Der AI Act der EU – was müssen Unternehmen beachten?
Bild von Robert Wilkos auf Pixabay
KI gestützte Systeme durchdringen immer stärker unser Alltagsleben, und es gibt kaum Unternehmen, die sich nicht zumindest überlegen, in welchen Bereichen, bei welchen Arbeitsabläufen und Entscheidungsprozessen KI sinnvoll eingesetzt werden kann. Neben vielen Vorteilen, wie beispielsweise Arbeitserleichterung, können KI-gesteuerte Systeme in Teilen aber eben auch dystrophische Ausmaße annehmen. Eine KI, die Ihnen auf Basis bereits erworbener Bücher oder angesehener Filme entsprechende Vorschläge unterbreitet oder Ihr Unternehmen bei der Softwareentwicklung unterstützt, mag als hilfreich gelten und keinen entscheidenden Einfluss auf Ihr Leben oder das anderer haben. Dies dürfte bei KI gestützten Social Scoring-Systemen, die weitgehend autonom über die Vergabe eines Kredites oder die Vergabe eines Arbeitsplatzes entscheiden, anders sein, ganz zu schweigen von den erheblich nachteiligen Folgen KI generierter Deepfakes.
Bisher rannte die technische Entwicklung der politischen Regulierung davon. Doch nun zieht die Europäische Union Konsequenzen und schafft mit dem sog „AI Act“ – zu Deutsch „KI-Verordnung“ – eine neue Regelungsgrundlage für die Nutzung von KI-Systemen. Das Ziel: Mehr Sicherheit und mehr Vertrauen in die neuen Technologien sowie einheitliche Regeln auf dem europäischen Markt.
Die Regulierung betrifft sowohl Hersteller von KI-Systemen, Händler und Importeure von KI-Systemen, als auch Nutzer bzw. Anwender von KI-Systemen, solange die Nutzung nicht privater Natur ist. Bei Verstößen gegen das Regelwerk drohen Sanktionen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
Der folgende Artikel führt Sie durch einige grundlegende Regelungsinhalte des am 13. März 2024 verabschiedeten AI Act der Europäischen Union.
Wer ist vom AI Act betroffen und was müssen Unternehmen von nun an beachten?
Die Verordnung ist auf KI-Systeme im Sinne der entsprechenden OECD Definition anwendbar, d.h. „maschinengestützte Systeme“ mit den folgenden Eigenschaften:
- für einen in wechselndem Maße autonomen Betrieb ausgelegt;
- nach Einführung weiter anpassungsfähig;
- aus Eingaben werden Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert, welche die physische oder virtuelle Umgebungen beeinflussen können.
Sehr verkürzt gesagt meint dies in der Praxis Softwareprodukte und Dienste, die aus Eingaben weitgehend eigenständig Schlussfolgerungen ableiten, welche sich – zum Beispiel als Entscheidungsgrundlage für einen Nutzer – auf die Außenwelt auswirken können, und sich hierbei ständig fortentwickeln.
Die Regulierung betrifft sowohl Hersteller von KI-Systemen, Händler und Importeure von KI-Systemen, aber auch Nutzer beziehungsweise Unternehmen, die KI-Systeme bzw. -Dienste in ihrem betrieblichen Umfeld benutzen möchten. Der Sitz des Unternehmens muss dabei nicht im Gebiet eines Mitgliedsstaates der EU liegen. Es geht vorrangig darum, dass KI-Systeme im Gebiet der Europäischen Union angewendet oder entwickelt werden.
Einteilung von KI-Systemen nach Risikokategorien
Nicht an jedes KI-System stellt der AI Act die gleichen Anforderungen. Die EU wählt hier einen risikobasierten Ansatz: Je höher das Risiko, das von dem jeweiligen KI-System ausgeht, desto strenger die Anforderungen an Sicherheit und Transparenz. Es knüpfen also unterschiedliche Regelungen an, je nachdem in welche Kategorie ein KI-System fällt. Unterschieden werden dabei die folgenden Stufen. Die Bewertung obliegt dem Anwender der KI.
- Unannehmbares bzw. inakzeptables Risiko,
- hohes Risiko,
- begrenztes Risiko und
- minimales Risiko.
Zudem enthält der AI Act eigene Regelungen für KI-Modelle mit allgemeinem Verwendungszweck.
Beginnen wir bei den Extremfällen: Dem inakzeptablen und dem minimalen Risiko. Das Minimale Risiko betrifft beispielsweise KI-gesteuerte Videospiele oder automatisierte Spamfilter, da von ihnen kaum nachteilige Wirkung für Nutzer ergeben können. An solche Systeme stellt der AI Act keine Auflagen.
Image by Tung Nguyen from Pixabay
Ganz anders bei den inakzeptablen Risiken: Deren Verwendung ist vollständig verboten. Darunter fallen vor allem Systeme, die an die Essenz der Grund- und Menschenrechte gehen. Beispielsweise biometrische Kategorisierungs- oder Fernidentifizierungssysteme. Ersteres sind Systeme, die Menschen anhand ihrer Ethnie, sexuellen Identität oder politischen Ansichten kategorisieren. Letztere werden beispielsweise in der Strafverfolgung dazu eingesetzt Gesichtserkennungsdatenbanken auszuwerten oder Prognosen hinsichtlich der Bereitschaft Einzelner, Straftaten zu begehen, abzugeben. In dieselbe Kategorie fallen Social Scoring-Systeme oder KI-Systeme, die darauf ausgerichtet sind, den Anwender zu manipulieren.
KI-Systeme mit hohem Risiko sind zwar erlaubt, unterliegen aber strengen Anforderungen. Vor allem in den Bereichen der Transparenz und Kontrolle. Unternehmen müssen Verfahren einleiten, durch die jeweilige Risiken identifiziert und gemindert werden können. Gleichzeitig verlangt der AI Akt eine klare Dokumentation und eindeutige Anweisungen für die Anwendung von KI-Systemen. Auch der Nutzer muss einfach nachvollziehen können, dass und wie Künstliche Intelligenz angewendet wird. Beispiele sind die Anwendung von KI in Einstellungsverfahren oder Bildungsinstitutionen, an Grenzkontrollen, in der kritischen Infrastruktur, der Verwaltung oder der Justiz.
Ein System mit begrenztem Risiko stellen beispielsweise Chatbots dar, die sich aktuell einer großen Beliebtheit erfreuen. Hier sind die Anforderungen geringer. Relevant ist es vor allem deutlich zu machen, dass ein KI-System eingesetzt wird.
Was nun? Stufenweise Implementierung des AI Act nach Inkrafttreten
Der AI Act wurde am 13. März 2024 vom Europäischen Parlament verabschiedet und der Rat der Europäischen Union erteilte am 21. Mai 2024 mit kleinen Änderungen seine Zustimmung. Mit Veröffentlichung im Amtsblatt der europäischen Union am 12. Juli 2024 trat der AI Act in Kraft. Geplant ist ein zweijähriger Übergangszeitraum, in dem die verschiedenen Regelungen Schritt für Schritt in Kraft treten. Dadurch haben betroffene Unternehmen die Chance, die Gesetzesvorgaben rechtzeitig umzusetzen. Unternehmen sollten die Zeit nutzen, sich frühzeitig mit der gesetzlichen Materie auseinandersetzen, um ihre KI-Anwendung in den Einklang mit dem dann geltenden Recht zu bringen.
So gilt das Verbot für KI-Systeme mit inakzeptablen Risiken bereits sechs Monate nach Inkrafttreten der Verordnung. Nach Zwölf Monate gelten beispielsweise Regelungen, die sich mit Governance-Regeln oder GPAI (sog. „Allzweck-KI“) beschäftigen. Die sog allgemeinen Anforderungen an Hochrisiko-Systeme werden nach 24 Monaten relevant, weitere, sog. spezielle Anforderungen, dann erst nach 36 Monaten.
Bild von ddd0510 auf Pixabay
So sind Anbieter von Hochrisiko-KI-Systemen nicht nur verpflichtet, umfangreiche organisatorische Governance-Strukturen und entsprechende Dokumentation einzuführen. Auch technische Anpassungen der angebotenen Systeme können erforderlich werden, sowie für solche eine den gesetzlichen Anforderungen entsprechende Konformitätsbewertung durchzuführen und zu dokumentieren. Unternehmen, die als Anwender Dritt-KI-Systeme, Dienste oder Funktionen nutzen oder einbinden, sollten diese zunächst mittels einer Bestandsaufnahme dokumentieren und in der Folge entsprechend bewerten, um die sich aus dem AI Act ergebenden Verpflichtungen zu ermitteln.
Ganz abgesehen von den neuen regulatorischen Anforderungen der KI-Verordnung müssen sich technologiegetriebene Unternehmen den rechtlichen Herausforderungen aus der Nutzung von KI-Systemen bewusst werden und eine übergeordnete Strategie entwickeln, um ihre KI Compliance sicherzustellen. Dies erfordert unter anderem die Bewertung und Absicherung von Risiken betreffend den Datenschutz, den Geheimnisschutz, sowie den Schutz des eigenen geistigen Eigentums sowie die Absicherung von Risiken aus der Verletzung von Drittrechten durch die Herstellung (z. B. betreffend die Verwendung von Dritt- Daten für das Training von KI Modellen) und Nutzung von KI.
Sie haben Fragen im Einzelfall und zu Ihren KI-Systemen? Treten Sie gerne für eine Beratung mit unseren Anwälten von LLP Law|Patent in Kontakt.
Sebastian Helmschrott | Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Fachbereichsleiter IT-Recht beim BISG e.V.
Herr Rechtsanwalt Sebastian Helmschrott ist bei LLP Law|Patent Ihr kompetenter Ansprechpartner für Vertragsgestaltungen, insbesondere für international tätige Unternehmen im Bereich der Halbleiterindustrie sowie anderer moderner Technologien, z. B. LED/OLED, Embedded Systems und softwaregestützte Prozesse. Er betreut erfahren Ihre IT-Vergabeverfahren mit nationalen und internationalen Bezügen sowie die Bereiche IP-Recht mit Schwerpunkt Lizenzen und Forschungskooperationen.
