Schritt in die Zukunft - Die KI-Verordnung der Europäischen Union

von Gastbeitrag, veröffentlicht am 12.08.2024

Rechtsgebiete: Verlag1|1879 Aufrufe

Schritt in die Zukunft - Die KI-Verordnung der Europäischen Union

Im August 2024 ist das Gesetz über künstliche Intelligenz der Europäischen Union, kurz: KI-Verordnung, in Kraft getreten. Die KI-Verordnung der EU gilt als die umfangreichste und bislang bedeutendste Gesetzgebung zur KI-Regulierung weltweit. Gut möglich, dass sie als Blaupause für andere Staaten dienen wird. Wir haben Prof. Dr. Christiane Wendehorst und Prof. Dr. Mario Martini gebeten, uns die wichtigsten Punkte der KI-Regelungen zu erläutern. Beide arbeiten derzeit als Herausgeber an einem Kommentar zur KI-Verordnung, der im September bei C.H.BECK erscheinen wird.

Prof. Dr. Mario Martini ist Inhaber des Lehrstuhls für Verwaltungswissenschaft, Staatsrecht, Verwaltungsrecht und Europarecht an der Deutschen Universität für Verwaltungswissenschaften Speyer und Leiter des Themenbereichs »Digitale Transformation im Rechtsstaat« am Deutschen Forschungsinstitut für öffentliche Verwaltung. Seine Forschungsschwerpunkte liegen insbesondere im Verwaltungs- sowie öffentlichen Wirtschaftsrecht, im Internet-, Datenschutz-, Medien- und Telekommunikationsrecht sowie allen (weiteren) Rechtsfragen, die die Digitalisierung für den Staat und die Gesellschaft mit sich bringt.

Prof. Dr. Christiane Wendehorst ist Professorin für Zivilrecht an der Universität Wien, stellvertretende Institutsvorständin am Institut für Innovation und Digitalisierung im Recht und wissenschaftliche Direktorin des Europäischen Rechtsinstituts (ELI). Gegenwärtig konzentriert sich ihre Arbeit auf rechtliche Herausforderungen der Digitalisierung. Sie hat als Expertin zu Themen wie digitale Inhalte, Internet der Dinge, künstliche Intelligenz und Datenökonomie unter anderem für die Europäische Kommission, das Europäische Parlament sowie die deutsche Bundesregierung gearbeitet.

Was ist unter »Künstlicher Intelligenz« (KI) zu verstehen?
Wendehorst: Es gibt keinen einheitlichen Begriff der »Künstlichen Intelligenz«. Der europäische Gesetzgeber hat sich bei der Definition von »KI-System« an der überarbeiteten Definition der OECD von November 2023 orientiert. Diese weist leider besonders viele Unschärfen auf und ermöglicht ganz verschiedene Lesarten. Am einen Ende des Spektrums steht die Lesart, wonach nur Systeme erfasst werden, die sich noch im Betrieb und außerhalb der unmittelbaren Kontrolle durch den Anbieter weiterentwickeln – das würde derzeit nur sehr wenige Systeme betreffen, die überdies meist keine »Hochrisiko-KI-Systeme« im Sinne der KI-VO wären. Am andere Ende des Spektrums steht eine Lesart, nach der im Prinzip die meisten IT-Systeme erfasst sein könnten, die komplexere Aufgaben zu bewältigen haben. Unsere Kommentierung schlägt einen gemeinsam mit
Computerwissenschaftlern entwickelten »Drei-Faktor-Ansatz« vor. Klarheit werden wir aber erst erhalten, wenn die betreffenden Leitlinien der Kommission vorliegen – das soll noch innerhalb der ersten sechs Monate nach Inkrafttreten, also möglicherweise bis Ende 2024, der Fall sein.

Wie gewährleistet die neue Verordnung, dass die Vorschriften angesichts der rasanten Entwicklungen im KI-Sektor nicht gleich wieder veralten?
Martini: Vor allem, indem der Unionsgesetzgeber der Kommission weitreichende Konkretisierungsbefugnisse zugesteht. Diese ermöglichen es nicht nur, die mitunter sehr abstrakten normativen Vorgaben der KI-VO zu operationalisieren, sondern auch, ihre Anwendung an die rasante Entwicklung der KI-Technologie anzupassen. Die Kommission darf zum einen in wichtigen Bereichen, wie dem Verbot bestimmter KI-Praktiken und den Anforderungen an Hochrisiko-KI-Systeme, Leitlinien erarbeiten, die die Vorgaben der Verordnung praktisch umsetzbar machen sollen. Die KI-VO ermächtigt die Kommission zum anderen an zahlreichen Stellen dazu, delegierte Rechtsakte zu erlassen. Auf diesem Wege darf die Kommission beispielsweise weitere Systeme als Hochrisiko-KI-Systeme einstufen. Der Unionsgesetzgeber gibt der Kommission damit ein flexibles Handlungsinstrument an die Hand, um der dynamischen technischen Entwicklung Rechnung zu tragen.

Die Verordnung hat einen risikobasierten Anwendungsansatz gewählt. Wie funktioniert dieser?
Martini: Etwas verkürzt lässt sich der risikobasierte Ansatz auf die Formel bringen: »so viel Innovationsfreiheit wie möglich, so viel Regulierung wie nötig«. Das Pflichtenniveau, das KI-Systeme erreichen müssen, ist mithin nicht immer gleich, sondern bestimmt sich nach dem Maß des Risikos, das von der einzelnen Anwendung ausgeht. Statt alle KI-Anwendungen gleichsam über einen Leisten zu schlagen, reguliert der Unionsgesetzgeber sie nur dann und insoweit, wie sie Risiken bzw. Gefahren für die Gesundheit, Sicherheit und die Grundrechte bergen. Dieser Philosophie folgend, entwickelt die KI-VO eine Risikopyramide mit fünf Stufen: 1. Generell verbotene Praktiken, 2. grundsätzlich zulässige Hochrisiko-KI-Systeme, für die ein strenges Regelungs- bzw. Pflichtenprogramm greift, 3. KI-Modelle mit allgemeinem Verwendungszweck, die insbesondere Risikobewertungs- und Analysepflichten erfüllen müssen, 4. KI-Systeme mit geringem Risiko, die aber besonderen Transparenzanforderungen unterliegen, und 5. unregulierte KI-Systeme, die ein Risiko im Einzelfall bergen.

Wendehorst: Der risikobasierte Ansatz ist überaus zu begrüßen. Allerdings ist KI auf Daten angewiesen, und das stellt die KI-Entwicklung in Europa oft vor Probleme, insbesondere, wenn es um personenbezogene Daten geht. Die Datenschutzgrundverordnung (DS-GVO) ist deutlich weniger risikobasiert ausgestaltet als die KI-VO. Das heißt, dass auch wenig riskante Datenverarbeitungen dem gesamten Arsenal der DS-GVO-Vorgaben unterworfen sind. Hier könnte die Situation durch die KI-VO sogar teilweise noch schwieriger werden, weil zu befürchten ist, dass Behörden und Gerichte Umkehrschlüsse aus einzelnen Vorschriften ziehen – etwa was die ausnahmsweise Verarbeitung sensibler Datenkategorien zur Verhinderung von Bias und Diskriminierung bei KI-Systemen betrifft, die nicht als Hochrisiko-KI-Systeme eingestuft sind.

Für kleine und mittlere Unternehmen soll es aber Erleichterungen geben. Welche?
Martini: Der Unionsgesetzgeber berücksichtigt die besonderen Bedürfnisse und Interessen kleiner und mittlerer Unternehmen (KMU) an zahlreichen Stellen der KI-VO. Das gilt insbesondere für die Sanktionshöhe bei Verstößen oder die Aufstellung von Verhaltenskodizes. Privilegien genießen KMU auch in Gestalt verfahrensrechtlicher Erleichterungen bei der technischen Dokumentation und eines kostenfreien Zugangs zu KI-Reallaboren. KMUs sind ferner an der Entwicklung von Normen zu beteiligen. Die für die Konformitätsbewertung anfallenden Gebühren sind bei ihnen an die Unternehmensgröße anzupassen. Zudem sollen die für die Aufsicht über den KI-Sektor zuständigen nationalen Behörden KMU »mit Anleitung und Beratung bei der Durchführung dieser Verordnung zur Seite stehen«. Für Kleinstunternehmen erleichtert Art. 63 darüber hinaus das normative »Marschgepäck« für das Qualitätsmanagementsystem bei Hochrisiko-KI-Systemen.

Auch soll es Ausnahmen von der Anwendbarkeit der KI-Verordnung geben…
Wendehorst: In der Tat. Ganz ausgenommen ist etwa der Bereich der Verteidigung und nationalen Sicherheit, d.h. insbesondere autonome Waffensysteme sind nicht erfasst. Aber auch autonome Kraftfahrzeuge, Drohnen und eine Reihe ähnlicher Produkte sind von praktisch allen Vorschriften der KI-VO ausgenommen, weil sie eigenen Rechtsakten unterliegen, die noch an die Besonderheiten von KI angepasst werden sollen. Ausgenommen sind übrigens auch KI-Systeme, die ausschließlich für Forschungszwecke entwickelt werden. Und ausgerechnet der praktisch so wichtige Bereich freier und quelloffener KI, sprich »Open Source«, ist einer sehr verwirrenden Ausnahmeregelung unterworfen worden, bei der wohl erst der EuGH letzte Klarheit schaffen wird, was sie genau bewirkt. Im Übrigen muss noch einmal erwähnt werden, dass die allermeisten KI-Systeme zwar theoretisch vom Anwendungsbereich der KI-VO erfasst sind, aber so gut wie keinen ihrer Vorschriften unterfallen, weil sie – im Sinne des risikobasierten Ansatzes – nur ein minimales Risiko darstellen.

Welche Strafen fallen bei Verstößen gegen die Verordnung an?
Wendehorst: Es gilt ein gestaffeltes Sanktionensystem, je nach der Schwere des Verstoßes und vielen weiteren Faktoren. Die höchsten Strafen sind vorgesehen bei Missachtung des Verbots der in Artikel 5 genannten KI-Praktiken, also der Praktiken, die ein unvertretbar hohes Risiko für Grundrechte darstellen und daher nicht erlaubt werden. Die Verbote rangieren von Manipulation oder Ausbeutung vulnerabler Gruppen bis hin zu unerlaubter Verwendung von Emotionserkennung am Arbeitsplatz bzw. in Bildungseinrichtungen oder unerlaubter biometrischer Kategorisierung. Da werden Geldbußen von bis zu maximal 35 Millionen Euro oder – im Falle von Unternehmen – von bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.

Wie wird die Einhaltung der Vorschriften kontrolliert?
Martini: Die KI-VO etabliert eine vielschichtige Aufsichtsstruktur. Sie legt die Vollzugsaufgaben grundsätzlich in die Hände der mitgliedstaatlichen Aufsichtsbehörden. Diese übernehmen insbesondere die Kernaufgabe der Marktüberwachung. Zudem akkreditieren sie die Konformitätsbewertungsstellen, welche die Übereinstimmung von KI-Systemen mit den Anforderungen der KI-VO überprüfen. Sie sind außerdem auch für die Innovations- und Wettbewerbsförderung durch KI-Reallabore etc. zuständig. Um ihre Aufsichtsaufgaben in diesen drei Bereichen wahrzunehmen, müssen die Mitgliedstaaten nicht notwendig eine neue Behörde einrichten. Sie können die KI-Aufsicht auch bereits bestehenden Behörden anvertrauen. Frankreich hat beispielsweise diesen Weg gewählt und seine Datenschutzbehörde um eine spezielle KI-Abteilung erweitert. In Deutschland eignet sich neben den Datenschutzaufsichtsbehörden insbesondere die Bundesnetzagentur für die Aufgabe der zuständigen nationalen Behörden. Um eine unionsweit einheitliche und wirksame Anwendung sicherzustellen, richtet die KI-VO als gemeinsames Regulierungsdach ein KI-Gremium ein. Es kann unter anderem die Koordinierung der zuständigen nationalen Behörden aktiv unterstützen. Zusätzlich siedelt die Union bei der Kommission ein Büro für Künstliche Intelligenz an. Seine Aufgabe ist es, gemeinsame Tätigkeiten der nationalen Marktüberwachungsbehörden und der Kommission zu unterstützen. Ein wissenschaftliches Gremium unabhängiger Sachverständiger flankiert die Durchsetzungstätigkeiten der Aufsichtsinstanzen mit seiner Fachexpertise.

Wann tritt die KI-Verordnung in Kraft?
Martini: Der neue Rechtsakt gibt einen strammen Zeittakt vor: Die KI-VO tritt bereits am 20. Tag nach ihrer Veröffentlichung im Amtsblatt in Kraft. Damit sich die Normadressaten mit hinreichendem Vorlauf auf die neuen Regeln einstellen zu können, erlangen ihre Vorgaben aber nicht unmittelbar mit Veröffentlichung im Amtsblatt Gültigkeit. Ebenso wie die anderen Rechtsakte des unionalen Digitalpakets unterscheidet die KI-VO vielmehr strikt zwischen Inkrafttreten und Gültigkeit. Vollständige Gültigkeit erlangt sie erst 24 Monate nach ihrem Inkrafttreten. Die wichtigen allgemeinen Bestimmungen der Art. 1 - 4 (Gegenstand, Anwendungsbereich, Definitionen und KI-Kompetenz) sowie das Verbot bestimmter Praktiken (Art. 5) gelten aber schon nach 6 Monaten. Die Vorgaben für notifizierende Behörden und notifizierte Stelle entfalten ebenso wie die Maßnahmen zur Innovationsförderung, die Vorgaben für Modelle mit allgemeinem Verwendungszweck und die Vorschriften über Governance, Sanktionen sowie Vertraulichkeit nach 12 Monaten ihre volle Wirkung.

Bitte geben Sie uns noch einen Ausblick. Wie wird es nach der KI-Verordnung weiter gehen?
Martini: Von besonderer Bedeutung für den praktischen Vollzug der KI-VO werden die Leitlinien und Durchführungsrechtsakte
sein, welche die Kommission alsbald nach ihrem Inkrafttreten ins Werk setzen wird. Von ihnen wird eine substanzielle Steuerungswirkung für die Anwendung der Verordnung ausgehen.
Wendehorst: Besonders spannend wird es auch sein, zu sehen, wie es mit der Haftung für KI weitergeht. Die überarbeitete Produkthaftungsrichtlinie, die noch 2024 verabschiedet werden soll, erfasst auch KI-Systeme, deckt aber nur bestimmte Schadenstypen ab. Im Übrigen – insbesondere für die Betreiber der KI-Systeme – bleibt es bei der nationalen Verschuldenshaftung. Schon 2021 hat die Kommission einen Vorschlag für eine KI-Haftungsrichtlinie vorgelegt, die auf den Begrifflichkeiten und der Risikoklassifizierung durch die KI-VO aufsetzt und die nationale Verschuldenshaftung punktuell präzisieren bzw. ergänzen soll. Egal, wie es mit der KI-Haftungsrichtlinie weitergeht – die KI-VO wird vermutlich nicht lange die einzige europäische Regelung bleiben, die speziell KI-Systeme adressiert.

Vielen Dank für das Gespräch.

Analoge Information zur Künstlichen Intelligenz:

Dieser Beitrag erschien zuerst in beck-aktuell - DAS MAGAZIN. Jetzt kostenlos abonnieren.