Nachdem der Rat der Europäischen Union am 21. Mai 2024 der KI-Verordnung (AI Act/KI-VO) zugestimmt hat, wird das weltweit erste umfassende Gesetz zur Regulierung von künstlicher Intelligenz nun 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU in Kraft treten. Hiermit ist in Kürze zu rechnen. Die KI-VO zielt darauf ab, einheitliche Vorgaben für die Entwicklung und Nutzung von künstlicher Intelligenz in der Europäischen Union festzulegen.
Die rechtskonforme Entwicklung und Nutzung von KI-Systemen wird damit für sämtliche Unternehmen zur Compliance-Anforderung. Die KI-VO ist von hoher praktischer Bedeutung für Produkthersteller, Einführer, Händler und Nutzer. Sie richtet sich an jede natürliche oder juristische Person, die ein KI-System entwickelt oder entwickeln lässt und/oder in eigener Verantwortung betreibt.
Als KI-System definiert die KI-VO „ein maschinengestütztes System, das so konzipiert ist, dass es in unterschiedlichem Maße autonom betrieben werden kann und nach seiner Einführung anpassungsfähig ist und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen ableitet, die physische oder virtuelle Umgebungen beeinflussen können.
In der Abgrenzung von einfacheren herkömmlichen Softwaresystemen und Programmierungsansätzen soll sich ein KI-System somit nicht auf Systeme beziehen, die auf ausschließlich von natürlichen Personen definierten Regeln für das automatische Ausführen von Operationen beruhen. Wesentliches Merkmal von KI-Systemen ist vielmehr ihre Fähigkeit zur Ableitung. Sie geht über die einfache Datenverarbeitung hinaus und ermöglicht Lern-, Schlussfolgerungs- und Modellierungsprozesse. Zu den Techniken, die das Ableiten beim Aufbau eines KI-Systems ermöglichen, gehören Konzepte für maschinelles Lernen, wobei aus Daten gelernt wird, wie bestimmte Ziele erreicht werden können, sowie logik- und wissensgestützte Konzepte.
Folgende Eckpunkte der KI-VO sind besonders hervorzuheben:
- Risikobasierter Ansatz mit Verpflichtungen für Hersteller, Betreiber und Nutzer in Abhängigkeit vom jeweiligen Risiko des KI-Systems. Je höher das mit der konkreten Anwendung (dem spezifischen Verwendungszweck) verbundene Risiko ist, desto höher sind die Anforderungen an die Entwicklung und den Betrieb des KI-Systems.
- Die Risikostufen reichen von inakzeptablen, verbotenen KI-Systemen über KI-Systeme mit hohem Risiko (unter anderem sind Konformitätsbewertungen und stetige Systemüberwachungen erforderlich) bis hin zu solchen mit geringem Risiko (hier gelten unter anderem Pflichten zur Transparenz und Offenlegung).
- Sonderregeln für generative KI-Systeme. Anbieter von sogenannten Allzweck-KI-Modellen müssen ein unterschiedliches Spektrum an Pflichten erfüllen, je nachdem, ob es sich um ein KI-Modell mit allgemeinem Verwendungszweck handelt, mit dem zusätzlich ein sogenanntes systemisches Risiko verbunden ist. Die Anbieter-Pflichten reichen über eine Anzeige gegenüber der Kommission, technische Dokumentationen, das Vorhalten einer Strategie zur Einhaltung des Urheberrechts, detaillierte Zusammenfassungen über die für das Training verwendeten Inhalte und Daten bis hin zu spezifischen Pflichten im Bereich der Modellbewertung und Cybersicherheit.
- Regelungen zur Rechtsdurchsetzung und Aufsicht über die Einhaltung der KI-VO sowie ein Bußgeldkatalog mit unterschiedlichen Sanktionsstufen.
- Neben der KI-Verordnung sind auch Fragen etwa des Urheber- und des Datenschutzrechts zu beachten. Denn die KI-VO lässt Gesetze wie die DSGVO vollständig unberührt.
Jetzt Rahmenbedingungen für rechtskonformen KI-Einsatz analysieren
Unternehmen ist zu empfehlen, sich zeitnah mit den rechtlichen Rahmenbedingungen für einen rechtskonformen Einsatz von KI-Systemen zu befassen. Am Anfang sollte eine Bestandsaufnahme stehen, welche KI-Systeme im Einsatz sind, welchen Risikoklassen sie unterfallen und welche Maßnahmen zu ergreifen sind. Denn die Umsetzung der KI-VO bringt vielschichtige Anforderungen für Unternehmen über den gesamten Lebenszyklus des KI-Systems. Dazu gehört etwa die strategische Entscheidung, wer im Unternehmen für die Einhaltung der KI-Governance zuständig sein soll. Weiter sind Prozesse zur Auswahl und Qualität von KI-Systemen, Risikoklassifizierung, Dokumentation, Einhaltung von Informations- und Transparenzpflichten sowie zur Überwachung der Einhaltung rechtlicher und ethischer Rahmenbedingungen zu implementieren. Unternehmen sollten daher ein Risiko- und Qualitätsmanagementsystem einrichten.
Die Nichteinhaltung der KI-VO kann zu erheblichen Geldstrafen und Haftungsrisiken führen. Die KI-VO sieht die Einrichtung einer nationalen KI-Behörde zur Überwachung und Durchsetzung des Gesetzes sowie zur Abstimmung mit dem AI-Office der EU vor.
