Den gesetzlichen Rahmen hat die Europäische Union kürzlich im Wege einer Verordnung – dem „AI-Act“ – gesetzt. Jene Verordnung – das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz – soll einheitliche Regeln für die Entwicklung und den Einsatz von Künstlicher Intelligenz in der Europäischen Union festlegen. Dabei wurde ein risikobasierter Ansatz verfolgt: Je höher das durch den Einsatz von KI-Systemen entstehende Risiko für die Rechte und Rechtsgüter der EU-Bürgerinnen und –Bürger ist, desto strenger sind die gesetzlichen Vorgaben.

 Im Folgenden werfen wir für Sie einen Blick auf die wichtigsten Aspekte des AI-Acts.

Wer ist von der Verordnung betroffen?

Der AI-Act richtet sich grundsätzlich an drei Gruppen, nämlich:

  • An Anbieter, welche KI-Systeme innerhalb der EU in den Verkehr bringen oder in Betrieb nehmen,
  • an innerhalb der EU befindliche Nutzer von KI-Systemen sowie
  • an Anbieter und Nutzer von KI-Systemen, die in einem Drittland niedergelassen bzw. ansässig sind, soweit das vom System hervorgebrachte Ergebnis innerhalb der EU verwendet wird.

Welche Risikoklassen werden unterschieden?

Wie eingangs erwähnt, verfolgt der AI-Act einen risikobasierten Ansatz und bewertet KI-Systeme folglich anhand ihres potentiellen Risikos für die Sicherheit, Gesundheit und Grundrechte der EU-Bürgerinnen und -Bürger. Die Verordnung unterscheidet hierbei grundsätzlich zwischen vier Risikostufen.

Je größer das potentielle Risiko beim Einsatz eines KI-Systems ist, desto umfangreicher sind die damit verbundenen Anforderungen und Verpflichtungen. Diese umfassen beispielsweise Transparenzgebote, Dokumentationspflichten, die Abgabe von EU-Konformitätserklärungen, Informationspflichten gegenüber den Aufsichtsbehörden sowie die fortwährende Überwachung der KI-Systeme durch den Betreiber.

Um feststellen zu können, unter welche Risikostufe ein KI-System im konkreten Einzelfall fällt, ist folglich die Durchführung einer entsprechenden Risikobewertung unerlässlich.

Folgende Risikostufen sind im AI-Act vorgesehen:

Stufe 1 – Unannehmbares Risiko

Die von dieser Risikostufe erfassten KI-Systeme stellen ein exorbitant hohes Risiko für die Schutzgüter der Verordnung dar, sodass Bereitstellung und Nutzung derselben – nach einem Übergangszeitraum von sechs Monaten nach Inkrafttreten der Verordnung – EU-weit ausnahmslos verboten werden. Hiervon umfasst sind beispielsweise die folgenden KI-Systeme:

  • KI-Systeme für sog. „Social Scoring“,
  • biometrische Echtzeit-Fernerkennungssysteme zur Strafverfolgung in öffentlich zugänglichen Räumen,
  • Systeme, die Gesichtserkennungsdatenbanken durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder aus Videoüberwachungsaufzeichnungen erstellen oder erweitern,
  • KI-Systeme zur Erkennung von Emotionen am Arbeitsplatz und in Bildungseinrichtungen.
  • Stufe 2 – Hohes Risiko

Stellt ein KI-System zwar ein potentiell hohes – jedoch noch hinnehmbares – Risiko für die geschützten Rechte und Rechtsgüter dar, gilt es als Hochrisiko-KI-System und unterfällt damit der zweiten Risikostufe. Anbieter solcher Systeme müssen etwa eine Konformitätsbewertung durchführen und im Anschluss eine Konformitätserklärung ausstellen. Unter diese Kategorie fallen beispielsweise:

  • Systeme zur biometrischen Identifizierung und Kategorisierung von natürlichen Personen,
  • die Verwaltung und der Betrieb kritischer Infrastrukturen,
  • die Auswahl von Bewerbern und die Leistungsüberwachung in Arbeitsverhältnissen.
  • Stufe 3 – Begrenztes Risiko

In diese Kategorie fallen etwa alle KI-Systeme, die mit Menschen interagieren. Hierzu gehören unter anderem sog. Chatbots wie etwa „ChatGPT“ oder Anwendungen zur Emotionserkennung.

Für Anbieter solcher KI-Systeme gelten Transparenzpflichten. Diese verlangen in erster Linie, dass eine natürliche Person darüber informiert werden muss, dass sie mit einem KI-System und nicht mit einem anderen Menschen interagiert.

  • Stufe 4 – Minimales Risiko

Der vierten und niedrigsten Risikostufe unterfallen grundsätzlich alle KI-Systeme, welche nicht zwingend einer höheren Stufe zuzuordnen sind, weil die potentiellen Risiken (allenfalls) geringer Natur sind. Hiervon umfass sind u.a. Anwendungen wie KI-basierte Spam-Filter oder Systeme zur vorausschauenden Wartung von Maschinen.

Für derartige KI-Systeme sieht der AI-Act keine besonderen Anforderungen vor.

Wie werden Verstöße sanktioniert?

Verstöße gegen die vorstehend auszugsweise dargestellten Verpflichtungen sind nach dem Inhalt der Verordnung bußgeldbewehrt. Die Höhe potentieller Bußgelder orientiert sich dabei – ähnlich wie im Rahmen der europäischen Datenschutz-Grundverordnung (DSGVO) – am weltweiten Jahresumsatz des pflichtwidrig handelnden Unternehmens, alternativ sieht die Verordnung Festbeträge vor, wobei der jeweils höhere Betrag die Obergrenze der Sanktionen darstellt.

Auch insoweit entfalten die durch den AI-Act festgelegten Risikostufen Relevanz. So belaufen sich die Geldbußen für den Einsatz verbotener KI-Systeme (1. Stufe) auf bis zu 35 Millionen Euro bzw. 7 % des im vorangegangenen Geschäftsjahr weltweit erzielten Jahresumsatzes. Verstöße gegen die Vorgaben der zweiten und dritten Risikostufe werden mit bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes geahndet. Die Übermittlung unvollständiger oder falscher Informationen an die zuständigen Aufsichtsbehörden können mit einer Geldbuße von bis zu 7,5 Millionen Euro bzw. 1 % des Jahresumsatzes geahndet werden.

Für kleine und mittlere Unternehmen sowie Start-Ups sind proportionale Obergrenzen vorgesehen.

Wann tritt die Verordnung in Kraft?

Nachdem das Europäische Parlament dem Entwurf bereits am 13. März 2024 zugestimmt hatte, billigte am 21. Mai 2024 auch der Rat der Europäischen Union den AI-Act.

Die Verordnung tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Mit der entsprechenden Veröffentlichung ist noch im Laufe des Kalendermonats Juli 2024 zu rechnen.

Nach Inkrafttreten des AI-Acts gilt ein gestaffeltes System von Übergangsfristen:

  • Sechs Monate nach Inkrafttreten entfalten die Regelungen zu verbotenen KI-Systemen ihre Wirkung, sodass deren Nutzung (spätestens) zu diesem Zeitpunkt eingestellt werden muss.
  • 24 Monate nach Inkrafttreten entfalten auch die übrigen Vorgaben der Verordnung, etwa die Transparenzpflichten für generative KI-Systeme, ihre Wirkung und sind ab diesem Zeitpunkt zwingend zu beachten.

Eine verlängerte Umsetzungsfrist von 36 Monaten gilt hingegen für solche in Anhang III der Verordnung aufgeführten Hochrisiko-KI-Systeme.

Praxishinweis

Unternehmen, in welchen bereits derzeit KI-Systeme zum Einsatz kommen oder die die Nutzung entsprechender Technologien künftig planen, sollten sich idealerweise bereits jetzt mit den Vorgaben und Anforderungen des AI-Acts auseinandersetzen. Gerade solche Unternehmen, die von Drittanbietern bereitgestellte KI-Systeme nutzen, sollten in einem ersten Schritt eine Bestandsanalyse durchführen und überprüfen, inwiefern sie künftig von entsprechenden Verpflichtungen betroffen sind.

Auch wenn die in der Verordnung vorgesehenen Übergangsfristen derzeit noch sehr lang erscheinen mögen, haben die Erfahrungen bei Einführung der DSGVO doch gezeigt, dass Unternehmen, die sich erst „kurz vor knapp“ dem Inkrafttreten mit der Umsetzung beginnen, häufig Schwierigkeiten haben, die Anforderungen rechtzeitig und anforderungsgemäß zu erfüllen.

Foto: shutterstock / WINEXA

Verfasser

Topics


Zeige weitere Artikel

Melden Sie sich für unseren Newsletter an!

Jetzt anmelden