Nachdem wir in unserem letzten KI-Flash bereits die datenschutzrechtlichen Anforderungen an das Trainieren einer KI aufgezeigt haben, möchten wir Ihnen auch weiterhin in regelmäßigen Abständen rechtliche Impulse mit auf den Weg geben. Da Zeit in der heutigen Gesellschaft ein rares Gut ist, wollen wir mit unseren „KI-Flash“ gleich auf den Punkt kommen und die rechtlichen Herausforderungen kurz und prägnant zusammenfassen:
Heutiges Thema: Ausblick zu den rechtlichen Anforderungen der europäischen KI-Verordnung
In diesem Beitrag wollen wir einen Ausblick zu den rechtlichen Anforderungen der europäischen KI-Verordnung („KI-VO“) geben.
Aktueller Stand der Gesetzgebung
Die KI-VO, deren Ausgangspunkt ein Vorschlag der EU-Kommission vom 21. April 2021 ist, wird aktuell im sog. Trilog-Verfahren verhandelt. Dies bedeutet, dass der finale Text der KI-VO noch nicht feststeht. Zudem ist aktuell unklar, wann der finale Text durch die zuständigen Gremien angenommen wird. Nach aktuellen Pressemeldungen soll das Trilog-Verfahren Ende 2023 / Anfang 2024 abgeschlossen sein, sodass die KI-VO möglicherweise im Jahr 2024 angenommen werden kann und danach im Amtsblatt der EU veröffentlicht wird. An diese Veröffentlichung wird sich voraussichtlich eine Übergangsfrist anschließen, bevor die KI-VO letztlich unmittelbar anwendbares Recht wird und sich Unternehmen daran halten müssen.
Risikobasierter Ansatz als zentrales Element
Ein zentrales Element soll der risikobasierte Ansatz beim Einsatz von KI-Anwendungen sein. KI-Modelle, die ein erhebliches Risiko für Menschen darstellen können (z. B. für die Gesundheit, die Sicherheit und/oder die Grundrechte), sollen strengen Anforderungen unterliegen. Dazu sollen strenge Anforderungen insb. an das Risikomanagement und die Data Governance gelten.
Um diesen risikobasierten Ansatz in der Praxis besser handhabbar zu machen, wird es möglicherweise eine Liste der EU-Kommission geben. In dieser Liste soll es Beispiele für KI-Anwendungen mit einem hohen Risiko und Beispiele für KI-Anwendungen mit einem niedrigeren Risiko geben.
Transparenz und Bereitstellung von Informationen für die Nutzer
Ein weiterer wichtiger Punkt ist die Transparenz für Nutzer und die Bereitstellung von aussagekräftigen Informationen. Hochrisiko-KI-Anwendungen sollen so konzipiert und entwickelt werden, dass ihr Betrieb hinreichend transparent ist. Ein durchschnittlicher Nutzer soll die Ergebnisse der KI-Anwendung (also den Output) angemessen interpretieren und verwenden können. Dies bedeutet auch, dass diese Informationen verständlich sein müssen, nicht nur für Personen mit Fachwissen. Dazu sollen Gebrauchsanweisungen zur Verfügung gestellt werden.
Beaufsichtigung durch einen Menschen
Zumindest Hochrisiko-KI-Anwendungen müssen so entwickelt werden, dass ein Mensch sie wirksam beaufsichtigen und ggf. in die Verarbeitung eingreifen kann. Diese Anforderung ist in etwa vergleichbar mit der Regelung in Artikel 22 Abs. 3 DSGVO. Danach muss ein Mensch in bestimmten Fällen eine automatisierte Entscheidungsfindung kontrollieren können und ggf. eine andere Entscheidung treffen können.
Überwachung und Verbote
Noch ist nicht absehbar, welche Behörde oder welche Behörden für die Überwachung von KI-Anwendungen zuständig sein werden. Hier wird es wohl unterschiedliche Regelungen in den einzelnen Mitgliedstaaten geben. Zudem ist unklar, ob es im Rahmen der KI-VO konkrete Verbote geben soll, also ob der Gesetzgeber letztlich bestimmte KI-Anwendungen von vornherein verbieten will.
Aktuelle Marktentwicklungen sind schneller als das Trilog-Verfahren
Insgesamt ist zu beobachten, dass sich KI-Anwendungen, die bereits am Markt verfügbar sind, rasant fortentwickeln, während das Trilog-Verfahren läuft. Daher wird die KI-VO möglicherweise Vorgaben enthalten, die für alle Anbieter von KI-Anwendungen gelten sollen und die darauf abzielen, dass Nutzer eine KI-Anwendung rechtsicher(er) einsetzen können. Dadurch könnte die KI-VO flexibler auf aktuelle Entwicklungen reagieren, als es mit einer generellen Einteilung von KI-Anwendung möglich wäre.
Abschließende Einschätzung
Wir gehen davon aus, dass die KI-VO kommen wird und dass im Trilog sicher noch Details ausgearbeitet werden. Wir gehen allerdings auch davon aus, dass Anforderungen an die Transparenz und an die Rechtmäßigkeit des Einsatzes einer KI-Anwendung, zumindest vergleichbar zu dem ursprünglichen Entwurf der EU-Kommission, letztlich anwendbares Recht werden, voraussichtlich 2025 / 2026.
In unserem nächsten KI-Flash soll weiter auf den risikobasierten Ansatz der europäischen KI-Verordnung eingegangen werden.