Mit dem EU AI Act (Verordnung (EU) 2024/1689) führt die Europäische Union die weltweit erste umfassende Regulierung von künstlicher Intelligenz ein. Ziele sind unter anderem, die Risiken von KI-Anwendungen zu adressieren, KI-Anwendungen mit unannehmbaren Risiken zu verbieten sowie spezifische Verpflichtungen für Anbieter und Betreiber von KI-Anwendungen mit hohem Risiko festzulegen.
Laut der Webseite der Europäischen Kommission soll die Verordnung Entwicklern und Anwendern von KI klare Vorgaben und Verpflichtungen für bestimmte Anwendungen auferlegen. Weiterhin soll der Verwaltungsaufwand für Unternehmen, insbesondere KMUs, verringert werden.
Kategorisierung von KI-Systemen
Der EU AI Act verfolgt einen risikobasierten Ansatz. Ziel ist es, die Gesundheit, die Sicherheit und die Grundrechte der EU-Bürger zu schützen. Zu diesem Zweck werden KI-Systeme in Risikokategorien eingeteilt:
Verbotene Praktiken
KI-Systeme, von denen unannehmbare Risiken ausgehen, sind verboten. Dies sind Systeme, die für verbotene Praktiken eingesetzt werden (Kapitel II, Art. 5 EU AI Act). Beispiele sind soziale Bewertungssysteme, Manipulationstechniken oder Echtzeit-Fernidentifizierungssysteme (außer in bestimmten Fällen der Strafverfolgung).
Hochrisiko-KI-Systeme
KI-Systeme mit hohem Risiko sind solche, die ein hohes Risiko für die Gesundheit und Sicherheit oder die Grundrechte von Personen bergen (EG 52 EU AI Act). Für solche Systeme gelten strenge Anforderungen wie Risikomanagement, technische Dokumentation oder Konformitätsbewertung vor Markteinführung. Beispiele für Anwendungen mit hohem Risiko sind die medizinische Diagnostik oder biometrische Identifikationssysteme.
Mit natürlichen Personen interagierende oder Inhalte erzeugende KI-Systeme
Für diese Systeme gelten, auch wenn sie nicht als Hochrisiko-KI-Systeme einzustufen sind, besondere Transparenzpflichten (EG 132 EU AI Act). Dazu gehören beispielsweise Systeme zur Emotionserkennung, biometrische Kategorisierungssysteme oder Chatbots. Die Nutzer müssen darüber informiert werden, dass sie es mit einem KI-System zu tun haben.
KI-Modelle mit allgemeinem Verwendungszweck
In Abgrenzung zum Begriff der KI-Systeme stellt der Begriff der KI-Modelle mit allgemeinem Verwendungszweck (Kapitel V EU AI Act) insbesondere auf die allgemeine Verwendbarkeit und die Fähigkeit des Modells ab, ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen (EG 97 EU AI Act). Als KI-Modelle mit systemischem Risiko werden weiterhin Modelle definiert, die über “Fähigkeiten mit hohem Wirkungsgrad” verfügen (Art. 51 Abs. 1 lit. a EU AI Act). Anbieter von KI-Modellen mit allgemeinem Verwendungszweck müssen unter anderem eine technische Dokumentation des Modells einschließlich des Trainings- und Testverfahrens erstellen (Art. 53 EU AI Act). Bei systemischen Risiken kommt z.B. eine Modellbewertung einschließlich der Durchführung und Dokumentation von Angriffstests hinzu (Art. 55 EU AI Act).
Adressaten der Verpflichtungen
Der EU AI Act kennt verschiedene Adressaten von Verpflichtungen, wie Anbieter, Betreiber, Einführer oder Händler.
Die relevantesten Akteure sind die Anbieter sowie die Betreiber von KI-Systemen. Beide Begriffe werden in den Begriffsbestimmungen des Art. 3 EU AI Act definiert. Ein Anbieter ist eine natürliche oder juristische Person bzw. Stelle, die ein KI-System oder KI-Modell mit allgemeinem Verwendungszweck entwickelt. Ein Betreiber ist eine natürliche oder juristische Person oder Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet.
Für beide ist zunächst einmal die Verpflichtung zur Sicherstellung der KI-Kompetenz gem. Art. 4 EU AI Act zu nennen. Dieser lautet wie folgt:
Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.
Die Anbieter müssen daneben die meisten Anforderungen des EU AI Act erfüllen. Dies gilt für Hochrisiko-KI-Systeme (Art. 16 bis Art. 22 EU AI Act), für mit natürlichen Personen interagierende oder Inhalte erzeugende KI-Systeme (Art. 50 EU AI Act) sowie für KI-Modelle mit allgemeinem Verwendungszweck (Art. 53 bis 55 EU AI Act). Während Anbieter von Hochrisiko-KI-Systemen umfangreiche Pflichten erfüllen müssen, beschränken sich die Pflichten im Übrigen im Wesentlichen auf Informations- und Transparenzpflichten.
Für die meisten Unternehmen dürften jedoch die Pflichten für Betreiber von KI-Systemen von größerer Relevanz sein. Zum einen sollen Betreiber vom EU AI Act profitieren, indem ihnen die Transparenz und Informationspflichten den informierten Betrieb ermöglichen (Art. 13 EU AI Act). Zum anderen können Betreiber nach Art 25 EU AI Act als Anbieter von Hochrisiko-KI-Systemen angesehen werden, etwa wenn sie das Hochrisiko-KI-System mit ihrem Namen oder ihrer Handelsmarke versehen oder wesentliche Veränderungen an ihm vornehmen (Art. 25 Abs. 1 EU AI Act).
Darüber hinaus werden den Betreibern von Hochrisiko-KI-Systemen in Art. 26 EU AI Act spezifische Pflichten auferlegt, z.B. geeignete technische und organisatorische Maßnahmen zu ergreifen, um einen anleitungsgemäßen Einsatz oder die Überwachung des Systems sicherzustellen. Darüber hinaus müssen Betreiber mit natürlichen Personen interagierender oder Inhalte erzeugender KI-Systeme nach Art. 50 EU AI Act Transparenzpflichten erfüllen.
Im Ergebnis verfolgt der EU AI Act somit konsequent einen risikobasierten Ansatz, indem er den Schwerpunkt der Verpflichtungen auf Anbieter und Betreiber von Hochrisiko-KI-Systemen legt.
Governance und Durchsetzung
Im Zentrum der Governance auf europäischer Ebene stehen gem. Art. 64 und 65 EU AI Act das Büro für Künstliche Intelligenz und das Europäische Gremium für Künstliche Intelligenz (KI-Gremium). Das Büro für Künstliche Intelligenz hat gem. EG 148 EU AI Act die Aufgabe, das Fachwissen und die Kapazitäten der Union im Bereich der KI zu entwickeln und zur Umsetzung des Unionsrechts im KI‑Bereich beizutragen. Es wurde zum 16.06.2024 eingerichtet. Das KI-Gremium setzt sich aus Vertretern der Mitgliedstaaten zusammen. Es berät und unterstützt die Kommission und die Mitgliedstaaten, um die einheitliche und wirksame Anwendung des EU AI Act zu erleichtern. Eine weitere Stelle der Governance auf EU-Ebene ist das Beratungsforum gem. Art. 67 EU AI Act.
Auf nationaler Ebene muss jeder Mitgliedstaat mindestens eine notifizierende Behörde und eine Marktüberwachungsbehörde benennen (Art. 70 Abs. 1 EU AI Act). Notifizierende Behörde ist dabei die nationale Behörde, die für die Verfahren der Konformitätsbewertungsstellen zuständig ist (Art. 3 Nr. 19 EU AI Act). Bei der Konformitätsbewertung geht es um die Bewertung der Erfüllung der Anforderungen an Hochrisiko-KI-Systeme. Die Marktüberwachungsbehörde ist die nationale Behörde, der die aufsichtsrechtlichen Tätigkeiten und Maßnahmen nach der Marktüberwachungsverordnung (EU) 2019/1020 zukommt.
Eine weitere Aufgabe der nationalen Behörden soll die Innovations- und Wettbewerbsförderung sein. In dieser Funktion können insbesondere KMU und Start-ups zur Verordnung beraten werden (Art. 70 Abs. 8 EU AI Act). Darüber hinaus muss durch die zuständigen Behörden mindestens ein KI-Reallabor auf nationaler Ebene eingerichtet werden (Art. 57 Abs. 1 EU AI Act).
Wem die Rolle in Deutschland zufallen soll, ist noch in der Diskussion. Die Landesdatenschutzbehörden sowie die Bundesdatenschutzbeauftragte kämen diesbezüglich ebenso in Betracht wie die Bundesnetzagentur.
Sanktionen
Wie bereits aus anderen EU-Verordnungen bekannt, sieht auch der EU AI Act drastische Strafen für Verstöße vor (Art. 99 EU AI Act). So kann eine Missachtung des Verbots der Praktiken gem. Art. 5 EU AI Act Geldbußen von bis zu 35 Mio. EUR oder bis zu 7 % des gesamten weltweiten Jahresumsatzes nach sich ziehen. Für Verstöße im Bereich der Hochrisiko-KI-Systeme sind Geldbußen von bis zu 15 Mio. EUR oder bis zu 3 % des weltweiten Jahresumsatzes vorgesehen. Die Einzelheiten zur Umsetzung sind den Mitgliedstaaten überlassen.
Ebenfalls Geldbußen von bis zu 15 Mio. EUR oder bis zu 3 % des weltweiten Jahresumsatzes sind für bestimmte Verstöße von Anbietern von KI-Systemen mit allgemeinem Verwendungszweck vorgesehen (Art. 101 EU AI Act). Allerdings handelt es sich hierbei lediglich um eine “Kann”-Vorschrift. Die Verhängung der Geldbuße erfolgt durch die Kommission.
Gegen Organe, Einrichtungen und sonstige Stellen der Union kann gem. Art. 100 EU AI Act der europäische Datenschutzbeauftragte Geldbußen verhängen.
Zeitplan für die Umsetzung
Für die Umsetzung des EU AI Act gibt es einen abgestuften Zeitplan gem. Art. 113 EU AI Act. Die Verordnung selbst ist zum 01.08.2024 in Kraft getreten und gilt ab dem 02.08.2026. Allerdings ist für bestimmte Normen ein früheres Geltungsdatum vorgesehen.
Die ersten beiden Kapitel des EU AI Act gelten ab dem 02.02.2025. Dies betrifft insbesondere die verbotenen Praktiken im KI-Bereich gem. Art. 5 EU AI Act und die Schaffung allgemeiner KI-Kompetenz nach Art. 4 EU AI Act für Anbieter und Betreiber von KI-Systemen. Ab dem 02.08.2025 gilt das Notifizierungsverfahren aus Kapitel III Abschnitt 4 EU AI Act, die Regelungen zu KI-Modellen mit allgemeinem Verwendungszweck (Kapitel V EU AI Act), die Regelungen zu Governance (Kapitel VII EU AI Act) und zu Sanktionen (Kapitel XII EU AI Act). Erst verspätet gilt die Regelung des Art. 6 Abs. 1 EU AI Act, nach welcher KI-Systeme bei Einsatz als Sicherheitsbauteil bestimmter Produkte in jedem Fall als Hochrisiko-KI-System gelten.
Ausblick
Der EU AI Act wurde seitens der erlassenen Stellen als großer Durchbruch gefeiert. Der Wunsch, durch Regulierung maßgeblichen Einfluss auf die Wirtschaft zu nehmen, scheint in den vergangenen Jahren eines der Leitmotive der Organe der Europäischen Union geworden zu sein. Im Bereich der Künstlichen Intelligenz ist dies insbesondere deshalb bemerkenswert, weil sich der Großteil der Innovationen außerhalb der Europäischen Union abspielt.
Die Regulierung innerhalb der EU hat dazu geführt, dass verschiedene Anbieter von KI-Systemen angekündigt haben, ihre Systeme nicht oder erst verspätet in der Europäischen Union anzubieten. Dies betrifft Apple mit seiner “Apple Intelligence”, Meta mit seinem neuesten Llama KI Modell sowie den “Voice Mode” von OpenAI. Die Entscheidungen wurden mit dem Digital Markets Act (DMA) sowie der Datenschutzgrundverordnung (DSGVO) begründet. Auch wenn die Unternehmen sich nicht auf den EU AI Act berufen haben, ist zu befürchten, dass die Zurückhaltung aufgrund der weitergehenden Regulierung in Zukunft eher noch zunehmen wird.
Für Unternehmen, welche innerhalb der Europäischen Union KI-Systeme einzusetzen, ist es höchste Zeit, sich mit den entsprechenden Regelungen vertraut zu machen. Im Übrigen ist, wie auch beim Wirksamwerden der DSGVO, Vieles noch ungewiss. Insbesondere hängen die der Höhe nach kaum beschränkten und im Anwendungsbereich unbestimmten Bußgelder wie ein Damoklesschwert über den Unternehmen. Während sich die nicht europäischen Anbieter der KI-Systeme diesem Risiko durch den Verzicht auf den Markteintritt entziehen können, bleibt den heimischen Unternehmen nur, mit den Risiken zu leben oder Gefahr zu laufen, den Anschluss an aktuelle Entwicklungen durch Verzicht auf den Einsatz künstlicher Intelligenz zu verlieren.
Featured Image: Grok 2