollte. In der Kompromissvereinbarung sind jedoch zusätzliche Schutzvorkehrungen vorgesehen; zudem bleiben die genannten Ausnahmen auf Fälle und Situationen beschränkt, in denen es um Opfer bestimmter Straftaten, um die Verhütung echter, gegenwärtiger bzw. vorhersehbarer Bedrohungen wie Terroranschläge oder um die Suche nach Personen geht, die schwerster Straftaten verdächtigt werden.

KI-Systeme mit allgemeinem Verwendungszweck und Basismodelle

Neue Bestimmungen wurden hinzugefügt, um Situationen Rechnung zu tragen, in denen KI-Systeme für viele verschiedene Zwecke genutzt werden können (KI mit allgemeinem Verwendungszweck) und die Technologie anschließend in ein anderes System integriert wird, das als hochriskant gilt. In der vorläufigen Einigung wird auch auf den Sonderfall der KI-Systeme mit allgemeinem Verwendungszweck („general purpose artificial intelligence systems“, GPAI) eingegangen.

Spezielle Vorschriften sollen auch für Basismodelle gelten – große Systeme, die ein breites Spektrum verschiedener Aufgaben erfüllen und z. B. Videos, Texte und Bilder erzeugen, Gespräche führen, Daten verarbeiten und Computercodes erstellen können. So ist vorgesehen, dass sie bestimmte Transparenzpflichten erfüllen müssen, bevor sie in Verkehr gebracht werden dürfen. Für Basismodelle mit erheblichen Auswirkungen wurde eine strengere Regelung eingeführt. Dabei geht es um Basismodelle, die mit großen Datenmengen trainiert werden und durch ihre fortgeschrittene Komplexität, Fähigkeiten und Leistung weit über dem Durchschnitt liegen. Dies birgt die Gefahr, dass systemische Risiken entlang der Wertschöpfungskette weiterverbreitet werden.

Eine neue Governance-Architektur

Nach den neuen Vorschriften für GPAI-Modelle und angesichts der offenkundigen Notwendigkeit ihrer Durchsetzung auf EU-Ebene wird bei der Kommission ein Amt für künstliche Intelligenz („KI-Amt“) eingerichtet. Seine Aufgabe wird es sein, die am weitesten fortgeschrittenen KI-Modelle zu überwachen; daneben soll es Normen und Testverfahren fördern und die gemeinsamen Vorschriften in allen Mitgliedstaaten durchsetzen. Ein wissenschaftliches Gremium unabhängiger Sachverständiger wird das KI-Amt zu GPAI-Modellen beraten. So soll es dazu beitragen, Methoden zur Bewertung der Fähigkeiten von Basismodellen zu entwickeln, sich zur Benennung und Entstehung von Basismodellen mit erheblichen Auswirkungen äußern und mögliche materielle Sicherheitsrisiken im Zusammenhang mit Basismodellen überwachen.

Der aus Vertretern der Mitgliedstaaten zusammengesetzte Ausschuss für künstliche Intelligenz (KI-Ausschuss), soll wie vorgeschlagen als Koordinierungsplattform und beratendes Gremium für die Kommission fungieren. Die Mitgliedstaaten würden somit eine wichtige Rolle bei der Umsetzung der Verordnung spielen, etwa bei der Ausarbeitung von Verhaltenskodizes für Basismodelle. Schließlich wird ein Beratungsforum für Interessenträger wie Vertreter der Industrie, KMU, Start-ups, Zivilgesellschaft und Hochschulen/Wissenschaft eingerichtet, das dem KI-Ausschuss technisches Fachwissen zur Verfügung stellt.

Sanktionen

Die Geldbußen für Verstöße gegen das KI-Gesetz wurden als Prozentsatz des weltweiten Jahresumsatzes des zuwiderhandelnden Unternehmens im vorangegangenen Geschäftsjahr bzw. als im Voraus festgelegter Betrag festgelegt, je nachdem, welcher Betrag höher ist. Das wären 35 Mio. € bzw. 7 % für Verstöße im Zusammenhang mit verbotenen KI-Anwendungen, 15 Mio. € bzw. 3 % für Verstöße gegen die im KI-Gesetz vorgeschriebenen Verpflichtungen und 7,5 Mio. € bzw. 1,5 % für die Bereitstellung von Fehlinformationen. Für KMU und Start-ups sind jedoch verhältnismäßigere Obergrenzen vorgesehen.

Im ausgehandelten Kompromiss wird auch klargestellt, dass eine natürliche oder juristische Person bei der zuständigen Marktüberwachungsbehörde eine Beschwerde wegen Nichteinhaltung des KI-Gesetzes einreichen und erwarten kann, dass eine solche Beschwerde gemäß den dafür eingerichteten Verfahren dieser Behörde bearbeitet wird.

Transparenz und Schutz der Grundrechte

In der vorläufigen Einigung ist eine Folgenabschätzung in Bezug auf die Grundrechte vorgesehen, die durchgeführt werden muss, bevor ein Hochrisiko-KI-System in Verkehr gebracht wird. Zudem wird mehr Transparenz bei der Verwendung von Hochrisiko-KI-Systemen gefordert. Insbesondere wurden einige Bestimmungen des Kommissionsvorschlags geändert, um darauf hinzuweisen, dass bestimmte Nutzer von Hochrisiko-KI-Systemen, die öffentliche Einrichtungen sind, ebenfalls verpflichtet sein werden, sich in der EU-Datenbank für Hochrisiko-KI-Systeme zu registrieren. Darüber hinaus wurden Bestimmungen hinzugefügt, bei denen der Schwerpunkt auf der Pflicht für Nutzer eines Emotionserkennungssystems liegt, die von dem System betroffenen natürlichen Personen entsprechend zu informieren.

Maßnahmen zur Innovationsförderung

Mit dem Ziel, einen innovationsfreundlicheren Rechtsrahmen zu schaffen, und um faktengestütztes regulatorisches Lernen zu fördern, wurden die Bestimmungen in Bezug auf Maßnahmen zur Innovationsförderung im Vergleich zum Kommissionsvorschlag maßgeblich geändert.

Insbesondere wurde klargestellt, dass die regulatorischen KI-Reallabore, die eine kontrollierte Umgebung für die Entwicklung, Testung und Validierung innovativer KI-Systeme schaffen sollen, auch das Testen innovativer KI-Systeme unter realen Bedingungen ermöglichen sollten. Ferner wurden neue Bestimmungen aufgenommen, wonach KI-Systeme unter realen Bedingungengetestet werden können, wenn bestimmte Bedingungen und Schutzvorkehrungen erfüllt werden. Um den Verwaltungsaufwand für kleinere Unternehmen zu mindern, sind Maßnahmen zu ihrer Unterstützung aufgelistet und einige begrenzte, klar festgelegte Ausnahmeregelungen vorgesehen.

Inkrafttreten

Laut vorläufiger Einigung soll das KI-Gesetz – mit Ausnahme einiger spezifischer Bestimmungen – zwei Jahre nach seinem Inkrafttreten zur Anwendung kommen.

Nächste Schritte

Nach der heute erzielten vorläufigen Einigung werden die Arbeiten in den kommenden Wochen auf fachlicher Ebene fortgesetzt, um die Einzelheiten der neuen Verordnung fertigzustellen. Anschließend wird der Vorsitz den Vertretern der Mitgliedstaaten (AStV) den Kompromisstext zur Billigung vorlegen.

Der vollständige Text muss dann noch vom Rat und vom Parlament bestätigt und von den Rechts- und Sprachsachverständigen überarbeitet werden, bevor er von den beiden gesetzgebenden Organen förmlich angenommen wird.

Diese Pressemitteilung wurde am 2. Februar 2024 aktualisiert, um den endgültigen Kompromisstext im Hinblick auf eine Einigung hinzuzufügen.