Überblick über die europäische KI-Verordnung (AI-Act)

Die am 1. August 2024 in Kraft getretene europäische Verordnung über künstliche Intelligenz (KI-VO) markiert einen wichtigen Schritt in der Regulierung und Förderung von künstlicher Intelligenz bei gleichzeitiger Eindämmung unerwünschter Auswirkungen von KI-Systemen in der EU. In diesem Beitrag geben wir einen groben Überblick über die wesentlichen Bestimmungen der Verordnung und beleuchten, wie diese neue Gesetzgebung die Zukunft der Künstlichen Intelligenz in Europa gestalten wird.

Durch unser breit aufgestelltes Team mit umfassender Fachkompetenz in der Datenschutzberatung und Informationssicherheitsberatung unterstützen wir Dich und Dein Unternehmen bei allen offenen Fragen. Vereinbare jetzt ein unverbindliches Erstgespräch mit unseren Experten.

Nach Art. 3 Abs. 1 der Verordnung ist ein KI-System ein:

 “maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.”

Nicht in den Anwendungsbereich der KI-VO fallen KI-Systeme, die eigens für Zwecke der wissenschaftlichen Forschung und Entwicklung entwickelt und in Betrieb genommen werden, sofern der Betreiber ausschließlich beabsichtigt, Forschungs-, Test- oder Entwicklungstätigkeitendurchzuführen sowie solche, die als Open Source frei verfügbar sind. Darüber hinaus sind KI-Systeme, die ausschließlich für militärische Zwecke, Verteidigungszwecke oder Zwecke der nationalen Sicherheit konzipiert sind, unabhängig von der Art der Einrichtung, die diese Tätigkeiten ausübt, ebenfalls ausgenommen.

Die KI-Verordnung betrifft eine Vielzahl von Akteuren. Dazu gehören der:

• Anbieter = “eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder das KI-System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich” (Art. 2 Nr. 3).

• Betreiber = “eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet” (Art. 2 Nr. 4).

• Einführer = “eine in der Union ansässige oder niedergelassene natürliche oder juristische Person, die ein KI-System, das den Namen oder die Handelsmarke einer in einem Drittland niedergelassenen natürlichen oder juristischen Person trägt, in Verkehr bringt” (Art. 2 Nr. 6).

• Händler = ”eine natürliche oder juristische Person in der Lieferkette, die ein KI-System auf dem Unionsmarkt bereitstellt, mit Ausnahme des Anbieters oder des Einführers” (Art. 2 Nr. 7).

Die KI-Verordnung verfolgt einen risikobasierten Ansatz. Danach werden KI-Systeme in vier Risikokategorien eingeteilt, an die unterschiedliche Anforderungen gestellt werden:

Unannehmbares Risiko:

Solche Systeme werden sechs Monate nach der offiziellen Verkündung der Verordnung verboten, da sie unvereinbar mit den Grundrechten sind. Dazu gehören:

• Biometrische Kategorisierungssysteme, die natürliche Personen anhand von biometrischen Daten kategorisieren, um sensible Daten wie Rasse, politische Meinung, sexuelle Orientierung, religiöse oder philosophische Überzeugungen abzuleiten

• Social-Scoring-Systeme, die Menschen anhand ihres sozioökonomischen Status und persönlichen Merkmalen bewerten

• KI-Systeme, die Menschen in Hinblick auf ihre zukünftige Straffälligkeit bewerten bzw. profilen

• Systeme, die mit Hilfe von KI Datenbanken zur Gesichtserkennung durch ungezieltes Auslesen von Geschichtsbildern aus dem Internet oder aus Videoüberwachungsaufnahmen erstellen oder erweitern

• Systeme, die das Verhalten von Personen manipulieren und Schwächen ausnutzen (z.B. Alter oder Behinderung)

• KI-Systeme zur Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen
  

Der Einsatz von Echtzeit-Fernidentifizierungssystemen im öffentlichen Raum ist nur unter strengen Voraussetzungen zulässig.

Hohes Risiko:

KI-Systeme mit hohem Risiko sind solche, die eine erhebliche Gefahr für Gesundheit, Sicherheit oder Grundrechte für natürliche Personen darstellen. Diese werden in zwei Hauptkategorien eingeteilt:

1. KI-Systeme, die in Produkten verwendet werden und unter die Produktsicherheitsvorschriften. Dazu zählen Aufzüge, Fahrzeuge, Luftfahrt, medizinische Geräte und Spielzeug

2. KI-Systeme, die in bestimmten Bereichen eingesetzt werden und in einer EU-Datenbank registriert werden müssen.

3. Allgemeine und berufliche Bildung;

4. Zugang zu und Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten und Leistungen;

5. Beschäftigung, Verwaltung der Arbeitnehmer und Zugang zur Selbstständigkeit;

6. Strafverfolgung;

7. Verwaltung von Migration, Asyl und Grenzkontrollen;

8. Verwaltung und Betrieb von kritischen Infrastrukturen und

9. Verwaltung von Justiz und demokratischen Prozessen.

Begrenztes Risiko: 

KI-Systeme, die in Interaktion mit Menschen treten, wie etwa Chatbots oder Empfehlungssysteme.

Minimales Risiko: 

Hierunter fallen alle anderen KI-Systeme.

Generell gilt: Je höher das Risiko des Einsatzes der KI, desto umfangreicher sind die auferlegten Pflichten.

Hohes Risiko:

Für Hochrisiko-KI-Systeme gelten strenge regulatorische Anforderungen:

• Einrichtung eines Risikomanagementsystems (Art. 9)

• Erstellung einer technischen Dokumentation (Art. 11)

• Aufzeichnungspflichten (Art. 12)

• Transparenz- und Informationspflichten (Art. 13)

• Menschliche Aufsicht (Art. 14)

• Konzipierung und Entwicklung nach dem aktuellen Stand der Technik in Bezug auf Robustheit, Genauigkeit und Cybersicherheit (Art. 15)

• Einrichtung eines Qualitätsmanagementsystems (Art. 17)

• Durchführung eines Konformitätsbewertungsverfahrens bei benannten Stellen (Art. 43)

• Kennzeichnungspflichten, z.B. CE-Kennzeichnung (Art. 48)

• Registrierungspflicht in einer EU-Datenbank (Art. 49)

Begrenztes Risiko:

KI-Systeme mit minimalem Risiko unterliegen lediglich Transparenzpflichten, wie Kennzeichnungspflichten für KI-generierte oder veränderte Inhalte.

Minimales Risiko: 

Für KI-Systeme dieser Risikoklasse legt die Verordnung keine spezifischen Anforderungen fest.

• Bei Nichteinhaltung des Art. 5 (Verbotene Praktiken) drohen Geldbußen von bis zu 35 Mio. Euro oder bis zu 7% des weltweiten Jahresumsatzes.

• Für Verstöße gegen allgemeine Pflichten außerhalb des Art. 5 können Geldbußen bis zu 15 Mio. Euro oder bis zu 3% des gesamten weltweit erzielten Jahresumsatzes verhängt werden.

• Falsche oder unvollständige Angaben gegenüber Behörden können mit Geldbußen bis zu 7,5 Mio. Euro oder 1,5% des weltweiten Jahresumsatzes geahndet werden.

• Bei Verstößen gegen die Bestimmungen des Art. 101 Abs. 1 lit. a) (z.B. Informations- und Auskunftspflichten) können gegen Anbieter von "General-Purpose Artificial Intelligence” (GPAI) Geldbußen von bis zu 15 Mio. Euro oder bis zu 3% des weltweiten Jahresumsatzes auferlegt  werden.

Es gilt der jeweils höhere Betrag. Darüber hinaus können die Aufsichtsbehörden Anbieter auch dazu zwingen, nicht konforme KI-Systeme vom Markt zu nehmen.

Den Unternehmen wird nun eine Übergangsfrist eingeräumt, nach deren Ablauf sie die Anforderungen der KI-VO erfüllen müssen. 

In den Mitgliedstaaten müssen die meisten Bestimmungen innerhalb von 24 Monaten umgesetzt werden. Einige Regelungen sind jedoch schon früher einzuhalten: Maßnahmen zur Vermittlung von KI-Kompetenz, die sich grundsätzlich an alle richten, müssen innerhalb von sechs Monaten ergriffen werden. Die Bestimmungen für KI-Modelle, die sich an die breite Öffentlichkeit richten, müssen bereits nach 12 Monaten eingehalten werden. Für Hochrisiko-KI-Systeme gilt die KI-Verordnung 36 Monate nach ihrem Inkrafttreten in vollem Umfang. 

Dies mag auf den ersten Blick als ausreichend erscheinen. Dennoch sollten Unternehmen bereits jetzt proaktiv die Anforderungen der KI-Verordnung in ihre Produktentwicklung integrieren, um spätere Komplikationen und hohe Bußgelder zu vermeiden.

Unser Team besteht aus Juristen, Datenschutzbeauftragten, Auditoren, IT-Sicherheitsberatern und Risk Managern, die im gesamten Bundesgebiet und in Luxemburg für Dich tätig werden. Als spezialisierte Unternehmensberater unterstützen wir Dich ganzheitlich bei den Themen KI, Datenschutz, Informationssicherheit und Cybersicherheit. Komm jederzeit für ein unverbindliches Erstgespräch auf uns zu.