Regeln der EU für den Einsatz künstlicher Intelligenz – Die KI Verordnung

Das EU-Parlament gibt grünes Licht für weltweit erste Regeln für künstliche Intelligenz (KI) in der Europäischen Union. Die Parlamentarier haben am Mittwoch in Straßburg mehrheitlich für ein entsprechendes Gesetz gestimmt. Die EU-KI-Verordnung (KI-VO) schafft einen einheitlichen rechtlichen Rahmen für KI in der EU, unabhängig von Branche oder Technologie. Durch ihre sofortige und einheitliche Anwendung in allen 26 EU-Mitgliedstaaten soll die Verordnung Rechtssicherheit in ganz Europa (und darüber hinaus) bieten.

Anwendungsbereich der KI-Verordnung

Die Verordnung regelt KI-Systeme, die sie definiert als maschinenbasierte Systeme, die autonom operieren. Dies bedeutet, dass sich solche KI-Systeme ohne dirigierenden menschlichen Einfluss selbst anpassen und entwickeln können. Die KI-Systeme können aus den Nutzereingaben selbständig Ergebnisse erzeugen. 

Die KI-VO betrifft Anbieter, Bereitsteller, Importeure, Händler und Produkthersteller von KI-Systemen mit Sitz in der EU oder außerhalb. Entscheidend ist, dass sie die KI innerhalb der EU verwenden. Endverbraucher sind nicht direkt betroffen.

Risikobasierter Ansatz

Die KI-VO klassifiziert KI nach Risikogruppen. Verboten sind KI-Systeme mit unannehmbarem Risiko, während KI-Systeme mit hohem Risiko strengen Anforderungen unterliegen und nicht gänzlich verboten sind. KI-Systeme mit begrenztem oder minimalem Risiko haben spezifische Transparenzverpflichtungen. Eine General Purpose AI (GPAI), und ihre jeweiligen Grundmodelle, die die Grundlage für generative KI-Anwendungen wie ChatGPT bilden, unterliegen besonderen Regelungen.

Verbotene KI-Systeme

Die KI-VO verbietet den Einsatz bestimmter KI-Systeme, darunter manipulative Praktiken, biometrische Kategorisierung und Social Scoring. Arbeitgeber müssen den Einsatz der KI-Systeme am Arbeitsplatz sorgfältig prüfen und die Nutzung von KI für gezielte Werbung wird voraussichtlich eingeschränkt.

Hochriskante KI-Systeme

KI-Systeme mit erheblichem Risiko unterliegen ebenfalls strengen Vorgaben. Die KI-VO ermöglicht über einen gesetzlichen Filter Ausnahmen von diesen strengen Vorgaben, z.B. für KI-Systeme mit eng gefasster Verfahrensaufgabe. Dafür müssen sie aber in einer offiziellen EU-Datenbank registriert sein, bevor sie in der EU auf den Markt gebracht werden. GPAI-Modelle, die aufgrund der Menge durchgeführter Berechnungen besonders relevant („systemisch“) sind, haben zusätzliche Verpflichtungen, um systemrelevante Risiken zu mindern.

Anbieter hochriskanter KI-Systeme müssen ein Risiko- und Qualitätsmanagementsystem etablieren, und sicherstellen, dass das KI-System ein angemessenes Niveau an Robustheit, Genauigkeit und Cybersicherheit aufweist. Betreiber müssen eine menschliche Aufsicht gewährleisten und Risiken melden, sowie stets eine Folgenabschätzung für Grundrechte durchführen. Die Parallelen zur Datenschutzfolgenabschätzung der DSGVO und zur Registrierung von Medizinprodukten sind offensichtlich erkennbar und dürften bei der praktischen Umsetzung der KI-VO hilfreich sein. Die Verordnung betont insbesondere auch hohe Fairness-Anforderungen bei der Auswahl von Trainingsdaten, um verzerrte und unfaire Ergebnisse zu vermeiden.

General Purpose AI (GPAI)

Eine GPAI unterliegt speziellen Regelungen, mit umfangreichen Informations- und Dokumentationspflichten für Anbieter. Die Verwender dieser Systeme sollen die Fähigkeiten und Grenzen des KI-Modells im Sinne einer „explainable AI“ verstehen können. Systemische GPAI-Modelle müssen zusätzliche Sicherheitsmaßnahmen treffen und Verhaltenskodizes entwickeln.

Einsatz von KI-Systemen gegenüber menschlichen Individuen

Transparenz ist für KI-Systeme, die direkt mit Menschen interagieren, erforderlich. Generative KI-Systeme müssen ihre Ausgabe als künstlich erzeugt kennzeichnen. Betreiber von KI-Systemen für biometrische Kategorisierung oder Emotionserkennung müssen die Endnutzer transparent informieren.

Kontrolle und Durchsetzung

Nationale Behörden überwachen die Einhaltung der KI-VO, wobei es bisher noch ungeklärt ist, welche Behörde auf deutscher Ebene mit dieser wichtigen Überwachungsaufgabe betraut sein wird. Das neu errichtete KI-Büro der EU-Kommission überwacht die GPAI-Modelle und -Systeme. Sanktionen für Verstöße können bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes betragen.

Zeitplan für den Übergangszeitraum

Die KI-VO tritt voraussichtlich im April oder Mai 2024 in Kraft. Unterschiedliche Fristen gelten für verbotene KI-Systeme, KI-Modelle, GPAI und KI-Systeme mit hohem Risiko. Verhaltenskodizes können nach 9 Monaten eingereicht werden, und Sanktionen werden nach 12 Monaten wirksam. Wir empfehlen zudem, die neuen Regeln für Produkthaftung und die Haftungsregeln der KI-Verordnung eng zu beobachten, da auch in diesem Bereich konkrete neue Regeln auf EU-Ebene in Arbeit sind.