KI-Verordnung (AI Act)
Der AI-Act, hierzulande KI-Verordnung (kurz: KI-VO) genannt, stellt das Vorhaben seitens der EU dar, für die Nutzung und das Angebot von künstlichen Intelligenzen einen rechtlichen Rahmen zu schaffen. Dadurch soll gewährleistet werden, dass KI-Programme im europäischen Raum nach transparenten und ethischen Maßstäben unter menschlicher Kontrolle geleitet werden. Die EU geht dieses Vorhaben vor allem unter dem Gesichtspunkt der Risikominimierung an.
Inhaltsübersicht
KI-REGULIERUNG AUF EUROPÄISCHER EBENE: DER AI-ACT
KI-Regulierung auf europäischer Ebene: Der AI-Act
Die KI-VO bezieht sich auf eine Vielzahl von höchst unterschiedlichen KI-Systemen, welche nach ihrem Risikopotenzial klassifiziert, auf bestimmte Mindestanforderungen geprüft und bei Rechtsverstößen auch sanktioniert werden.
So wird jedes KI-Angebot zunächst nach einer von vier Risikostufen klassifiziert:
KI-Systeme mit unzulässigem Risiko
Unter die höchste Risikostufe fallen jene KI-Systeme, deren Einsatz einen nicht zu rechtfertigen Eingriff in die Rechte des Bürgers zur Folge hätte. Der Einsatz diese Systeme ist daher gänzlich untersagt. Exemplarisch stehen dafür Systeme, wie etwa das sogenannte „Social Scoring“. “Social Scores“ stellen die Bewertung des Sozialverhaltens von Einzelpersonen dar, welche sich anhand von bestimmten Parametern verändert.
Weitere Beispiele unzulässiger Anwendungen sind KI-Systeme, die darauf abzielen, das Verhalten von Menschen oder Gruppen zu manipulieren sowie biometrische Fernidentifizierungssysteme.
Hochrisiko-KI-Systeme (high risk AI systems)
Besonders streng reguliert sind KI`s, die als Hochrisiko-KI-Systeme klassifiziert werden. Hierunter fallen zum einen KI-Systeme, welche Sicherheitskomponenten in Bauteilen von besonders risikoreichen Maschinen darstellen.
Zum anderen fallen hierunter Systeme, welche:
- für die Ausgestaltung von kritischer (Verkehrs)Infrastruktur genutzt werden, die im Zweifelsfall das Leben und die Gesundheit von Bürgern gefährden könnten,
- in Kontakt zu Schul-, Ausbildungs- oder Beschäftigtendaten stehen, da diese geeignet sein können, das Berufsleben einer Person maßgeblich zu beeinträchtigen,
- der Strafverfolgung dienen, wodurch Betroffene in Ihren Grundrechten beeinträchtigt werden könnten,
- zur Rechtspflege sowie der Abwicklung demokratischer Prozesse genutzt werden,
- zur Asyl- und Grenzkontrolle verwendet werden und
- zum Zugang zu öffentlicher Infrastruktur verwendet werden.
Vorschriften für Anbieter von Hochrisiko-KIs
Zum Betrieb eines solchen Hochrisiko-KI-Systems müssen bestimmte Anforderungen erfüllt werden, die vor allem das Risikomanagement sowie Qualitätskriterien hinsichtlich der Trainingsdatensätze von KIs betreffen.
Aufgrund der erhöhten Risikostufenzuordnung dieser KI-Systeme wird der Anbieter einer Konformitätsbewertung unterzogen, dies bedeutet, dass seine angebotene Software auf gewisse Mindeststandards untersucht wird. Beispielsweise beziehen sich die Untersuchungen auf Aspekte wie die Überprüfung und Kontrolle der KI-Inhalte durch menschliche Hand oder die Einhaltung ethischer Grundsätze. Wird die Konformität der KI mit den Maßstäben der KI-VO bejaht, bekommt diese einen entsprechenden Eintrag in einer EU-Datenbank. Sodann erhält die KI eine Zertifizierung, sodass sie auf dem Markt erworben werden kann.
Die weiteren Risikogruppen
Für Programme, die direkt mit Menschen interagieren können, den sogenannten „Chatbots“ oder KI-Systemen, welche in der Lage sind, Emotionen zu erkennen, wird ein begrenztes Risiko angenommen. Für diese Systeme gelten daher lediglich Transparenzverpflichtungen, sodass Nutzer in der Lage sind zu erkennen, dass es sich um eine Künstliche Intelligenz handelt. Schließlich liegt ein minimales Risiko für KI`s vor, die in keiner Weise eine Gefahr für Bürgerrechte oder die öffentliche Sicherheit darstellen können – etwa wie Spamfilter oder Werbeblocker. Diese Systeme treffen daher keine rechtlichen Auflagen.
Wer ist vom AI Act betroffen?
Wer von der KI-Verordnung betroffen ist, regelt Artikel 2 des Entwurfs. Danach gelten die Vorschriften für:
- Anbieter, die KI-Systeme herstellen, in den Umlauf bringen und innerhalb der EU anbieten.
- Nutzer von künstlicher Intelligenz, insbesondere Unternehmen.
Nicht betroffen sind KI-Systeme, die ausschließlich für militärische Zwecke gedacht sind sowie Behörden, die in Ländern außerhalb der EU liegen.
Rechtsfolgen von Verstößen
Für Verstöße gegen die Verordnung sind nach Art. 71 der KI-VO drei Stufen der Sanktionierung vorgesehen. Diese beinhalten, je nach der Schwere des Verstoßes, eine unterschiedliche Bemessung von Bußgeldern:
- Für jegliche auf Nachfrage erteilte, inhaltlich falsche Auskunft gegenüber Behörden – sei es auch durch unvollständige oder irreführende Angaben, welche zu Missverständnissen geführt haben – besteht ein Bußgeldrahmen von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes.
- Für Verstöße gegen Pflichten und Anforderungen der KI-VO können Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes verhängt werden. Insbesondere sind hier Pflichten im Hinblick auf die technische Dokumentation sowie die Vorgaben für Hochrisiko-KIs zu nennen.
- Auf der höchsten Sanktionierungsstufe können Bußgelder von bis zu 30 Millionen Euro oder 6 Prozent des Jahresumsatzes verhängt werden, wenn verbotene KI-Systeme zum Einsatz kamen.
Der Erlass von Vorschriften, welche diese Vorgaben detailliert umsetzen, obliegt den Mitgliedsstaaten. Zudem soll bei der Verhängung von Geldbußen die Größe der sanktionierten Unternehmen, sowie ihr wirtschaftliches Überleben berücksichtig werden. Dies gilt insbesondere für Kleinanbieter und Startups.
Derzeitiger Stand der KI-Verordnung
Der AI Act wird voraussichtlich Ende 2023 verabschiedet werden und nach ausreichend Zeit zur Umsetzung der Verordnung in Kraft treten. Mit dem Inkrafttreten wird voraussichtlich Ende 2024, Anfang 2025 gerechnet. Aktuell liegt daher lediglich ein finaler Vorschlag des EU-Parlamentes vor, der noch verabschiedet werden muss und sich in den letzten Verhandlungen zwischen den Gesetzgebungsorganen der EU befindet.
Die hier erläuterten Regelungen beziehen sich auf diesen Vorschlag des Parlaments und können sich in den abschließenden Beratungen noch ändern. Es empfiehlt sich dennoch dringend, die entsprechenden Regelungen bereits jetzt bei der Gestaltung und der Nutzung von KI einzubeziehen.
Können wir Sie bei Projekten im Bereich KI unterstützen?
Sie möchten KI-Angebote nutzen? Gerne stehen wir Ihnen zu einem ersten Gespräch zur Verfügung. Um einen Termin zu vereinbaren, kontaktieren Sie uns gern per E-Mail kontakt@recht-im-internet.de oder telefonisch unter 0511 374 98 150.
Weitere Informationen finden Sie auf unserer Kanzlei-Website recht-im-internet.de sowie auf unserem Blog netzrechtliches.de.