Einigung auf EU-Regeln für AI erfolgt – das sind die wichtigsten Inhalte
Der AI-Act ist ein umfangreiches EU-Rahmenwerk zur Regulierung von künstlicher Intelligenz. Den Vorschlag für ein solches Rahmenwerk hatte die EU-Kommission bereits im April 2021 erarbeitet. Nach langen Trilog-Verhandlungen zwischen EU-Kommission, EU-Parlament und Rat der EU konnte am 8. Dezember 2023 ein politischer Konsens erzielt werden.
Das bedeutet, dass die grundsätzlichen Eckpunkte dieses neuen Rahmenwerks feststehen. Gleichzeitig werden die Arbeiten auf technischer Ebene fortgesetzt, um den Text zu finalisieren. Der endgültige Beschluss wird im kommenden Jahr erwartet. Der AI-Act wird als europäische Verordnung verabschiedet, wodurch dieses Regelwerk unmittelbare Anwendung in den Mitgliedstaaten findet und nicht erst in nationales Recht umgesetzt werden muss.
AI-Act: Was bedeutet die kürzliche Einigung auf EU-Ebene zum AI-Act im Detail und was sollten Unternehmen bei der Vorbereitung auf den AI-Act beachten?
Die Key-Takeaways auf die sich Unternehmen einstellen müssen, fassen wir wie folgt zusammen:
1. Welchen Anwendungsbereich hat der AI-Act?
Grundsätzlich ist jedes Unternehmen vom AI-Act betroffen. Der AI-Act sieht harmonisierte Rechtsvorschriften für die Entwicklung, das Inverkehrbringen sowie die Verwendung von Systemen der künstlichen Intelligenz („KI-Systeme“) in der EU vor und erfasst somit die einzelnen Teilnehmer:innen in der Wertschöpfungskette, insb. jene die KI-Systeme entwickeln oder einsetzen.
Hinsichtlich der Definition von KI-Systemen wird der AI-Act den wesentlichen Merkmalen des OECD-Ansatzes folgen und sich daher an internationalen Standards orientieren. Dabei wird auch eine Abgrenzung zu einfachen Softwaresystemen vorgenommen.
Ausgenommen vom Anwendungsbereich des AI-Act sind KI-Systeme die ausschließlich für militärische oder verteidigungspolitische Zwecke eingesetzt werden, um die Kompetenzen der Mitgliedstaaten in diesen Bereichen nicht zu berühren. Der AI-Act gilt auch nicht für den Bereich der Forschung oder für Personen, die KI für reine private Zwecke nutzen.
Da der AI-Act einen breiten Anwendungsbereich hat, sind praktisch alle Unternehmen betroffen.
2. Wie werden KI-Systeme vom AI-Act reguliert?
Der AI-Act stuft KI-Systeme in unterschiedliche Risikoklassen ein (sog. risikobasierter Ansatz) und knüpft die zu erfüllenden Pflichten daran, unter welche Risikoklasse ein KI-System fällt. In der Praxis wird die für Unternehmen bedeutendste Abgrenzungsfrage sein, ob ein KI-System in die Kategorie “High-Risk” oder “Limited Risk” fällt.
- High-Risk KI-Systeme: Für KI-Systeme, die mit einem hohen Risiko (dh. mit erheblich drohenden Gefahren zB. für die Grundrechte) verbunden sind, gelten eine Reihe an Verpflichtungen. Zu diesen High-Risk KI-Systemen sollen zum Beispiel auch jene angehören, die im Bereich der wesentlichen privaten und öffentlichen Dienstleistungen eingesetzt werden – welche das im Einzelnen sind, wird einer tieferen Prüfung bedürfen. Spezielle Anforderungen werden bei High-Risk KI-Systemen insbesondere an die Datenqualität, die Erstellung technischer Dokumentation sowie die Registrierung in einer EU-Datenbank gestellt. Bevor solche KI-Systeme in Verkehr gebracht werden, ist auch ein sog. „fundamental rights impact assessment“ durchzuführen. Darunter ist eine obligatorische Folgenabschätzung in Bezug auf die Grundrechte zu verstehen.
- Limited-Risk KI-Systeme: Wenn von einem KI-System ein begrenztes Risiko ausgeht, gelten Transparenzvorschriften. Dazu zählt etwa der Hinweis, dass ein Inhalt von einer KI erzeugt wurde, damit Nutzer:innen bei der Verwendung des KI-Systems diesen Umstand in ihre Entscheidungen einfließen lassen können.
- Verbotene KI-Systeme: KI-Systeme, die mit einem inakzeptablen Risiko verbunden sind, werden gänzlich untersagt. Dazu gehören etwa KI-Systeme, die in folgende Bereiche einzuordnen sind:
- Biometrische Kategorisierung zur Ermittlung sensibler Daten wie sexuelle Orientierung oder Religion,
- Ungezielte Erfassung von Gesichtsbildern aus dem Internet oder aus Videoüberwachungsanlagen,
- Erkennung von Emotionen am Arbeitsplatz und in Bildungseinrichtungen,
- Social Scoring,
- Kognitive Verhaltensmanipulation bzw. das Ausnutzen von Schwächen einzelner Personen (zB. aufgrund deren Alters).
Es gelten nicht für alle KI-Systeme die gleichen Regeln, sondern diese sind von der Einstufung in die Risikoklasse abhängig. In der Praxis bedeutsam wird vor allem die Frage sein, was unter dem Bereich der wesentlichen privaten und öffentlichen Dienstleistungen zu verstehen ist, der ein KI-System bei Einsatz in diesem Bereich in die High-Risk Klasse einstuft.
3. Welche Regelungen gelten für KI-Basismodelle und General Purpose AI-Systeme?
Während im ursprünglichen Kommissionsentwurf noch keine Bestimmungen für KI-Basismodelle und General Purpose AI-Systeme (GPAI) enthalten waren, werden nun spezielle Regelungen eingeführt.
KI-Basismodelle sind Systeme, die in der Lage sind, ein breites Spektrum unterschiedlicher Aufgaben zu erfüllen, wie z.B. Video-, Text- und Bilderzeugung oder die Erzeugung von Computercode. Bevor diese Modelle auf den Markt gebracht werden, müssen Transparenzerfordernisse eingehalten werden. Wer solche Modelle entwickelt, muss im Rahmen der technischen Dokumentation insbesondere Auskunft über die Trainingsdaten und Testverfahren liefern. Außerdem muss nachgewiesen werden, dass geltendes Urheberrecht eingehalten wurde.
Zusätzliche Anforderungen (zB. in Bezug auf die Gewährleistung der Cybersicherheit, von Modellevaluierungen und Berichtspflichten an die Kommission bei schwerwiegenden Vorfällen) werden bei High-Impact Modellen bestehen, dh. bei komplexen Modellen, die mit großen Datenmengen trainiert werden und deren Fähigkeiten und Leistung weit über dem Durchschnitt liegen. Strengere Regeln gelten auch, wenn GPAI-Modelle in High-Risk Systeme integriert werden.
Für KI-Basismodelle und General Purpose AI-Systeme ist entscheidend, wie solche Modelle eingesetzt werden. Strenge Auflagen bestehen insbesondere, wenn diese als High-Impact Modelle zu qualifizieren sind oder eine Integration in ein High-Risk System erfolgt.
4. Welche Aufgaben haben das AI-Office, das AI Committee sowie das Advisory Forum?
Auf EU-Ebene wird innerhalb der EU-Kommission ein AI-Office eingerichtet, das die Aufgabe hat, die fortschrittlichsten AI-Modelle zu beaufsichtigen, zur Erarbeitung von Standards und Prüfpraktiken beizutragen sowie die gemeinsamen Vorschriften in allen Mitgliedstaaten durchzusetzen. Dabei wird das AI-Office auch von einem wissenschaftlichen Gremium unabhängiger Expert:innen unterstützt, dass das AI-Office vor allem im Bereich der GPAI-Modelle beraten soll.
Daneben besteht das AI-Committee, das sich aus Vertreter:innen der einzelnen Mitgliedstaaten zusammensetzt und weiter als Koordinierungsplattform sowie Beratungsgremium für die Kommission und den Mitgliedstaaten bei der Umsetzung des AI-Acts dienen wird.
Zusätzlich wird ein Advisory Forum für diverse Stakeholder (wie u.a. Industrievertreter:innen, KMUs, Start-ups und Wissenschaft) eingerichtet, das mit technischem Fachwissen das AI-Board unterstützen soll.
Auf EU-Ebene werden Gremien eingesetzt, die vor allem mit Fachwissen unterstützen sollen.
5. Mit welchen Strafen ist bei Nichteinhaltung zu rechnen?
Die Nichteinhaltung kann zu Geldstrafen führen, die je nach Verstoß und Unternehmensgröße variieren. Bei Verstößen gegen verbotene KI-Systeme drohen bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes. Sonstige Verstöße gegen Verpflichtungen aus dem AI-Act können mit bis zu 15 Millionen Euro und 3% des weltweiten Umsatzes bestraft werden. Wird von einem Unternehmen eine falsche Information erteilt, kann dies mit 7,5 Millionen Euro oder 1,5 % des Umsatzes geahndet werden.
Verstöße gegen den AI-Act können mit erheblichen Strafen geahndet werden, die bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes reichen können. Angesichts der zahlreichen unklaren Gesetzesbegriffe wird das eine erhebliche Herausforderung für Unternehmen darstellen.
6. Wann tritt der AI-Act in Kraft?
Während einige Teilbereiche des AI-Acts schrittweise Geltung erlangen sollen (wie insbesondere die Verbote nach 6 Monaten und Transparenzpflichten nach 12 Monaten), müssen Unternehmen sämtliche Bestimmungen nach Ablauf von 24 Monaten einhalten.
Der endgültige Beschluss des AI-Acts wird im Jahr 2024 erwartet, dann treten die Bestimmungen schrittweise über einen Zeitraum von weiteren zwei Jahren in Kraft.
7. Was sollten Unternehmen bei der Vorbereitung auf den AI-Act beachten?
- Bereits nach geltendem Recht braucht jedes Unternehmen Business Rules, die den Einsatz von KI – auch durch Mitarbeiter:innen außerhalb der unternehmenseigenen IT-Infrastruktur durch beispielsweise ChatGPT – regeln.
- Ermittlung der Risikoklasse, unter die geplante KI-Systeme fallen und Ableitung von Erfordernissen für die Entwicklung oder Nutzung.
- (Strategische) Planung von Projekten, um sicherzustellen, dass ihre KI-Systeme den gesetzlichen Vorschriften entsprechen werden.