Alle News & Events anzeigen
19.12.2023

"KI-Flash": Aktueller Stand zur Europäischen KI-Verordnung

Nachdem wir in unserem letzten KI-Flash über die Veröffentlichung des Diskussionspapiers „Rechtsgrundlagen beim Einsatz von Künstlicher Intelligenz“ berichtet haben, möchten wir Ihnen auch weiterhin in regelmäßigen Abständen rechtliche Impulse mit auf den Weg geben. Da Zeit in der heutigen Gesellschaft ein rares Gut ist, wollen wir mit unseren „KI-Flash“ gleich auf den Punkt kommen und die rechtlichen Herausforderungen kurz und prägnant zusammenfassen:

Heutiges Thema: Aktueller Stand zur Europäischen KI-Verordnung
Wir haben bereits vor einiger Zeit einen ersten Ausblick zu den rechtlichen Anforderungen der Europäischen KI-Verordnung („KI-VO“) veröffentlicht. Da sich das Jahr 2023 nun langsam dem Ende nähert und auch auf europäischer Ebene einiges passiert ist, möchten wir die Gelegenheit nutzen, um Ihnen ein kurzes Update mit ins neue Jahr 2024 zu geben.

Wo steht die KI-VO aktuell?
Der Gesetzgebungsprozess zur KI-VO dauert bereits seit Anfang 2021 an. Nachdem nunmehr vom 6. bis zum 8. Dezember 2023 das sog. Trilog-Verfahren zwischen Vertretern des Europäischen Parlaments, des Rates der Europäischen Union und der Europäischen Kommission stattgefunden hat, lassen sich einige Eckpfeiler der neuen Regulierung konkreter abschätzen. Anzumerken sei jedoch bereits an dieser Stelle, dass bislang keine konsolidierte Fassung des finalen Entwurfs des Gesetzes existiert. Die maßgeblichen Informationen zum Gesetz können jedoch bereits verschiedenen Quellen entnommen werden, allen voran einer Pressemitteilung der Europäischen Kommission vom 9. Dezember 2023.

Wie geht es nun weiter?
Die im Trilog-Verfahren erzielte Einigung muss nunmehr förmlich vom Europäischen Parlament und vom Rat verabschiedet werden. 20 Tage nach Veröffentlichung im Amtsblatt tritt die KI-VO sodann in Kraft. Die neuen Regelungen kommen grundsätzlich 24 Monate nach Inkrafttreten zur Anwendung, wobei verbotene KI-Systeme bereits sechs Monate nach Inkrafttreten abzuschaffen und Vorschriften zu sog. KI mit allgemeinem Verwendungszweck bereits nach 12 Monaten umzusetzen sind.

Um diesen Übergangszeitraum gewissermaßen zu überbrücken, plant die Kommission jedoch einen sog. KI-Pakt, welcher bereits vorzeitig zur freiwilligen Einhaltung der Regelungen der KI-VO ermutigen soll.

Was hat es mit dem risikobasierten Ansatz der KI-VO auf sich?
Die KI-VO unterscheidet zwischen verschiedenen Risikoklassen. Hierbei wird unterschieden zwischen einem minimalen Risiko, einem hohen Risiko und einem unannehmbaren Risiko. Je nachdem, unter welche Risikoklasse eine bestimmte KI fällt, resultieren hieraus unterschiedliche Konsequenzen. Merken kann man sich insoweit: Je höher das Risiko, desto strenger die Regeln.

Bei einer großen Zahl von KI-Systemen wird es sich um solche handeln, welche lediglich einem minimalen Risiko unterliegen. Hierzu gehören bspw. KI-gestützte Empfehlungssysteme oder Spam-Filter. Da diese Systeme nur ein geringes Risiko für die Rechte oder die Sicherheit von betroffenen Personen darstellen, müssen insoweit keine spezifischen Anforderungen der KI-VO umgesetzt und eingehalten werden. Unternehmen bleibt es daneben aber offen, sich freiwillig der Einhaltung zusätzlicher Verhaltenskodizes zu unterwerfen.

Unterfällt eine KI demgegenüber einem hohen Risiko (sog. Hochrisiko-KI-System), gilt es insgesamt strengere Regeln zu befolgen. Die entsprechenden Anforderungen beziehen sich bspw. auf Risikominderungssysteme, hochwertige Datensätze, klare Informationen an die Nutzer sowie die Protokollierung und Dokumentation der jeweiligen Vorgänge. Als Beispiele für KI mit hohem Risiko können etwa Medizinprodukte, Systeme für die Zugangsgewährung zu Bildungseinrichtungen sowie Systeme zur biometrischen Identifizierung und Kategorisierung oder zur Emotionserkennung.

Ist im Hinblick auf eine KI gar ein unannehmbares Risiko anzunehmen, ist diese gänzlich verboten. Hierzu gehören etwa KI-Systeme, die menschliches Verhalten manipulieren, um den freien Willen der Nutzer zu umgehen sowie verschiedene Systeme zur vorausschauenden polizeilichen Überwachung oder zur Emotionserkennung am Arbeitsplatz.

Die vorgenannten Beispiele sind natürlich nicht abschließend, sondern sollen lediglich einen ersten Überblick zur Risikoklassifizierung nach der KI-VO verschaffen.

Gibt es auch allgemeine Regelungen zu KI – also unabhängig vom Risiko?
Ja. Neben den bisherigen Ausführungen gilt es zu beachten, dass verschiedene Anforderungen der KI-VO auch losgelöst von der eigentlichen Risikoklassifizierung Auswirkungen entfalten. So heißt es in der oben bereits angeführten Pressemitteilung der Europäischen Kommission wörtlich:

„Mit dem KI-Gesetz werden besondere Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck eingeführt, die für Transparenz entlang der Wertschöpfungskette sorgen sollen. Für sehr leistungsfähige Modelle, die systemische Risiken bergen könnten, werden zusätzliche verbindliche Verpflichtungen in Bezug auf das Risikomanagement, die Überwachung schwerwiegender Vorfälle, die Modellbewertung und Angriffstests bestehen. Diese neuen Verpflichtungen werden durch Verhaltenskodizes umgesetzt, die von der Industrie, der Wissenschaft, der Zivilgesellschaft und anderen Interessenträgern gemeinsam mit der Kommission aufgestellt werden.“

Auch gelten für einige KI-Systeme besondere Transparenzverpflichtungen:

„Beim Umgang mit KI-Systemen wie Chatbots sollte den Nutzern bewusst sein, dass sie es mit einer Maschine zu tun haben. Deepfakes und andere KI-generierte Inhalte müssen als solche gekennzeichnet werden, und die Nutzer müssen informiert werden, wenn Systeme zur biometrischen Kategorisierung oder Emotionserkennung verwendet werden. Darüber hinaus müssen die Anbieter Systeme so gestalten, dass synthetische Inhalte wie Audio-, Video-, Text- und Bildinhalte in einem maschinenlesbaren Format als künstlich erzeugt oder manipuliert gekennzeichnet werden und als solche erkannt werden können.“

Was haben Unternehmen bei fehlender Umsetzung der Vorschriften zu befürchten?
Unternehmen, welche die Vorschriften der KI-VO nicht einhalten, müssen widrigenfalls mit Geldbußen rechnen. Die Geldbußen können betragen:

  • 35 Mio. EUR bzw. 7 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist – für Verstöße gegen das Verbot von KI-Anwendungen
  • 15 Mio. EUR bzw. 3 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist – für Verstöße gegen andere Verpflichtungen der KI-VO
  • 7,5 Mio. EUR bzw. 1,5 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist – für falsche Informationen

Für KMU und Start-up-Unternehmen sind bei Verstößen gegen die KI-VO demgegenüber verhältnismäßige Obergrenzen vorgesehen.

Nun die spannende Frage: Was sollten Unternehmen bereits jetzt tun?
Die KI-VO wird kommen und sodann einige Herausforderungen mit sich bringen. Bereits jetzt sollten Unternehmen – soweit personenbezogene Daten verarbeitet werden – jedenfalls die Anforderungen der DS-GVO vollends prüfen und anschließend umsetzen, um insoweit keine weitere offene Baustelle zu provozieren. Daneben ist es natürlich unerlässlich, zu prüfen, welche Regelungen der neuen KI-VO auf das Unternehmen zukommen. Dies hängt mitunter von der Risikoklassifizierung ab, kann aber auch anhand weiterer Kriterien zu beurteilen sein. Spätestens sobald die konsolidierte Fassung der KI-VO vorliegt, sollten Unternehmen daher in eine entsprechende Prüfung einsteigen und die weiteren Schritte gründlich planen. Was bringen gute Ideen zum jetzigen Zeitpunkt, wenn diese künftig nicht, oder nicht wie gewollt, umgesetzt werden können?

Gerne unterstützen wir Sie bei allen rechtlichen Herausforderungen bei der Entwicklung und/oder dem Einsatz von KI.

Für unsere nächsten KI-Flash im Jahr 2024 werden wir uns weitere ausgewählte Themen und Fragen rund um KI heraussuchen und Sie auch weiterhin auf dem Laufenden halten.

    Teilen

  • LinkedIn
  • XING