Am 13. März 2024 markierte die Verabschiedung des AI Act (Gesetz über Künstliche Intelligenz) durch das Europäische Parlament einen Wendepunkt in der Regulierung Künstlicher Intelligenz innerhalb der Europäischen Union. Dieser rechtliche Rahmen zielt darauf ab, das Vertrauen in und die Sicherheit von KI-Systemen zu stärken und bietet eine systematische Grundlage für deren Entwicklung und Einsatz. Besonders für Betreiber von KI-Systemen mit hohem Risiko ergeben sich daraus signifikante neue Pflichten und Verantwortlichkeiten. Weniger Pflichten scheinen für solche Betreiber zu bestehen, die KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI, GPAI) nutzen.
1. Ziele und Grundprinzipien des AI Acts
Gemäß Artikel 1 des AI Acts sollen KI-Systeme in der EU sicher, transparent, nachvollziehbar und diskriminierungsfrei sein. Sie sollen ein hohes Schutzniveau für Gesundheit, Sicherheit und Grundrechte bieten. Die Verordnung etabliert ein risikobasiertes Regelwerk, das spezifische Anforderungen für verschiedene Kategorien von KI-Systemen festlegt, wobei zwischen unannehmbarem Risiko (Art. 5 AI Act), hohem Risiko (Art. 6 bis 28 AI Act, begrenztem Risiko (Art. 50 AI Act) und minimalem Risiko unterschieden wird.
Ferner trifft der AI Act eine klare Unterscheidung zwischen allgemeinen KI-Systemen und KI-Modellen mit allgemeinem Verwendungszweck. Konkret wurden in den Artikel 53 bis 56 AI Act Vorschriften eingeführt, welche die Entwicklung und Nutzung von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) regeln.
2. Sukzessives Inkrafttreten und Phasen der Implementierung
Nach der Verabschiedung im Europäischen Parlament am 13.03.2024 ist nun noch die Zustimmung des Ministerrats erforderlich. Der AI Act tritt sodann 20 Tage nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Dies wird voraussichtlich im Mai/Juni 2024 der Fall sein.
Zu beachten ist, dass die Wirkungen des AI Act nach dem Inkrafttreten nur sukzessive in Anwendung kommen. Konkret ist von einer stufenweisen Anwendung der Bestimmungen auszugehen, die wie folgt aussieht:
- 6 Monate nach Inkrafttreten: Verbot bestimmter Praktiken wie manipulative KI-Anwendungen und Echtzeit-Biometrie (Art. 5 AI Act).
- 9 Monate: Einführung von Verhaltenskodizes.
- 12 Monate: Umsetzung von Governance-Regeln und Bußgeldvorschriften sowie den Regeln für GPAI als auch deren Bußgelder.
- 24 Monate: Allgemeine Anforderungen für Hochrisiko-Systeme werden wirksam (Anhang III AI Act).
- 36 Monate: Spezielle Anforderungen für bestimmte Hochrisiko-Systeme treten in Kraft (Anhang II AI Act).
Die Vorschriften gelten für Anbieter und Betreiber mit Sitz innerhalb sowie auch mit Sitz außerhalb der EU, wenn das von dem KI-System hervorgebrachte Ergebnis in der EU verwendet wird. Betreiber könnten natürliche oder juristische Personen sein, die KI-System in eigener Verantwortung verwenden, es sei denn, dass das KI-System im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet wird (Art. 3 Ziffer 4 AI Act).
Wenig Zeit für Digitalisierung?
Einmal im Monat erhalten Sie in unserem Newsletter Legal Tech-News, Praxistipps für die Digitalisierung und Tooltipps direkt in ihre Inbox.
3. Relevante Pflichten von Betreibern von KI-Systemen mit hohem Risiko
Der AI Act verfolgt bei der Regelung von KI-Systemen einen risikobasierten Ansatz. Es ist zu erwarten, dass die meistens Auswirkungen (Anbieter und) Betreiber von KI-Systemen mit hohem Risiko treffen werden. Betreiber von Hochrisikosystemen müssen gemäß Artikel 26 ff. AI Act sicherstellen, dass Hochrisiko-Systeme gemäß den Anweisungen der Anbieter (Stichwort: Gebrauchsanweisung) verwendet werden und dass sie geeignete Maßnahmen zur Überwachung und Kontrolle dieser KI-Systeme implementieren. Dazu gehören u.a.:
- Technische und organisatorische Maßnahmen zur Sicherstellung des korrekten Betriebs der Systeme sowie Schulung der entsprechenden Mitarbeiter („AI Literacy”)
- Aufzeichnung von Betriebsprotokollen für mindestens sechs Monate.
- Informationspflichten gegenüber betroffenen Personen, wenn Entscheidungen, die sie betreffen, durch Hochrisiko-KI-Systeme getroffen oder unterstützt werden.
4. KI-Systeme mit beschränktem Risiko
Für KI-Systeme mit nur beschränktem Risiko gelten die Grundsätze der Transparenz und Offenlegung. Insoweit legt Artikel 50 AI Act fest, dass Betreiber verpflichtet sind, die Nutzung von KI-Systemen klar zu kennzeichnen und natürliche Personen vor der direkten Interaktion entsprechend zu informieren. Eine vorherige Aufklärung ist nur dann nicht erforderlich, wenn es offensichtlich ist, dass es sich um ein KI-System handelt (wie z. B. bei dem Einsatz eines Chatbots).
In der Kritik ist bereits, dass sog. Deepfakes lediglich den Transparenzpflichten nach Art. 50 AI Act unterliegen und nicht als Hochrisiko KI-System eingestuft werden. Somit ist es momentan noch ausreichend, wenn bei Deepfakes darauf hingewiesen wird, dass die Inhalte künstlich erstellt oder manipuliert wurden.
Mehr zum Thema Legal Tech im Legal Tech-Magazin
„So verändert Künstliche Intelligenz die juristische Recherche“
5. Betreiber von KI-Modellen mit allgemeinem Verwendungszweck
Interessant festzustellen ist ebenfalls, dass das Betreiben von KI-Modellen mit allgemeinem Verwendungszweck keinen besonderen Pflichten nach Art. 53 bis 56 AI Act unterliegt. Vielmehr gelten insoweit die Transparenzpflichten nach Art. 50 AI Act. Anders sieht es aus, wenn das KI-Modell mit allgemeinem Verwendungszweck in einem Hochrisiko KI-System zum Einsatz kommt. Insoweit gelten dann auch für das KI-Modell die gleichen Vorschriften wie für Hochrisiko KI-Systeme nach Art. 6 bis 28 AI Act.
6. Sanktionen und Compliance
Verstöße gegen die Vorschriften des AI Acts können zu erheblichen Geldbußen führen, die im äußersten Fall bis zu 35 Millionen Euro oder bis zu sieben Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen können (Art. 99 AI Act). Dies unterstreicht die Bedeutung einer gründlichen Vorbereitung und fortlaufenden Compliance für alle Betreiber von KI-Systemen.
7. Handlungsempfehlungen
Der vermeintlich lange Zeitraum bis zum Eintreten der Wirkung des AI Acts täuscht. Betreiber von KI-Systemen sollten die verbliebene Zeit bereits jetzt dazu nutzen, sich einen Überblick über die beruflich eingesetzten KI-Systeme zu verschaffen und diese KI-Systeme sodann zu klassifizieren. Das Ergebnis sollte möglichst schriftlich festgehalten werden.
Daneben ist zu prüfen, ob nicht bereits jetzt eine interne Richtlinie im Umgang mit KI-Systemen sowie KI-Modellen mit allgemeinem Verwendungszweck erstellt wird, welche auch die in dem Kontext relevanten urheber- und datenschutzrechtlichen Aspekte erfasst.
Fazit
Der AI Act stellt einen weitreichenden Ansatz zur Regulierung Künstlicher Intelligenz dar. Für Betreiber sind die neuen Vorschriften des AI Acts aber auch eine Aufforderung, ihre KI-Systeme und Prozesse sorgfältig zu prüfen und die eingesetzten KI-Systemen zu klassifizieren. Die Implementierung dieser neuen Regelungen erfordert daher eine enge Zusammenarbeit mit technischen und rechtlichen Expertinnen und Experten, um Compliance sicherzustellen und innovative Möglichkeiten innerhalb dieses neuen rechtlichen Rahmens zu nutzen.
Bild: Adobe Stock/©All Creative Lines
Martin Figatowski ist Rechtsanwalt in der Kanzlei GTK Rechtsanwälte mit besonderem Fokus auf die Besteuerung von Kryptowährungen sowie blockchainbasierten Geschäftsmodellen.
