Künstliche Intelligenz hält immer mehr Einzug in unser tägliches Leben, sowohl im privaten als auch im geschäftlichen Bereich. In dieser Beitragsreihe werden daher die wichtigsten Aspekte der rechtlichen Regulierung von KI sowie die damit verbundenen Herausforderungen und Chancen näher beleuchtet. Wir beginnen mit dem kürzlich vom Europäischen Parlament verabschiedeten „AI Act“, der darauf abzielt, die Entwicklung und Nutzung von Künstlicher Intelligenz (KI) in der EU zu überwachen und zu regulieren. Die Verordnung ist noch nicht in Kraft, da sie noch vom Europäischen Rat angenommen werden muss. Ob dies noch vor den Europawahlen am 9. Juni geschehen wird, ist unklar.
Was ist der AI Act?
Der AI Act ist eine EU-Verordnung, deren Entwurf bereits im April 2021 vorgelegt wurde. Er soll einheitliche Regeln für die Entwicklung, den Vertrieb und die Nutzung von KI-Systemen in der EU schaffen. Der Gesetzesentwurf teilt KI-Anwendungen je nach Risiko für die Gesellschaft in verschiedene Kategorien ein, die mit unterschiedlichen Anforderungen einhergehen. Die Regelungen sollen Innovationen fördern und gleichzeitig sicherstellen, dass KI-Systeme sicher, transparent und nachvollziehbar sind und die Grundrechte der Menschen schützen.
Für wen gilt der AI Act?
Der AI Act gilt für Nutzer in der EU sowie für Nutzer und Anbieter außerhalb der EU, wenn das Ergebnis des KI-Systems in der EU genutzt werden soll. Darüber hinaus sind Anbieter, die ihre Systeme in der EU in Verkehr bringen oder in Betrieb nehmen, unabhängig von ihrem Sitz von der Verordnung erfasst.
Ein KI-System im Sinne des AI Act ist eine Software, die 1. maschinenbasiert ist und 2. einen Output liefert, der 3. auf menschlichem Input beruht und 4. Auswirkungen auf die Umgebung hat, in der sie eingesetzt wird.
Beispiele:
Ein Unternehmen, das von einem KI-System generierte Texte an seine Kunden im EU-Raum versendet, muss auch die Anforderungen des AI Act erfüllen. Dies ist nicht der Fall, wenn das von einem KI-System generierte Dokument, z.B. ChatGPT, zufällig in die EU gelangt.
Rechtlicher Exkurs:
Unklar ist, ob die Vorgaben auch dann zu beachten sind, wenn beim Einsatz von KI lediglich eine Cloud innerhalb der EU genutzt wird.
Wer sind Nutzer und Anbieter?
Nutzer oder auch Deployer sind natürliche oder auch juristische Personen, Behörden oder Einrichtungen sein, die ein KI-System in eigener Verantwortung beruflich verwenden.
Beispiel:
In eigener Verantwortung handeln die Unternehmen, die ChatGPT von OpenAI verwenden und Anweisungen geben, worüber ChatGPT sprechen soll. OpenAI hat als Betreiber in der konkreten Anwendung keinen Einfluss mehr darauf.
Anbieter oder auch Provider sind natürliche oder juristische Personen, Behörden oder Einrichtungen, die ein KI-System entwickeln (lassen), um es unter ihrem eigenen Namen oder ihrer eigenen Marke vertreiben oder einsetzen, unabhängig davon, ob es entgeltlich oder unentgeltlich ist.
Rechtlicher Exkurs:
Rechtlich spannend wird die Konstellation, wenn eine Gesellschaft außerhalb der EU ein KI-System von einem Anbieter ebenfalls außerhalb der EU einkauft und dann auch anderen Gesellschaften in der Konzerngruppe in der EU zur Verfügung stellt. Dadurch kann die einführende Gesellschaft selbst Einführer oder Händler im Sinne des AI Acts werden und muss ebenfalls entsprechende Vorgaben umsetzen.
Hauptaspekte des AI Acts
Verbotene Systeme
Der AI Act verbietet bestimmte KI-Nutzungen, die als Bedrohung für die Sicherheit oder Grundrechte der Menschen angesehen werden, wie z.B. soziales Scoring durch Regierungen oder die Verwendung von Echtzeit-Gesichtserkennungssystemen in öffentlichen Räumen. KI-Systeme, die eine mögliche und unterbewusste Manipulation von Personen sowie das Ausnutzen schwächerer oder schutzbedürftiger Personengruppen ermöglichen, um ihnen physischen oder psychischen Schaden zuzufügen, sind ebenfalls verboten.
Hochrisiko-KI-Systeme
Der AI Act führt eine risikobasierte Herangehensweise ein. KI-Systeme, die als hohes Risiko eingestuft werden (z.B. im Gesundheitswesen, in der Polizeiarbeit, im Transport- oder Bildungs- und Arbeitswesen), müssen strenge Anforderungen erfüllen. Dies inkludiert umfassende Dokumentationspflichten, Durchführung von Testverfahren, Daten-Governance, Informations- und Aufsichtspflichten sowie Sicherheitsgarantien bieten. Diese Pflichten müssen zwar vorrangig die Anbieter dieser Systeme erfüllen, aber auch den Nutzern dieser Systeme werden Pflichten auferlegt. Unter anderem müssen die Nutzer Datenschutz-Folgenabschätzungen nach der DSGVO durchführen.
Was bei Datenschutz-Folgenabschätzungen von KI-Anwendungen zu beachten ist, kann in diesem Blogbeitrag nochmals nachgelesen werden.
Anbieter solcher Hochrisiko-KI-Systeme sind unter anderem dazu verpflichtet, ein Qualitätsmanagementsystem zu implementieren sowie eine aktuelle, umfangreiche, technische Dokumentation und Konformitätsbewertungsverfahren sicherzustellen. Zusätzlich müssen diese Systeme bei der EU registriert und Zwischenfälle mit diesen bei der zuständigen Behörde gemeldet und gegebenenfalls Korrekturmaßnahmen ergriffen werden. Hinzu kommt eine Verpflichtung der Zusammenarbeit mit den zuständigen Aufsichtsbehörden und die Benennung eines Bevollmächtigten in der EU bei Niederlassung außerhalb der Union.
Mit Menschen interagierende KI-Systeme
Für bestimmte KI-Systeme, wie Chatbots, fordert der AI Act, dass Nutzer klar darüber informiert werden, dass sie mit einer Maschine interagieren. Dies soll sicherstellen, dass die Menschen bewusst Entscheidungen über die Verwendung von KI in ihrem Leben treffen können.
Aufsichtsstruktur
Zur Sicherstellung der Aufsicht und Umsetzung der Vorgaben sind innerhalb der EU die Einrichtung von Aufsichtsbehörden, notifizierender Behörden und notifizierter Stellen geplant. Zusätzlich soll ein Europäischer Ausschuss für Künstliche Intelligenz eingerichtet werden. Im Rahmen der Marktüberwachung ist vorgesehen, dass die entsprechenden Aufsichtsstellen über eine Schnittstelle uneingeschränkten Zugang zu Trainings-, Validierungs- und Testdatensätzen erhalten.
Sanktionen
Auch der AI Act sieht unter anderem Sanktionen in Form von Geldbußen vor, die sogar höher sein können als nach der DSGVO. Bei Verstößen gegen die Vorschriften zu Hochrisiko-KI-Systemen können diese bis zu 30 Millionen Euro oder bis zu 6% des weltweiten Jahresumsatzes liegen. Verstöße gegen andere Vorschriften werden wie in der DSGVO mit bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes bestraft.
Somit sind auch in dieser Verordnung Instrumente für die Aufsichtsbehörden verankert.
Sonstiges
Als Maßnahmen für Innovationsförderungen sind KI-Reallabore geplant. Deren Einrichtung soll von öffentlicher vorgenommen werden.
Außerdem gelten die Vorschriften des AI Acts auch für bereits in Betrieb genommene KI-Systeme und die Umsetzungsfristen für die Vorgaben der Verordnung können durchaus bei 6 bis 12 Monaten vorliegen. Folglich ist ab Inkrafttreten ein kürzerer Zeitraum für die Umsetzung der Vorgaben möglich als das bei vielen Verordnungen sonst der Fall war.
Auswirkungen auf Unternehmen
Unternehmen, die KI-Systeme in der EU entwickeln oder einsetzen, müssen sich auf erhebliche Veränderungen einstellen. Insbesondere müssen sie sicherstellen, dass ihre Produkte den Anforderungen des AI Acts entsprechen, was möglicherweise Anpassungen in der Produktentwicklung, erhöhte Dokumentationspflichten und die Implementierung von Überwachungs- und Berichtsmechanismen erfordert. Gleichzeitig können die Vorgaben des AI Act als Qualitätsmerkmal dienen, das das Vertrauen der Verbraucher in KI-Produkte stärkt.
Aufgrund der zum Teil kurzen Übergangszeiträume bietet sich bereits zum jetzigen Zeitpunkt eine entsprechende Umsetzung dieser Vorgaben an, da diese erfahrungsgemäß viel Ressourcen binden und vor allem Zeit benötigen.
Herausforderungen und Chancen
Eine der größten Herausforderungen des AI Acts liegt in der praktischen Umsetzung der vorgeschlagenen Regeln. Die Notwendigkeit, KI-Systeme korrekt zu klassifizieren und deren Compliance sicherzustellen, könnte für kleinere Unternehmen eine Belastung darstellen. Gleichzeitig bietet der AI Act jedoch auch Chancen, indem er einen klaren Rechtsrahmen schafft, der Innovation fördern und das Vertrauen in KI-Technologien stärken könnte.
Fazit
Der AI Act steht beispielhaft für den Versuch, den technologischen Fortschritt verantwortungsvoll zu gestalten. Durch die Schaffung eines klaren und vorhersehbaren Regulierungsrahmens kann die EU Innovation fördern, während sie gleichzeitig sicherstellt, dass KI-Technologien im Einklang mit den Werten und Grundrechten der Gesellschaft entwickelt und eingesetzt werden. Während der AI Act noch einige Herausforderungen und Unklarheiten birgt, stellt er einen wichtigen Schritt in Richtung einer ethischen und verantwortungsvollen Nutzung von KI dar und bildet den Grundstein für die rechtliche Regulierung von Künstlicher Intelligenz.
Bildnachweis: KI generiert