Die Europäischen Kommission hat zur Gestaltung der digitalen Zukunft Europas eine Vielzahl gesetzlicher Regelungen vorbereitet und erlassen, die den rechtlichen Rahmen des digitalen Wandels bilden. Im letzten Newsletter haben wir Ihnen einen Überblick der wichtigsten Neuerungen gegeben. Heute möchten wir Ihnen die Verordnung über Künstliche Intelligenz (AI Act) vorstellen und die Auswirkungen auf Ihr Unternehmen erläutern. Falls Sie dazu Fragen haben, sprechen Sie uns gerne an.
Einführung
Am 12. Juli 2024 ist die Verordnung (EU) 2024/1689 (Verordnung über Künstliche Intelligenz) veröffentlicht worden. Sie tritt bereits am 1. August 2024 in Kraft. Die KI-VO gilt unmittelbar in allen EU-Mitgliedstaaten.
Die Übergangsfristen sind zum Teil recht kurz. So sind die Regelungen in Kapitel I (Allgemeine Bestimmungen) und II (Verbotene Praktiken im KI-Bereich) bereits ab dem 2. Februar 2025 anwendbar. Ab dem 2. August 2025 werden u.a. Kapitel V (KI-Modelle mit allgemeinem Verwendungszweck), Kapitel VII (Governance) und Kapitel XII (Sanktionen) sowie Art. 78 (Vertraulichkeit) gelten. Die längste Übergangszeit besteht für die Regelungen in Art. 6 Abs. 1 (Einstufungsvorschriften für Hochrisiko-KI-Systeme) und die entsprechenden Pflichten nach der KI-VO, die ab dem 2. August 2027 anwendbar sind.
Da die KI-VO komplexe rechtliche und technische Vorgaben enthält, sollten Sie diese bereits jetzt bei jeder Planung und Implementierung von KI in Ihrem Unternehmen mit berücksichtigen und umsetzen.
Was sind die Kernelemente?
Die KI-Verordnung verfolgt einen risikobasierten Ansatz, bei dem KI-Systeme anhand des Risikos für die Sicherheit, Gesundheit und Grundrechte von Menschen bewertet werden. Je höher das Risiko, desto umfassender sind die Pflichten. Dabei wird zwischen vier Risikostufen differenziert, die jeweils unterschiedliche Anforderungen nach sich ziehen:
Generell verboten sind KI-Systeme mit inakzeptablem Risiko (Art. 5 KI-VO). Dazu gehören beispielsweise KI-Anwendungen zur sozialen Bewertung von Bürgern und Arbeitnehmern (Social Scoring), Datenbanken zur Gesichtserkennung oder Emotionserkennung am Arbeitsplatz.
KI-Systeme, die in den Bereichen Gesundheit oder Sicherheit oder in grundrechtssensiblen Bereichen eingesetzt werden (z.B. biometrische Identifizierung, kritische Infrastrukturen, Beschäftigung und Personalmanagement, Strafverfolgung, Migration und Grenzkontrolle), gelten als Hochrisiko-KI-Systeme (Art. 6 KI-VO). Diese Systeme unterliegen strengen Anforderungen, wie etwa die Einrichtung eines Risikomanagementsystems, Daten-Governance zur Vermeidung von möglichen Verzerrungen (Bias), die Erstellung einer technischen Dokumentation, umfassende Transparenz- und Informationspflichten sowie die Einrichtung von menschlicher Aufsicht und Maßnahmen zur Cybersicherheit.
Für Systeme, die nicht als Hochrisiko-KI-Systeme anzusehen sind, die aber mit natürlichen Personen interagieren oder Inhalte erzeugen sollen (z.B. Chatbots für Kundeninformationen, Bewerberauswahl, Talentmanagement), gelten insbesondere Transparenz- und Informationspflichten. Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren (Art. 50 KI-VO). Die Nutzung muss erforderlich und angemessen sein.
Eine neu geschaffene europäische Aufsichtsbehörde wird die Einhaltung der Vorschriften überwachen und bei Verstößen Sanktionen verhängen können.
Für wen gelten die Regelungen?
Adressaten der KI-VO sind Anbieter, die KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen sowie Betreiber von KI-Systemen und Einführer und Händler.
Unternehmen, die KI-Systeme einsetzen, können sowohl Betreiber als auch Anbieter im Sinne der KI-VO sein.
Beispiele: Ein Unternehmen lässt einen eigenen Chatbot entwickeln und setzt diesen auf der Unternehmenswebsite ein.
Was sind die Risiken?
Bei Verstößen gegen die KI-VO drohen Unternehmen Geldbußen in Höhe von bis zu EUR 35 Mio. oder 7% des weltweiten Jahresumsatzes. Auch Klagen von Wettbewerbern oder Schadenersatzansprüche von Betroffenen sind möglich.
Was ist zu tun?
Als Anbieter oder Betreiber sind Unternehmen dafür verantwortlich, dass ihre KI-Systeme gesetzeskonform eigesetzt werden. Vor der Entwicklung oder dem Einsatz von KI-Systemen muss jedes Unternehmen detailliert prüfen und dokumentieren, in welche Risikostufe der KI-VO die Systeme fallen und welche gesetzlichen Anforderungen sich daraus ergeben. Die regulatorischen Vorgaben, insbesondere die stets vorgeschriebenen Transparenz- und Informationspflichten müssen vor der Implementierung der KI-Systeme umgesetzt werden.
Sofern KI-Systeme Dritter eingesetzt werden, ist der Abschluss von Verträgen zum Schutz der eigenen Daten und Einhaltung der gesetzlichen Regelungen notwendig.
Für ein umfassendes KI Compliance Management ist neben der Planung noch eine laufende Kontrolle und Verbesserung der getroffenen Maßnahmen zielführend.
Zusätzlich haben Unternehmen gemäß Art. 4 KI-VO sicherzustellen, dass Mitarbeiter, die mit KI-Systemen befasst sind, über ausreichende KI-Kompetenz verfügen. Dazu gehören klare unternehmensinterne Vorgaben und Schulungen. Bei dem Betrieb und der Nutzung von KI-Systemen werden regelmäßig weitere rechtliche Aspekte zum Tragen kommen, wie Datenschutz, IT-Sicherheit, Schutz von Geschäftsgeheimnissen und Know-How, gewerbliche Schutzrechte und arbeitsrechtliche Bestimmungen. Wir empfehlen daher, in jedem Fall eine unternehmensinterne Richtlinie (KI-Policy) zu erstellen sowie eine Datenschutzfolgenabschätzung zu erstellen, um den gesetzeskonformen Umgang mit KI sicherzustellen und damit verbundene Haftungsrisiken für das Unternehmen und die Verantwortlichen persönlich zu vermeiden.
Falls Sie Fragen haben, sprechen Sie uns jederzeit gerne an!