Die Künstliche Intelligenz, kurz „KI“, bietet nicht nur Vorteile für das Wirtschaftswachstum, sondern steigert auch die Effizienz und fördert Innovationen in vielen Bereichen der Gesellschaft. Deshalb wird der Einsatz von KI in Unternehmen in den letzten Jahren häufiger eingesetzt. Allerdings können KI-Systeme auch große Risiken bergen. Im August 2024 ist die EU-Verordnung über künstliche Intelligenz (kurz: KI-VO) in Kraft getreten, die die Einhaltung von Grundrechten in Bezug auf die Nutzung von KI gewährleisten und mehr Rechtssicherheit bieten, gleichzeitig aber auch Innovation fördern soll. Die KI-VO ist somit die weltweit erste gesetzliche Regulierung zur Nutzung von KI. Es gibt jedoch ein Übergangszeitraum, da einige Teile des Gesetzes zu verschiedenen Jahren in Kraft treten werden und wird ab August 2026 für insbesondere hochriskante KI-Systeme vollständig in Kraft treten. Für Unternehmen bedeutet dies, dass sie alle Vorgaben für solche KI-Systeme einhalten müssen, da zur Einhaltung dieser Pflichten die Mitgliedsstaaten ihre nationalen Behörden eingerichtet haben müssen.
Dieser Artikel soll insbesondere Unternehmen, die KI-Systeme betreiben und anbieten, einen kleinen Überblick, der keinen Anspruch auf Vollständigkeit hat, über die Auswirkungen und die Pflichten für Unternehmen schaffen.
Risikogruppen der KI-Modelle
Die KI-VO definiert vier Risikostufen für KI-Systeme:
1. Unannehmbares Risiko:
Solche Systeme stellen eine Bedrohung der Sicherheit, des Lebensunterhalts und der Rechte von Menschen dar, wie z.B. mithilfe von Social Scoring durch Regierungen, Emotionserkennungen und biometrische Kategorisierung natürlicher Personen.
2. Hohes Risiko:
Bei Systemen mit hohen Risiko könnten nachteilige Auswirkungen auf die Sicherheit und Grundrechte der Menschen haben, z.B. die in kritischen Infrastrukturen oder Strafverfolgungen eingesetzt werden. Für die Nutzung solcher Systeme gelten daher stenge Anforderungen.
3. Begrenztes Risiko:
Systeme mit begrenztem Risiko müssen Transparenzverpflichtungen erfüllen, z.B. für Anwendungen bei denen Manipulationsgefahr bestehen kann wie bei Chatbots oder Deepfakes. Den Nutzern muss bewusst sein, dass sie nicht mit einem Menschen, sondern einer KI interagieren.
4. Minimales bzw.
kein Risiko: Solche Systeme stellen kein besonderes Risiko dar und können ohne zusätzlicher gesetzlicher Regelungen verwendet werden, z.B. bei Spielen oder Spam-Filter.
Geltungsbereich der KI-VO
Nach Art. 2 der KI-VO gilt der Anwendungsbereich für die Regelung für Anbieter, die in der EU KI-Systeme in Verkehr bringen oder in Betrieb nehmen oder KI-Modelle mit allgemeinem Verwendungszweck in Verkehr bringen, unabhängig davon, ob diese in der EU oder in einem Drittland niedergelassen sind, sowie für Betreiber von KI-Systemen, die ihren Sitz in der EU haben oder sich dort befinden. Wird die KI rein für private Zwecke verwendet, gilt der Anwendungsbereich der KI-VO nicht. Sie gilt allerdings auch, wenn ein Anbieter oder Betreiber von KI-Systemen sich in einem Drittland befindet, das KI-System jedoch in der EU verwendet wird. Wichtig ist die Differenzierung zwischen Anbieter und Betreiber. Gemäß der VO ist ein Anbieter eine natürliche oder juristische Person, Behörde oder Einrichtung, die ein KI-System entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder Marke in Verkehr bringt oder in Betrieb nimmt, während ein Betreiber eine natürliche oder juristische Person, Behörde oder Einrichtung ist, die ein KI-System in eigener Verantwortung im Rahmen einer beruflichen Tätigkeit verwendet (z.B. eine Bank). Ein allgemeiner Verwendungszweck deutet auf ein KI-System hin, das in der Lage ist eine Vielzahl von Zwecken sowohl für die direkte Verwendung als auch für die Integration in andere KI-Systeme zu dienen (z.B. ChatGPT).
Pflichten für Betreiber und Anbieter von Hochrisiko-KI-Systemen
Sowohl Anbieter als auch Betreiber müssen Maßnahmen ergreifen, um sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen.
Für Betreiber von Hochrisiko-KI-Systemen gelten folgende Pflichten:
Abgesehen von den Schulungspflichten müssen Betreiber auch sicherstellen, dass natürliche Personen die menschliche Aufsicht über den Einsatz ausüben (Art. 26). Sie müssen auch operative Pflichten erfüllen, wie z.B. den Betrieb des KI-Systems anhand der Betriebsanleitung bewachen und kontinuierlich zu überwachen und ggf. Anbieter informieren, wenn das System ein Risiko birgt. Zudem sorgen sie dafür, dass die Eingabedaten der Zweckbestimmung des KI-Systems entsprechen und ausreichend repräsentativ sind. Auch müssen sie prüfen, dass der Einsatz eines Hochrisiko-KI-Systems nicht unter die gem. Art. 5 verbotenen KI-Praktikten fällt. Am Arbeitsplatz muss vor der Verwendung des Hochrisiko-KI-Systems die Informationspflicht erfüllt werden, indem der Betreiber die Arbeitnehmervertreter und die betroffenen Arbeitnehmer darüber unterrichtet, dass sie ein Hochrisiko-KI-System verwenden. Die Betreiber unterliegen auch einer Dokumentationspflicht, d.h. sie müssen Protokolle aufbewahren und die Aufbewahrungspflichten nach Rechtsvorschriften wie z.B. der DSGVO beachten. Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts oder private Einrichtungen, die öffentliche Dienste erbringen, müssen gemäß Art. 27 Grundrechte-Folgenabschätzungen durchführen. Zudem unterliegen sie Kooperationspflichten mit den zuständigen nationalen Behörden bzw. den zuständigen Marktüberwachungsbehörden.
Für Anbieter von Hochrisiko-KI-Systemen gelten folgende Pflichten:
Bevor ein Hochrisiko-KI-System in den Verkehr gebracht wird, muss der Anbieter das entsprechende Konformitätsbewertungsverfahren durchführen, um sicherzustellen, dass das System den Anforderungen an vertrauenswürdige KI entspricht. Des Weiteren sind sie verpflichtet über ein Qualitätsmanagementsystem zu verfügen, das die Einhaltung der KI-VO gewährleistet. Die Umsetzung richtet sich in einem angemessenen Verhältnis zur Größe des Unternehmens. Dennoch müssen sie den Grad der Strenge und das Schutzniveau einhalten, die erforderlich ist, um die Übereinstimmung der Systeme mit der Verordnung sicherzustellen (Art. 17). Sie unterliegen ebenfalls der Dokumentationspflichtet und müssen für einen Zeitraum von 10 Jahren ab dem Inverkehrbringen oder Inbetriebnahme des Systems Unterlagen an zuständige nationale Behörden bereithalten, z.B. technische Dokumentation, Dokumentation zum Qualitätsmanagement und der EU-Konformitätserklärung. Auch für sie gilt die Aufbewahrungspflicht von automatisch erzeugten Protokollen, soweit sie ihrer Kontrolle unterliegen. Sie müssen selbstständig Systeme, die nicht der Verordnung entsprechen, korrigieren oder ggf. zurücknehmen, deaktivieren oder zurückrufen und müssen Händler, Betreiber und Einführer darüber informieren. Eine Kooperationspflicht ist für sie auch gegeben, denn im Falle eines Risikos müssen sie die Marktüberwachungsbehörden und die zuständigen Stellen informieren und sämtliche Informationen denen übermitteln.
Aufsicht und Sanktionen bei Nichteinhaltung
Die Verordnung sieht ein Governance vor, welches auf nationaler Ebene und EU-Ebene die Anwendung der Verordnung ermöglichen und durchsetzen soll. Dazu wurde das KI-Büro errichtet, dessen Aufgabe es ist, Fachwissen und Kapazitäten der Union im Bereich der KI zu entwickeln und zur Umsetzung des Unionsrechts im KI-Bereich beizutragen. Darüber hinaus soll ein KI-Gremium aus den Vertretern der Mitgliedsstaaten, ein Gremium zur Integration der Wissenschaftsgemeinschaft und ein Beratungsforum eingerichtet werden. Auch die Mitgliedsstaaten müssen nationale Behörden als Anlaufstelle ernennen.
Die EU-Mitgliedstaaten sind verpflichtet, „wirksame, verhältnismäßige und abschreckende Sanktionen“ für Verstöße festzulegen:
1. Geldstrafen:
Laut Art. 99 der Verordnung können Geldbußen verhängt werden. Diese Geldbußen können bis zu 35 Mio. EUR oder 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist. Dies gilt bei verbotenen Praktiken gem. Art. 5 oder bei Verletzungen von Datenanforderungen. Jedoch werden auch Faktoren, wie die Größe, Jahresumsatz und Marktanteil des Unternehmens sowie die Art, Schwere und Dauer des Verstoßes berücksichtigt, sodass die Höhe der Geldstrafe vom Einzelfall abhängt.
2. Mängelbehebung:
Unternehmen können verpflichtet werden, Korrekturmaßnahmen innerhalb einer festgelegten Frist durchzuführen. Wird die Konformität des KI-Systems innerhalb der besagten Frist nicht wiederhergestellt, können Geldbußen verhängt werden.
3. Verbot der Nutzung:
In gewissen Fällen kann es auch sein, dass bei Pflichtverletzungen das betroffene KI-System vom Markt zu verbieten oder einzuschränken, das Produkt vom Markt zu nehmen oder es zurückzurufen (Art. 79 Abs. 5).
Schlusswort: vieles bleibt unklar
Die EU hat versucht, mit der KI-VO einen rechtlichen Rahmen geschaffen, um das Vertrauen an KI-Systeme zu stärken und vertrauenswürdiger zu machen. Jedoch sind gewisse Regelungen für Start-Ups und kleine und mittlere Unternehmen noch unklar, obwohl die Verordnung bestrebt ist, Anlaufstellen für sie anzubieten. Ebenso sind die Verpflichtungen für Betreiber und Anbieter recht komplex, für dessen Erfüllung sie auch eine Frist beachten müssen. Die genauen Anforderungen können dabei für Unternehmen und Start-Ups, je nach spezifischen Anwendungsbereich und Risikoklasse, variieren. Ebenso muss darauf hingewiesen, dass auch andere Rechtsvorschriften neben dem KI-Recht beachtet werden müssen, wie bspw. das Urheber- und Markenrecht, Datenschutzrecht und Verbraucherschutzrecht. Um mehr Klarheit im Unternehmen zu schaffen und mögliche Schäden zu vermeiden, empfiehlt RA Fürstenow, rechtlich überprüfen zu lassen, ob diese Verpflichtungen für ihr Unternehmen gelten und ob alle Vorgaben erfüllt werden.