Hilfe, der AI-Act kommt
Derzeit berät die EU über den sog. AI– Act. Mit der Verabschiedung dieses Rechtsrahmens soll Europa das globale Zentrum für vertrauenswürdige künstliche Intelligenz werden.[1]
Worum geht es im AI-Act eigentlich?
AI steht für „Artificial Intelligence“ also so genannte künstliche Intelligenz, ein Act ist der englische Term für eine Verordnung. Verordnungen sind dabei „Gesetze“ auf EU-Ebene die von den Mitgliedsstaaten nicht mehr umgesetzt werden müssen (das wäre bei Richtlinien bzw. „directives“ anders), sondern direkte Anwendung finden. Ziel der Verordnung soll sein, einheitliche Vorgaben für die Verwendung von KI-Systemen – nicht bezüglich der Technologie selbst – aufzustellen. Der AI-Act folgt dem aus dem Produktsicherheitsrecht bekannten New Legislative Framework, indem er einzelne KI-Systeme wegen ihres unannehmbaren Risikos verbietet (z. B. KI-Systeme, die Schwächen einer Personen aufgrund ihres Alters oder einer körperlichen oder geistigen Behinderung ausnutzen) und andere in Risikoklassen einteilt, für die er anschließend die technisch-organisatorischen Anforderungen für deren Inverkehrbringen definiert. Bei dieser „Produktregel“ steht die Zulassung der KI-Systeme im Vordergrund. Themen, die sich aus dem operativen Geschäft ergeben können, wie z. B. die Haftung für fehlerhafte KI-Systeme, werden nicht angesprochen.
Anwendungsbereich des AI-Act
Sachlich
Der Verordnungsentwurf legt in Art. 3 Nr. 1 AI-Act fest, was unter dem Begriff KI-System zu verstehen ist. Ein KI-System ist danach „eine Software, die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren“. Durch die Inbezugnahme auf den Anhang I zum AI-Act, in dem einige Techniken bzw. Arten von Software aufgelistet sind, wie z. B. das maschinelle Lernen als eine der wichtigen Kategorien von künstlicher Intelligenz, bleibt die Verordnung auch künftig hinreichend flexibel. Sie kann technologische Neuerungen durch eine einfache Anpassung des Anhangs integrieren.
Persönlich
Es ist geplant diese neuen Regelungen auf alle anzuwenden, die Nutzer oder Anbieter von KI Systemen sind. Dabei umfasst der Begriff Nutzer nach Art. 3 Abs. 4 AI-Act alle Personen (natürliche wie auch juristische) die ein KI-System (auch auf fremder Infrastruktur!) für nicht lediglich private Zwecke betreiben.
Räumlich
Durch den immateriellen Charakter von Software, somit auch von KI-Technologie, kann diese ohne weiteres exportiert, importiert und über Grenzen hinweg betrieben werden. Daher stellt sich die Frage, wo der AI-Act Geltung beansprucht. Die Kommission hat sich in ihrem Entwurf für einen weiten Anwendungsbereich ausgesprochen. So findet der AI-Act Anwendung, wenn ein Anbieter – ob mit Sitz innerhalb oder außerhalb der Union – ein KI-System (1) für den Markt in der Union bereitstellt; (2) die Nutzer eines KI-System sich in der Union befinden; oder (3) lediglich der „output“ des KI-Systems innerhalb der Union genutzt wird. Ausnahmen von diesem weiten Anwendungsbereich können durch die Mitgliedsstaaten im Rahmen von sog. „sandboxes“ (z. B. zur Innovationsförderung) geschaffen werden. Unter „sandboxes“ sind bestimmte Bereiche zu verstehen, die unter strengen Auflagen für experimentelle Zwecke von der Regulierung ausgenommen werden, wobei die jeweiligen Anwendungen den regulatorischen Bereich nicht verlassen dürfen, ähnlich wie bei Sonderwirtschaftszonen.
Risikobasierter Ansatz
Insgesamt verfolgt der Verordnungsentwurf einen risikobasierten Ansatz.[2] Je nach Einsatzzweck werden die KI-Systeme dabei in verschiedene Risikoklassen unterteilt. Je höher das Risiko, desto strenger sind auch die Anforderungen, die an das Inverkehrbringen und Betreiben der jeweiligen Systeme gestellt werden.
KI-Systeme, die dabei ein nach der Verordnung „unannehmbares Risiko“ (eine klare Bedrohung für die Sicherheit, die Lebensgrundlage und Rechte der Menschen) darstellen, werden verboten. Weiterhin sollen noch die Kategorien der „Hochrisiko-KI-Systeme“, solcher mit geringem und solcher mit minimalem Risiko eingeführt werden. Hochrisiko-KI-Systeme sind dabei unter anderem KI-Systeme, die eine Sicherheitsfunktion erfüllen, in der Justiz eingesetzt oder besonders schützenswerte personenbezogene Daten händeln sollen. An diese werden hohe Anforderungen an Zertifizierung im Rahmen einer Konformitätsbewertung sowie an Transparenz und Überwachung durch Menschen gestellt. Für KI-Systeme mit einem mittleren Risiko gelten bereits weniger strenge Anforderungen. So gilt für diese bspw. eine besondere Kennzeichnungspflicht (Artikel 52 AI-Act).
KI-Systeme ohne besonderes Risiko sollen dagegen nicht von der KI-Verordnung erfasst werden. Für diese gelten aber natürlich weiterhin die sonstigen gesetzlichen Regelungen, so etwa Anforderungen aus der DSGVO, der in Anbetracht der beachtlichen Bußgeldhöhen, besonderes Augenmerk gewährt werden sollte.
Durchsetzung
Für die Durchsetzung und Überwachung des AI-Act sollen die Mitgliedsstaaten unter Beratung eines einzurichtenden „European Artificial Intelligence Board“ zuständig sein. Diese sollen Behörden benennen, die die Einhaltung der Verordnungsvorgaben auf mitgliedstaatlicher Ebene kontrollieren. Für Verstöße gegen die Anforderungen des AI-Act sieht dieser die Möglichkeit vor, dass diese Behörden Bußgelder verhängen können. Letztere richten sich dabei nach der Art und Schwere des jeweiligen Verstoßes und können Höhen von bis zu 30 Mio. EUR bzw. 6 % des weltweiten Jahresumsatzes erreichen (Art. 71 AI-Act).
Ausblick
Mit dem AI-Act versucht die EU sich an der Spitze im Einsatz von vertrauenswürdiger KI zu positionieren. Dabei greift sie auf die bewährten Regulierungstechniker des „New Legislative Framework“ zurück und nimmt die Verwender sowie Hersteller von KI-Systemen in die Verantwortung. Dieser Ansatz ist insoweit begrüßenswert, als er sich im Produktbereich bewährt hat und daher ohne allzu großen regulatorisch-bürokratischen Aufwand umsetzbar zu sein scheint. Problematisch ist jedoch die angesprochene weite Definition von Systemen der künstlichen Intelligenz sowie die zahlreichen Ausnahmen vom Anwendungsbereich, die noch zu konkretisieren sind.[3]
Insgesamt ist Unternehmen anzuraten, sich bereits jetzt mit den Anforderungen des Kommissionsentwurfs auseinanderzusetzen und zu überprüfen, ob der bereits erfolgte bzw. geplante Einsatz von KI-Systemen den Vorgaben aus dem AI-Act genügt.
- Vgl. https://ec.europa.eu/commission/presscorner/detail/de/ip_21_1682, abgerufen am 08.03.2022.
- Vgl. https://ec.europa.eu/commission/presscorner/detail/de/ip_21_1682, abgerufen am 08.03.2022.
- Weitergehend hierzu die Anmerkungen von Bomhard/Merkle, Europäische KI Verordnung – der aktuelle Kommissionsentwurf und praktische Auswirkungen in RDi 2021, 276, 280 Rn. 20f.
