Am 1. August 2024 trat in der Europäischen Union das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz (KI) in Kraft. Die Verordnung (EU) 2024/1689, bekannt als KI-Verordnung, zielt darauf ab, einen einheitlichen Rechtsrahmen für die Entwicklung und Nutzung von KI-Systemen zu schaffen. Sie legt dabei besonderes Augenmerk auf das von diesen Systemen ausgehende Risiko und richtet sich hauptsächlich an Anbieter und Betreiber solcher Technologien.

Zielsetzung der KI-Verordnung

Die KI-Verordnung ist ein zentraler Bestandteil der Europäischen Digitalstrategie und dient als erster harmonisierter Rechtsrahmen für das Inverkehrbringen, die Inbetriebnahme und Nutzung von KI-Systemen innerhalb der EU. Ähnlich wie die Datenschutz-Grundverordnung (DSGVO) hat sie unmittelbare Geltung in allen Mitgliedstaaten. Allerdings obliegt es den einzelnen Staaten, bestimmte Vorschriften, insbesondere hinsichtlich Durchsetzung und Sanktionen, weiter auszugestalten.

Im Gegensatz zur DSGVO, die personenbezogene Daten schützt, handelt es sich bei der KI-Verordnung um produktbezogenes Recht. Sie enthält Bestimmungen zur Marktüberwachung und adressiert verschiedene Akteure entlang der KI-Wertschöpfungskette, darunter Anbieter, Betreiber, Bevollmächtigte, Hersteller, Importeure und Händler von KI-Systemen.

Risikobasierter Ansatz der Regulierung

Die Verordnung verfolgt einen risikobasierten Ansatz: Je höher das potenzielle Risiko eines KI-Systems für Gesellschaft oder Individuen, desto strenger die regulatorischen Anforderungen. Hauptsächlich sind Anbieter und Betreiber von KI-Systemen verpflichtet, spezifische Vorgaben einzuhalten, während Endnutzer in der Regel keine direkten Pflichten auferlegt bekommen.

Kategorisierung von KI-Systemen nach Risikograd

Die KI-Verordnung definiert ein KI-System als ein maschinengestütztes System, das autonom arbeitet und aus Eingaben Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen ableitet, die physische oder virtuelle Umgebungen beeinflussen können. Ein wesentliches Merkmal ist die Fähigkeit des Systems, aus Daten zu lernen und eigenständig Schlussfolgerungen zu ziehen.

Die Regulierungstiefe richtet sich nach dem Risikograd des jeweiligen KI-Systems:

Verbotene KI-Systeme:

Systeme mit unannehmbarem Risiko sind untersagt. Dazu zählen beispielsweise Anwendungen, die Menschen basierend auf Verhalten, sozioökonomischem Status oder persönlichen Merkmalen bewerten (sogenanntes Social Scoring). Auch die biometrische Echtzeit-Fernidentifizierung, wie Gesichtserkennung im Strafverfolgungskontext, ist grundsätzlich verboten, wobei es bestimmte Ausnahmen gibt.

Hochrisiko-KI-Systeme:

Diese Systeme stellen ein hohes Risiko für Gesundheit, Sicherheit oder Grundrechte dar. Die Verordnung unterteilt sie in zwei Kategorien:

    1. KI-Systeme, die Teil eines Produkts oder Sicherheitsbauteils sind, wie etwa Spielzeug oder autonome Roboter.
    2. KI-Systeme in spezifischen Bereichen, die von der EU-Kommission als hochriskant eingestuft wurden.

Für Hochrisiko-KI-Systeme gelten strenge Anforderungen, einschließlich umfassender Konformitätsbewertungen, um ihre Sicherheit und Zuverlässigkeit zu gewährleisten.

Ausblick

Mit der Einführung der KI-Verordnung setzt die EU einen bedeutenden Schritt in Richtung einer sicheren und verantwortungsvollen Nutzung von Künstlicher Intelligenz. Unternehmen, die KI-Technologien entwickeln oder einsetzen, sollten sich frühzeitig mit den neuen Anforderungen vertraut machen, um Compliance sicherzustellen und potenzielle Risiken zu minimieren.

 

Rechtsanwalt Robert Harzewski