Die KI-Verordnung tritt in Kraft – Was Sie jetzt wissen müssen.
Die KI-Verordnung tritt in Kraft – Was Sie jetzt wissen müssen.
Künstliche Intelligenz (KI) hat spätestens durch wegweisende Modelle wie ChatGPT weltweite Aufmerksamkeit erlangt. Mit Digitalisierung und Automatisierung dringt KI auch in Bereiche vor, bei denen die Zuverlässigkeit und Richtigkeit der getroffenen Entscheidungen und die Sicherheit und Robustheit der Systeme immer wichtiger wird. KI wird uns in Zukunft in autonomen Fahrzeugen und bei medizinischen Behandlungen begegnen oder kritische Infrastruktur steuern.
Damit war der Gesetzgeber berufen, sich um einen verlässlichen Rahmen zu kümmern, der für eine sichere und vertrauenswürdige künstliche Intelligenz sorgt. Seit 2019 arbeitet die Europäische Kommission an dem Gesetzesvorhaben, dass mit einem Entwurf für eine Verordnung im April 2021 seinen ersten Höhepunkt fand.
Was die Verordnung vorschreibt, was Sie jetzt tun müssen und wie Sie Nachteile für Ihr Unternehmen vermeiden, lesen Sie auf dieser Seite.
Die Verordnung kurz & knapp
Battke-Grünberg Anwältinnen und Anwälte haben das Gesetzgebungsverfahren für Sie verfolgt und die Inhalte der neuen Verordnung verständlich aufbereitet.
Die Zielsetzung der Verordnung ist, KI-Systeme so zu regulieren, dass ihre Entwicklung und Anwendung sicher und unter Einhaltung der Grundrechte erfolgt. Gleichzeitig soll keine Überforderung eintreten und ausreichend Raum für Innovationen bleiben.
Nach einem langen Gesetzgebungsverfahren wurde die Verordnungim Parlament am 13. März 2024 und durch die Mitgliedsstaaten am 21. Mai 2024 beschlossen. Die Präsidenten der beiden Häuser unterzeichneten das Gesetz am 13. Juni 2024.
Damit ist der Text der KI-Verordnung zwar final, die Kommission kann jedoch ca. 20 Durchführungs- und delegierte Rechtsakte erlassen, bei denen insbesondere die Mitgliedstaaten sowie Verbände und Unternehmen noch Einfluss auf die Umsetzung nehmen können. Dazu zählen unter anderem Angaben darüber, wann kein Risiko oder kein systemisches Risiko gegeben ist, was in einer technischen Dokumentation zu schreiben ist oder wie in harmonisierten Rechtsbereichen wie der Zulassung von Fahrzeugen, Schiffausrüstung, der Interoperabilität des Eisenbahnsystems oder der zivilen Luftfahrt die Berücksichtigung konkreter Anforderungen erfolgen soll.
Die Verordnung 2024/1689 wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht. Sie trat am 1. August in Kraft.
Die Pflichten der Verordnung werden dann nach und nach greifen. In den ersten sechs Monaten haben Mitgliedstaaten verbotene Systeme schrittweise abzuschalten. Nach zwölf Monaten greifen die Pflichten für KI-Systeme für Allgemeine Zwecke. Nach 24 Monaten sind nahezu alle Vorschriften der KI-Verordnung anwendbar, insbesondere auch die Pflichten der Hochrisiko-KI-Systeme nach Anhang III. Pflichten für Hochrisiko-KI-Systeme nach Anhang I, also solche die bereits nach bestehenden harmonisierten EU-Rechtsakten eine Konformitätsbewertung durch externe Dritte durchführen müssen, sind erst nach 36 Monaten anwendbar.
KI-Systeme, die bereits vor Inkrafttreten der Verordnung auf dem Markt sind, fallen nur bei signifikanten Veränderungen unter die Verordnung. Anders KI-Systeme für Allgemeine Zwecke oder Systeme im Bereich großer IT-Infrastrukturen: Für sie gelten Übergangsfristen.
Die Definition des KI-Systems orientiert sich an den Leitlinien der OECD und umfasst maschinengestützte Systeme, die mit unterschiedlichem Grad an Autonomie operieren, anpassungsfähig sein können und explizite oder implizite Ziele aus den Eingaben ziehen können. Ausgaben enthalten Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen, die die physische oder virtuelle Umgebung beeinflussen können. Traditionelle Softwaresysteme fallen nicht mehr unter die Definition von KI-Systemen, da der Gesetzgeber den Fokus auf die Autonomiegrade legt.
Die KI-Verordnung verfolgt einen risikobasierten Ansatz. Unternehmerinnen und Unternehmer und andere Anwender müssen abhängig von sechs Risikokategorien unterschiedliche Anforderungen erfüllen und Konsequenzen beachten.
Minimales Risiko:
KI-Systeme, deren potenzielle Gefahren als minimal für Leben, Körper, Gesundheit, Rechte und Freiheiten betrachtet werden, fallen in den Bereich des minimalen Risikos.
- Beispiel: KI-gestützte Spam-Filter
Für diese Kategorie gibt es keine spezifischen Vorschriften, jedoch besteht die Möglichkeit, sich freiwillig Verhaltenskodizes zu unterwerfen.
Transparenz-Risiko:
KI-Systeme, die direkt mit natürlichen Personen interagieren, unterliegen spezifischen Transparenzanforderungen wie einer Informationspflicht. Generative KI-Systeme müssen Ergebnisse als künstliche generiert oder manipuliert zu erkennen geben und u.a. dem Stand der Technik entsprechen.
- Beispiel: Chatbots
Es muss klarstellt werden, dass die Interaktion mit einer KI erfolgt und Deepfakes müssen eindeutig als solche gekennzeichnet sein.
KI-Modelle für Allgemeine Zwecke:
Sie sind mit einer großen Menge an Daten trainierte Modelle, die eine Universalität besitzen und in der Lage sind ein breites Spektrum unterschiedlicher Aufgaben auszuführen.
- Beispiele: generative KI-Systeme, wie Aleph Alpha, Mistral oder auch ChatGPT unter Verwendung von GPT 3.5.
Die Anforderungen für diese Modelle reichen von der Erstellung technischer Dokumentationen über die Verpflichtung zu Informationen und Dokumentationen für die Betreiber sowie der Vorgabe Richtlinien zur Einhaltung europäischen Urheberrechts einzuhalten. Das sollen die Entwicklerinnen und Entwickler insbesondere durch bei der Registrierung veröffentliche Listen verwendeter Trainingsdaten gewährleisten. Open Source Modelle müssen lediglich urheberrechtlichen Richtlinien und Listen führen.
KI-Modelle für Allgemeine Zwecke mit systemischem Risiko:
Sie bergen dann ein systemisches Risiko, wenn sie hohe Wirkpotentiale entfalten können oder von der Kommission als solche mit hohen Wirkfähigkeiten bestimmt werden. Die Kommission soll dabei u.a. die Zahl der Parameter, die Qualität oder Größe der Datensätze, die Eingabe- und Ausgabemodalitäten, Benchmarks und den Einfluss auf den Binnenmarkt berücksichtigen. Besitzt ein Modell eine Leistungsfähigkeit von mehr als 10^25 Gleitkommaoperationen pro Sekunde (FLOPS), wird eine solche hohe Auswirkung und damit ein systemisches Risiko vermutet.
- Beispiel: die neuste Version von ChatGPT mit GPT 4, bei dem FLOPS von 10^25 angenommen werden. Die vorherige Version nutzte GPT 3.5, die noch auf 10^24 FLOPS trainiert worden sein soll.
KI-Modelle für Allgemeine Zwecke mit systemischem Risiko sorgen zusätzlich für eine Evaluation des Modells, betreiben Risikominimierungsmaßnahmen, dokumentieren und melden ernsthafte Zwischenfälle, erarbeiten mögliche Korrekturmaßnahmen und sorgen für ein angemessenes Cybersicherheitsniveau des Modells und dessen Infrastruktur.
Systeme mit hohem Risiko:
KI-Systeme, die ein erhebliches Risiko für natürliche Personen darstellen, müssen besondere Anforderungen erfüllen. Zur Identifikation von Hochrisiko-Systemen werden bestehende produktsicherheitsrechtliche Vorschriften und verschiedene Kategorien verwendet.
- Beispiele: Systeme der kritischen Infrastruktur, Bewerbungsverfahren und Bewertung von Beschäftigten, der Zugang und die Bewertung im Bildungsbereich sowie die Strafverfolgung. Produktsicherheitsrechtliche Vorschriften, die Systeme dem Hochrisiko-Bereich zuordnen sind beispielsweise Kraftfahrzeuge, Maschinen, Medizinprodukte und Sicherheitssysteme für die zivile Luftfahrt.
Die umfangreichen Pflichten umfassen insbesondere Maßnahmen in den Bereichen Daten-Governance, Transparenz, Cybersicherheit und Risikomanagement. Die Einhaltung dieser Vorgaben wird durch eine Konformitätsbewertung sichergestellt. Das Europäische Parlament konnte zusätzlich eine Grundrechtsfolgenabschätzung durchsetzen, ähnlich einer Datenschutzfolgenabschätzung.
Verbotene Systeme:
KI-Systeme mit inakzeptablem Risiko, die Grundrechte verletzen, sind verboten.
- Beispiele: manipulative Systeme, Social Scoring, bestimmte biometrische Überwachungssysteme und Systeme für vorausschauende Polizeiarbeit.
Das ist für Sie als Unternehmen nun zu beachten
Was müssen Sie als Unternehmen jetzt beachten und gegebenfalls auch aktiv umsetzen – wir erklären es Ihnen.
Je nachdem, ob Sie ein KI-System entwickeln und am Markt anbieten, ein am Markt befindliches KI-Produkt selbstständig betreiben oder nur ein KI-System eines Betreibers nutzen wollen, müssen Sie die geschilderten Anforderungen in unterschiedlichem Maße erfüllen.
Als Anbieter, Betreiber oder Nutzer beachten Sie die Anforderungen des Datenschutz- und Urheberrechts. Ggf. haben Betreiber und Nutzer sogar aufgrund des konkreten Einsatzes des KI-Systems eine Datenschutzfolgenabschätzung durchzuführen.
Betreiber
Sie müssen sich als Betreiber eines eingekauften Hochrisiko-KI-Systems vor allem an die Gebrauchsanleitung halten, nur relevante und repräsentative Eingabedaten verwenden, eine Grundrechtsfolgenabschätzung durchführen, Aufsichtsmaßnahmen entsprechend den eigenen Kontrollmöglichkeiten durchführen und von der Entscheidung betroffene Personen informieren.
Nutzer
Als Nutzer eines KI-Systems, das mit natürlichen Personen interagiert, bspw. im Kundensupport oder eines das Bildmaterial erstellt, müssen Sie kennzeichnen, dass es sich um ein KI-System bzw. um von einem KI-System generiertes Bildmaterial handelt.
Anbieter
Generell kann festgestellt werden, dass Anbieter von KI-Systemen den Löwenanteil der Anforderungen der Verordnung erfüllen müssen. Sie sind im Rahmen der Entwicklung u.a. zur Implementierung eines Risikomanagementsystems, das, ähnlich wie bei herkömmlichen Produkten, die Risiken des KI-Systems identifiziert, analysiert, beurteilt, bewertet und abbaut, berufen.
Unabhängig davon, ob Sie ein KI-System als Anwender beziehen und lediglich ein Feintuning für eine konkrete Anwendung durchführen müssen oder Sie ein neues KI-System entwickeln möchten, sollten Sie eine effiziente Datenverwaltung anstreben, die sicherstellt, dass bei der Datenakquise das Datenschutz- und Urheberrecht gewissenhaft eingehalten wird.
Möchten Sie ein System entwickeln oder nutzen empfiehlt es sich für eine ganzheitliche Compliance, die Kenntnisse im Bereich KI in Ihrem gesamten Unternehmen zu erweitern. Dies gilt insbesondere für Ihre Rechtsabteilungen, die eine Schlüsselrolle dabei spielen, sicherzustellen, dass alle Vorschriften eingehalten werden. Eine breite KI-Kompetenz im Unternehmen schafft nicht nur rechtliche Sicherheit, sondern fördert auch eine umfassende Integration und erfolgreiche Anwendung von künstlicher Intelligenz in Ihren Geschäftsprozessen.
Online-Seminar
Datenschutz und künstliche Intelligenz: Welche Herausforderungen stellt das Datenschutzrecht in Künstliche Intelligenz?
10. September 2024, 09:00 – 12:15 Uhr
in Kooperation mit: VDP Landesverband Sachsen – Thüringen e.V.
Terminwunsch
Sie wünschen sich einen Follow-Up-Termin zu einer unserer Veranstaltungen? Sagen Sie uns, welche Art der Veranstaltung und welche Informationen Sie benötigen.
Wir gehen gern auf Ihre Wünsche ein.
Wie wird die Verordnung durchgesetzt?
Hochrisiko-Systeme erfordern meist eine interne Bewertung, außer bei biometrischen Identifizierungssystemen, bei denen vor dem Inverkehrbringen externe Kontrollen durch bestimmte notifizierte Stellen notwendig sein können.
Über die Einhaltung aller Bestimmungen wachen von den Mitgliedstaaten einzurichtende Behörden. Eine wesentliche Rolle bei der Überwachung der KI-Systeme, insbesondere auch der KI-Modelle für Allgemeine Zwecke mit systemischen Risiken, spielt die von der Kommission eingerichtete KI-Behörde. Sie ist in eine Vielzahl von Behördenprozesse durch die Akteure einzubinden und arbeitet bei der Durchführung der Verordnung eng mit dem Europäischen Ausschuss für KI zusammen.
Die mitgliedstaatlichen Behörden können bei Verstößen unterschiedlich hohe Geldbußen vergeben. Bis zu 40 Millionen Euro oder sieben Prozent des Jahresumsatzes sollen zur Einhaltung der Verordnung motivieren.
Wie gestaltet sich die Haftung für KI-Systeme?
Bei der Haftung knüpfen die bekannten haftungsrechtlichen Normen an die in der KI-Verordnung beschriebenen Anforderungen bzw. etwaigen technischen Spezifikationen oder harmonisierten Normen an. Verursachen Verstöße einen kausalen Schaden, werden Anbieter und Betreiber ihn ersetzen müssen.
Zu den auf europäischer Ebene bereits in der Überarbeitung befindlichen produkthaftungsrechtlichen Normen gesellt sich die KI-Haftungsrichtlinie. Die noch nicht verabschiedete Richtlinie wird es Anspruchstellern durch unterschiedliche Vermutungsregelungen und Offenlegungspflichten gegenüber den Anbietern einfacher machen, ihre Schäden geltend zu machen.