Bei dem Artificial Intelligence Act (kurz AIA) handelt es sich um eine Verordnung des europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI). Die Europäische Union (EU) strebt einen harmonisierten Einsatz der KI im europäischen Binnenmarkt an. Hierzu haben sie sich am 9. Dezember 2023 auf einen vorläufigen Verordnungsentwurf geeinigt. Am 24. Januar 2024 wurde dann ein weiterer Entwurf der Verordnung vorgestellt.
Was ist eine EU-Verordnung?
Eine EU-Verordnung ist ein Rechtsakt der Europäischen Union (EU), der unmittelbar in allen Mitgliedstaaten der EU gilt. Anders als Richtlinien, die von den Mitgliedstaaten in nationales Recht umgesetzt werden müssen, entfaltet eine Verordnung ihre Wirkung direkt, sobald sie erlassen wird. Dabei werden EU-Verordnungen oft für Angelegenheiten von gemeinsamem Interesse erlassen, bei denen ein einheitlicher Rechtsrahmen in der gesamten EU notwendig ist, wie beispielsweise Datenschutz (GDPR), Umweltschutz und jetzt eben der Umgang mit künstlicher Intelligenz. Der endgültige Vertragstext ist noch nicht veröffentlicht. Die wesentlichen Inhalte der vorläufigen Einigung wollen wir hier bereits besprechen:
Welche Kategorien und Unterscheidungen gibt es?
Es gibt eine Unterscheidung zwischen herkömmlichen KI-Modellen und KI mit allgemeinem Verwendungszweck (General Purpose AI, GPAI). Letztere ist eine relativ neue Entwicklung seit dem Aufkommen generativer KI-Systeme.Das Risiko von sogenannter Single-Purpose AI (KI mit spezifischem Verwendungszweck) wird nicht anhand ihrer Technologie, sondern anhand ihrer Anwendung bewertet. Die Risikokategorien reichen von unannehmbar über hoch bis zu gering oder minimal.
Unannehmbare Risiken sind verboten, wie biometrische Kategorisierung auf sensiblen Merkmalen. Hochrisiko-Systeme müssen strenge Vorgaben erfüllen, z.B. in Bereichen wie kritische Infrastruktur oder Bildung. Beispiele hierfür sind biometrische Fernidentifizierung unter bestimmten Bedingungen. Geringes oder minimales Risiko umfasst interaktive Systeme wie Chatbots, mit Transparenzpflichten. GPAI (KI mit allgemeinem Verwendungszweck) wird nach Funktion bewertet, mit besonderen Anforderungen für leistungsstarke Modelle, die systemische Risiken bergen könnten.
Was soll geregelt werden?
Die vorgeschlagenen Regelungen, die „Verordnung über einen europäischen Ansatz für künstliche Intelligenz“ und die Aktualisierung des koordinierten Plans für KI, sollen die Sicherheit und Grundrechte von Menschen und Unternehmen gewährleisten und gleichzeitig Investitionen und Innovationen in den EU-Ländern stärken.
Das Vertrauen soll durch das erste rechtliche Rahmenwerk für KI aufgebaut werden. Die vorgeschlagenen Regeln zielen darauf ab, sicherzustellen, dass KI-Systeme in der EU sicher, transparent, ethisch, unvoreingenommen und unter menschlicher Kontrolle sind. Sie werden nach Risiko kategorisiert, von „unakzeptabel“ bis „minimal“.
Für Anbieter von KI-Systemen mit hohem Risiko werden neue Regeln eingeführt, die einen Konformitätsbewertungsprozess erfordern. Eine Registrierung in einer EU-Datenbank und die Anbringung des CE-Kennzeichens sind ebenfalls erforderlich. Marktaufsicht, menschliche Überwachung und ein Überwachungssystem für nachgelagerte Phasen sind obligatorisch.
Eine kleinere Sektion der Verordnung behandelt KI-Systeme mit begrenztem Risiko, die weniger strengen Transparenzpflichten unterliegen: Entwickler und Bereitsteller müssen sicherstellen, dass Endnutzer wissen, dass sie mit KI interagieren (Chatbots und Deepfakes). Minimales Risiko bleibt unreguliert.
Die Hauptverpflichtungen liegen bei den Anbietern (Entwicklern) hochriskanter KI-Systeme, unabhängig davon, ob sie in der EU oder in einem Drittland ansässig sind. Nutzer, die KI-Systeme beruflich einsetzen, haben ebenfalls einige Verpflichtungen, allerdings weniger als die Anbieter.
Hochriskante KI-Systeme müssen ein Risikomanagementsystem etablieren und Datengovernance durchführen.
Gibt es ein Sanktionssystem?
Für Unternehmen, die sich nicht an die Regeln halten, sind Geldbußen vorgesehen: Je nach Verstoß und Größe des Unternehmens können es bis zu 35 Millionen EUR oder 7 Prozent des weltweiten Umsatzes sein.
Ausblick
Die Bundesregierung hat ihre Einwände gegen den AIA am 31. Januar 2024 zurückgenommen. Bisher haben die meisten Staaten hauptsächlich Verordnungen und Dekrete zu diesem Thema erlassen. Bei der Umsetzung müssen jedoch noch einige Faktoren, wie beispielsweise die Urheberrechtsproblematik, geklärt werden. Die Verordnung klärt nämlich nicht wie Inhalte, die von künstlicher Intelligenz erzeugt werden, angemessen urheberrechtlich behandelt werden. Das Thema der Ki-Regulierung ist von großer Bedeutung und erfordert unsere Aufmerksamkeit.
Weiterführende Informationen
https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence
https://ec.europa.eu/commission/presscorner/detail/en/ip_23_6473
Bei Fragen zu diesem Thema sprechen Sie uns gerne an.
Rechtsreferendar Leon Kolz und RA Tobias Bagusche
