"KI-Flash": Finale Fassung des AI Acts wurde verabschiedet

Nachdem wir in unserem letzten KI-Flash der Frage nachgegangen sind, wer Anbieter einer KI im Sinne der AI Acts ist, möchten wir Ihnen auch weiterhin in regelmäßigen Abständen rechtliche Impulse mit auf den Weg geben. Da Zeit in der heutigen Gesellschaft ein rares Gut ist, wollen wir mit unseren „KI-Flash“ gleich auf den Punkt kommen und die rechtlichen Herausforderungen kurz und prägnant zusammenfassen:

Heutiges Thema: Finale Fassung des AI Acts wurde verabschiedet

Am 21. Mai 2024 hat der Rat der Europäischen Union nunmehr die endgültige Fassung des AI Acts und damit das weltweit erste umfassende Regelungswerk zu Künstlicher Intelligenz (KI) verabschiedet. Mit der in Kürze erwarteten Veröffentlichung im Amtsblatt der Europäischen Union wird der Gesetzgebungsprozess, der auf einen Vorschlag der EU-Kommission von 2021 zurückgeht, seinen Abschluss finden. Der AI Act hat den Anspruch, weltweit neue Standards im Umgang mit KI zu setzen. Ob der AI Act diesem Anspruch gerecht wird, bleibt abzuwarten.

Was regelt der AI Act?

Im AI Act werden EU-weite Vorschriften für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI festgelegt. Wir haben bereits über verschiedene inhaltliche Aspekte des AI Acts berichtet, weshalb nachstehend nur ein kurzer Überblick erfolgen soll:

Der AI Act unterliegt grundsätzlich einem sog. risikobasierten Ansatz. Bestimmte KI-Praktiken werden hierbei vollständig verboten. Unter diese verbotenen Praktiken fallen etwa Social-Scoring-Systeme, bei denen Menschen nach ihrem Verhalten bewertet werden, oder manipulative KI-Systeme. An sog. Hochrisiko-KI-Systeme werden demgegenüber verschiedene technisch-organisatorische Anforderungen gestellt und ihren Anbietern sowie Betreibern besondere Verpflichtungen auferlegt. Für KI-Systeme mit einem geringen Risiko (etwa KI-Systeme, die mit natürlichen Personen interagieren, oder KI-Systeme zur Erzeugung sog. „Deep-Fakes“) werden besondere Transparenzanforderungen aufgestellt.

Auch sogenannte General Purpose AI Models (GPAIM - darunter fallen die bekannten KI-Modelle GPT-4, DALL-E, Google BERT oder Midjourney 5.1.) unterliegen einer eigenen Risikoklassifizierung und stellen somit einen eigenständigen Regelungsbereich des AI Acts dar.

Wenige Änderungen auf den letzten Metern

Gegenüber der letzten Fassung des AI Acts, welche noch der Billigung des EU-Parlaments am 13. März 2024 zu Grunde lag, haben sich auf den letzten Metern nun einige überschaubare Änderungen ergeben. In der sog. „Corrigendum“-Fassung vom 19. April 2024 wurden letzte sprachliche Anpassungen und Fehlerkorrekturen vorgenommen. Die hierbei vorgenommenen Änderungen haben jedoch teilweise auch relevante inhaltliche Auswirkungen:

Die erste Änderung betrifft in erster Linie Open-Source-KI-Systeme, also solche KI-Technologien, die auf einem offenen und frei verfügbaren Quellcode basieren. Während Open-Source-Systeme nach dem Wortlaut vergangener Fassungen noch in den Anwendungsbereich des AI Acts fielen, wurde dies nun abgeändert. Nach der nunmehr finalen Fassung des AI Acts gilt dieser nicht mehr für KI-Systeme, die unter freien und quelloffenen Lizenzen veröffentlicht werden, es sei denn, es handelt sich um verbotene KI-Systeme, um Hochrisiko-Systeme oder um KI-Systeme, die bestimmten Transparenzpflichten unterliegen (siehe oben).

Daneben wurden in der finalen Fassung des AI Acts einige Änderungen vorgenommen, welche sich auf sehr spezielle Einzelregelungen beziehen. So ergab eine redaktionelle Überarbeitung des Abschnitts über die verbotenen KI-Praktiken etwa inhaltlich eine Änderung, was den (verbotenen) Einsatz von unterschwellig manipulierender KI angeht. Weiter wurde gegenüber der Vorgängerversion auch der Zuständigkeitsbereich des sog. AI Office der Europäischen Kommission präzisiert.

Weitere Änderungen betreffen den Annex III des AI Acts, in welchem Hochrisiko-KI-Systeme aufgelistet werden. So wurde etwa klargestellt, dass KI-Systeme zur Überwachung von Schülern in Bildungseinrichtungen (z.B. im Rahmen einer Klassenarbeit) auf allen Stufen des Bildungswegs als Hochrisiko-KI-Systeme einzustufen sind.

Was sind die nächsten Schritte?

Der AI Act muss nun im Amtsblatt der Europäischen Union veröffentlicht werden. Mit der Veröffentlichung wird noch im Laufe des Juni 2024 gerechnet. 20 Tage nach der Veröffentlichung im Amtsblatt tritt der AI Act sodann offiziell in Kraft. Im Anschluss beginnen die verschiedenen Umsetzungsfristen zu laufen. Grundsätzlich müssen die Vorgaben des AI Acts innerhalb von 24 Monaten nach Inkrafttreten umgesetzt sein. Für einige (wichtige) Teile des AI Acts gelten jedoch spezifische Umsetzungsfristen. Hierzu gehören insbesondere die Regelungen zu verbotenen KI-Systemen, die bereits sechs Monate nach Inkrafttreten Gültigkeit beanspruchen.

Viele Fragen zur Auslegung des AI Acts sind noch offen, weshalb die weiteren Entwicklungen auf europäischer Ebene (etwa die Veröffentlichung von Handreichungen) im Auge behalten werden sollten. Außerdem behandelt der AI Act nicht alle Themen, die den Umgang mit KI betreffen. So werden im AI Act bspw. keine eigenen Anspruchsgrundlagen für Schadensersatz geschaffen, was vielfach kritisiert wurde. Für Haftungsfragen im Zusammenhang mit KI ist jedoch eine spezielle europäische KI-Haftungs-Richtlinie in Arbeit, die den Rechtsrahmen für den Einsatz von KI ergänzen wird.

Mit Blick auf den Datenschutz wird neben dem AI Act auch weiterhin die DS-GVO zu beachten sein. Kürzlich erst veröffentlichte die Datenschutzkonferenz eine Orientierungshilfe zum Umgang mit KI aus datenschutzrechtlicher Perspektive, worüber wir berichteten.

Wir halten Sie über unseren KI-Flash sowie in Webinaren auch in Zukunft zu allen Themen rund um KI auf dem Laufenden.