Nachdem wir in unserem letzten KI-Flash über die Durchsetzung der Marktüberwachung der KI-Verordnung berichtet haben, möchten wir Ihnen auch weiterhin in regelmäßigen Abständen rechtliche Impulse mit auf den Weg geben. Da Zeit in der heutigen Gesellschaft ein rares Gut ist, wollen wir mit unseren „KI-Flash“ gleich auf den Punkt kommen und die rechtlichen Herausforderungen kurz und prägnant zusammenfassen:
Heutiges Thema: Sanktionen bei Verstößen gegen die KI-VO
Die Entschlossenheit der EU zu einer strikten Regulierung von KI-Systemen zeigt sich auch in den Ausführungen zu Sanktionen bei Verstößen gegen die KI-VO. Auf EU-Ebene müssen die Mitgliedsstaaten dafür sorgen, dass Vorschriften für Sanktionen „wirksam, verhältnismäßig und abschreckend“ sind. Neben den Sanktionen und andere Durchsetzungsmaßnahmen, die den Aufsichtsbehörden zur Verfügung gestellt wurden, wird der in Art. 99, 101 KI-VO festgelegte Bußgeldkatalog eine besondere Praxisrelevanz entfalten. Gerade für Unternehmen ist es von herausragender Bedeutung die Sanktionen zu kennen, die bei einer Nichteinhaltung der Vorschriften drohen.
Der Bußgeldkatalog der KI-VO
Der Bußgeldkatalog der KI-VO gibt sowohl den Straftatbestand als auch die Höchststrafsumme einer Geldbuße vor. Hierbei geht es insbesondere um die Einhaltung von Verboten und Verpflichtungen, die aus der KI-VO resultieren. Vorgesehen ist hierbei ein abgestuftes System, welches sich nach der Schwere des Verstoßes richtet.
Bei einer Missachtung von dem Verbot der KI-Praktiken aus Art. 5 werden bis zu 35 Mio. EUR oder von bis zu 7 % des gesamten weltweiten Vorjahresumsatzes verhängt, je nachdem welcher Betrag höher ist (Art. 99 Abs. 3). Hierunter zählt beispielsweise der Einsatz von KI, die das menschliche Verhalten manipulieren oder Schwäche ausnutzen, auch sog. „Social Scoring“ und „Predictive Policing“.
Bei Verstößen gegen Verpflichtungen, welche von den Konformitätsbewertungsstellen und den jeweiligen Akteuren einzuhalten sind, werden bis zu 15 Mio. EUR oder von bis zu 3 % des gesamten weltweiten Vorjahresumsatzes verhängt, je nachdem welcher Betrag höher ist (Art. 99 Abs. 4). Hierunter fallen diejenigen Akteure, die entlang der Wertschöpfungskette eines KI-Systems von der KI-VO adressiert und verpflichtet werden. Somit können Anbieter, Betreiber, Bevollmächtigte, Einführer und Händler von KI-Systemen Adressaten einer Geldbuße werden. Innerhalb dieser Kategorie sind zudem Unternehmen erfasst die Hochrisiko-KI-Systeme einsetzen, ohne die erforderlichen Risikobewältigungsmaßnahmen zu implementieren.
Sofern falsche, unvollständige oder irreführende Informationen auf Auskunftsersuchen der Konformitätsbewertungsstellen oder der zuständigen nationalen Behörde bereitgestellt werden, werden bis zu 7,5 Mio. oder 1,5% verhängt (Art. 99 Abs. 5).
Für die Bußgelder die gegen die Anbieter von GPAI-Modellen verhängt werden können ist es zusätzlich nach Art. 101 erforderlich, dass sie vorsätzlich oder fahrlässig gegen ihre Pflichten aus der KI-VO verstoßen haben. Diese werden unmittelbar von der Kommission verhängt und dürfen nicht höher als 15 Mio. EUR oder 3 % des Vorjahresumsatz sein (Art. 101).
Sonderregelung für KMU und Start-ups
Grundsätzlich ist bei der Bestimmung der Höhe der Geldbuße der Faktor heranzuziehen, aus dem die höhere Geldbuße resultiert. Während die oben genannten Bußgelder für große Unternehmen erhebliche Summen darstellen kann, gilt für kleine oder mittelständige Unternehmen gem. Art. 99 Abs. 6, dass an den jeweils geringeren Betrag angeknüpft wird. Zudem sollen die Interessen von KMUs ebenfalls bei der Festlegung von anderen Sanktionen, die keine Geldbußen sind, von den Mitgliedstaaten berücksichtigt werden sollen.
Ermittlung von Bußgeldern
Bei der Ermittlung ob und in welchem Umfang ein Bußgeld zu verhängen ist, sind nach Art. 99 Abs. 7 unter anderem folgende erschwerende oder mildernde Gesichtspunkte zu berücksichtigen:
- Art, Schwere und Dauer des Verstoßes und seiner Folgen, unter Berücksichtigung des Zwecks des KI-Systems sowie gegebenenfalls der Zahl der betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
- ob demselben Akteur bereits von anderen Marktüberwachungsbehörden für denselben Verstoß Geldbußen auferlegt wurden;
- Größe, Jahresumsatz und Marktanteil des Akteurs, der den Verstoß begangen hat;
- jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie etwa unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste;
- usw.
Ausblick
Mit Blick auf die vorgesehenen Sanktionen und Geldbußen nach der KI-VO bleiben zunächst noch einige Fragen offen. Interessant dürfte werden, welchen Behörden die Zuständigkeit zur Verhängung von Geldbußen eingeräumt wird, denn in der Verordnung findet sich keine ausdrückliche Zuständigkeitszuweisung.
Auch in Bezug auf die Übertragung von Rechtsprechungen zu anderen Sekundärrechtsakte gibt es bereits erste Stimmen, die davon ausgehen, dass die Rechtsprechung des EuGHs zur Unternehmenshaftung nach der DSG-VO auf die KI-VO übertragen werden wird. Hiernach haftet das Unternehmen für Verstöße von jedem Unternehmensmitarbeiter unter der Voraussetzung, dass dem Unternehmen der Verstoß bewusst gewesen sein muss oder zumindest vorhersehbar war.
Offen bleibt zudem, ob die Berechnungsgrundlage für die Höhe der Geldbuße den Vorjahresumsatz des Mutterkonzerns meint.
Fazit
Die Einführung strikter Regulierungen und die Höhe der Bußgelder zeigt, dass die Entschlossenheit der EU ist den Einsatz von KI-Systemen zu regulieren. Trotz der abschreckenden Wirkung, die der Bußgeldkatalog durch die Höchststrafsummen für Verstöße und Pflichtverletzungen entfaltet, kann man mit Blick auf die Entwicklung der DSG-VO-Bußgelder, durchaus hoffen, dass die zukünftig zuständigen Aufsichtsbehörden auch unter der KI-VO ein ausgewogenes Verhältnis wahren und die maximal Strafsummen nur in Ausnahmefällen ausreizen.
Zudem zeigt die besondere Berücksichtigung der Interessen von KMUs und Start-ups den Innovativen Gedanken hinter der KI-VO. Dennoch ist es für die Unternehmen wichtig die verbleibende Zeit zu nutzen um sich auf die neuen Anforderungen vorzubereiten. Unternehmen sollten proaktiv Maßnahmen ergreifen, um die Einhaltung der KI-VO sicherzustellen und somit die potentiellen Risiken von Sanktionen minimieren.
Co-Autorin: Alexa Strack, Praktikantin, SKW Schwarz