Die EU hat sich auf eine neue Verordnung zum Einsatz von Künstlicher Intelligenz (KI) geeinigt, den Artificial Intelligence Act (AI Act). Gelingt ihr damit der Spagat zwischen Regulierung und Wettbewerbsfähigkeit europäischer Unternehmen? Der AI Act gibt auf der einen Seite klare Vorgaben für den Einsatz von KI, stellt auf der anderen Seite Unternehmen vor zahlreiche Herausforderungen.
Bereits im April 2021 – lange bevor KI mit ChatGPT in aller Munde war – hat die EU-Kommission einen Vorschlag unterbreitet, wie Künstliche Intelligenz in Europa genutzt werden soll. Mit der vorgeschlagenen KI-Verordnung wollte die EU einerseits das Vertrauen der Bürger in eine wohl wegweisende neue Technologie stärken und einen rechtlichen Rahmen für den wettbewerbsfähigen Einsatz in der EU schaffen.
Die Verhandlungen des AI Act wurden durch die Veröffentlichung des Chatbots ChatGPT, der mit generativer KI in Echtzeit Texte, Bilder oder einen Sourcecode generiert, überholt. Ende 2023 brachte das Trilog-Verfahren zwischen EU-Kommission, EU-Parlament und Europäischem Rat eine Einigung hervor. Der finale Text wird voraussichtlich im März 2024 endgültig verabschiedet und kurz später soll die KI-Verordnung bereits in Kraft treten. Ihre Wirkung soll sie allerdings nach einer Übergangszeit von zwei Jahren, voraussichtlich im Sommer 2026, entfalten. Für Unternehmen, die planen KI-Anwendungen einzusetzen, ist das jedoch kein Grund sich auszuruhen.
Risikobasierter Ansatz bei der Einstufung von
KI-Systemen
Mit dem AI Act wird zunächst ein einheitlicher Rahmen geschaffen, der KI-Systeme anhand des Risikos klassifiziert. Das Gesetz unterscheidet dabei zwischen KI-Systemen mit unannehmbarem, hohem, geringem oder minimalem Risiko. Die Auswirkung lässt sich knapp zusammenfassen: Je höher das Risiko, desto höher die Anforderungen an das jeweilige KI-System. Diese gehen bis hin zu einem generellen Verbot von KI-Systemen mit einem unannehmbaren Risiko.
Ein unannehmbares Risiko sieht die EU dabei bei allen KI-Anwendungen, bei denen KI genutzt wird, um das Verhalten von Personen so zu beeinflussen, dass der Person oder einem Dritten ein Schaden zugefügt wird. Ebenfalls verboten sind Praktiken, die auf die Ausnutzung oder Beeinflussung von schutzbedürftigen Gruppen (Alter, Behinderung, soziale Situation) abzielen oder ein Social Scoring durchführen und damit die betroffenen Personen schlechterstellen. Der Einsatz von biometrischen Echtzeit-Fernidentifizierungssystemen im öffentlichen Raum zur Strafverfolgung ist mit wenigen speziellen Ausnahmen grundsätzlich verboten.
Den zentralen Regelungsbereich stellen KI-Anwendungen mit einem hohen Risiko dar. Hochrisikosysteme sind solche, die ein erhebliches Risiko für die Gesundheit, Sicherheit oder Grundrechte darstellen. Sie unterliegen strengen Anforderungen bezüglich Transparenz, Datengenauigkeit und Überwachung durch Menschen. Zu den Hochrisikosystemen gehören insb. KI-Anwendungen im Bereich des autonomen Fahrens oder der Medizintechnik, doch fallen eine Vielzahl weiterer Systeme in diese Kategorie. Dazu zählen KI-Systeme in kritischen Infrastrukturen, Bildung, Beschäftigung und Strafverfolgung.
Für Systeme, die nur ein niedriges Risiko aufweisen, sieht der AI Act im Gegenzug einen erleichterten Katalog an Pflichten vor. Hier stehen die Transparenzpflichten im Mittelpunkt. Hierdurch soll sichergestellt werden, dass der Endnutzer weiß, dass er ein System mit KI einsetzt.
KI-Systeme mit einem minimalen Risiko fallen hingegen nicht unter den AI Act. Diese können daher uneingeschränkt genutzt werden. Die EU hatte hier einfache KI-Systeme im Blick, wie etwa automatisierte Elemente von Firewalls oder SPAM-Filter. Durch die zunehmende Verbreitung von generativer KI werden künftig wohl zunehmend KI-Systeme in den Anwendungsbereich des AI Act fallen.
Hohe Anforderungen bei Hochrisikosystemen
Unternehmen, die KI-Systeme mit einem hohen Risiko entwickeln, vertreiben oder einsetzen wollen, müssen eine Vielzahl von Anforderungen beachten. Neben den allgemeinen Transparenzpflichten, die mit dem AI Act für die regulierten Klassen eingeführt werden, müssen zahlreche weitere Pflichten umgesetzt werden. Zunächst muss eine umfassende Risikoanalyse durchgeführt und vergleichbar einer Datenschutz-Folgenabschätzung Maßnahmen getroffen werden, um die Risiken zu minimieren. Darüber hinaus muss sichergestellt werden, dass die KI, die in dem System zum Einsatz kommt, nur mit zuverlässigen und hochwertigen Daten trainiert wurde.
So sollen Verzerrungen und ungenaue Ergebnisse vermieden werden. Ebenso müssen die Systeme besonders sicher vor manipulativen Eingriffen, etwa durch Cyberangriffe sein. Zusätzlich müssen Anbieter gewährleisten, dass eine menschliche Kontrolle der KI möglich ist. So muss etwa sichergestellt sein, dass eine menschliche Interaktion in die Aktivität des Hochrisikosystems korrigierend eingreifen oder diese stoppen kann. Typischer Anwendungsfall wäre etwa der Lenkeingriff des Fahrers bei einem teilautonomen Fahrzeug.
Verarbeitet das System personenbezogene Daten, sind zusätzliche Datenschutzanforderungen zu beachten und Anbieter müssen detaillierte Aufzeichnungen über die Entwicklung, das Training, die Bereitstellung und den Einsatz von Hochrisiko-KI-Systemen führen, um die Nachvollziehbarkeit und Rechenschaftspflicht zu gewährleisten.
Durch diese hohen Anforderungen soll nach dem Willen der EU ein Rahmen geschaffen werden, der die Vorteile der KI nutzt, während gleichzeitig Risiken minimiert und grundlegende Werte und Rechte geschützt werden. Unternehmen, die solche Systeme entwickeln, anbieten oder einsetzen, müssen die Anforderungen umfassend einhalten. Ansonsten drohen hohe Bußgelder von bis zu 35 Mio. Euro oder 7 % des weltweiten Konzernjahresumsatzes.
Risikounabhängige Anforderungen bei
„General Purpose AI“
Da die Verbreitung von Sprachmodellen wie ChatGPT erst nach dem ersten Entwurf des AI Act erfolgte, sah sich der Gesetzgeber gezwungen, auch für solche KI-Systeme, die einen breiten allgemeinen Anwendungsbereich oder Verwendungszweck (auf Englisch: General Purpose) haben, zusätzliche Regelungen zu treffen, die unabhängig von der zuvor geschilderten Risikoeinstufung (also auch für Systeme mit minimalem Risiko) anzuwenden sind.
Alle Anbieter von „General Purpose AI“ müssen umfassende Transparenzpflichten umsetzen. Dies gilt insb. in Hinblick auf den Einsatz von solchen Sprachmodellen zur Generierung oder Manipulation von Texten und Bildern.
Weitere Anforderungen bestehen, wenn es sich um besonders leistungsstarke Systeme handelt, die systemische Risiken bergen können. Hier müssen die Anbieter zusätzlichen Pflichten, wie der Überwachung schwerwiegender Vorfälle oder der Modellbewertung, nachkommen. Auch werden die Rechte von Urhebern gestärkt, die sich leichter gegen das Trainieren oder Verarbeiten von urheberrechtlich geschützten Werken wehren können.
Da die derzeit am häufigsten eingesetzten großen Sprachmodelle wie ChatGPT oder Gemini nicht von Anbietern in der EU stammen, hat die EU auch deren Anbieter mit dem AI Act im Blick gehabt und legt die zahlreichen Pflichten nicht nur deutschen Anbietern auf, sondern allen, die ihre Produkte in der EU vertreiben oder Daten aus der EU verwenden.
Umsetzung der Anforderungen nicht verschlafen
Auch wenn die meisten Regelungen des AI Act erst Mitte 2026 ihre volle Wirkung entfalten werden, sind Unternehmen, die Künstliche Intelligenz in ihre Produkte und Leistungen integrieren wollen, gut beraten, sich schon frühzeitig mit den Anforderungen des AI Act auseinanderzusetzen. Gerade die Pflichten, die bereits an das Trainieren und Entwickeln solcher Systeme knüpfen, sollten frühzeitig umgesetzt werden, damit kein böses Erwachen droht, sobald die zuständigen Aufsichtsbehörden die Einhaltung des AI Act überwachen und überprüfen.
Zudem finden Sie hier Laurent Meister im Gespräch zu diesem Thema mit Rolf Benzmann in einer Sendung bei Regio TV Chefsache
Laurent Meister
Laurent Meister, LL.M. (Suffolk University, Boston) ist Rechtsanwalt, Fachanwalt für IT-Recht und Partner bei RSM Ebner Stolz in Stuttgart. Seine Tätigkeitsschwerpunkte liegen in der IT- und datenschutzrechtlichen Beratung mittelständischer Unternehmen. Ein besonderer Schwerpunkt ist dabei in der umfassenden vertrags- und datenschutzrechtlichen Beratung von Unternehmen bei Digitalisierungsprojekten, etwa im Bereich IoT. Darüber hinaus berät er umfassend in allen Fragen des Datenschutzes und begleitet Unternehmen bei Verfahren vor den Aufsichtsbehörden und datenschutzrechtlichen Auseinandersetzungen mit Betroffenen.
