Regulierung folgt fast immer auf Innovation, und der KI-Sektor bildet da keine Ausnahme. Das Künstliche-Intelligenz-Gesetz der EU ist eine Weltpremiere. Es wurde am 12. Juli im Amtsblatt der EU veröffentlicht, nach vielen Monaten intensiver Debatte, und wird am 1. August in Kraft treten. Die meisten seiner Bestimmungen werden bis August 2027 schrittweise eingeführt. Das KI-Gesetz wird sich auf ein breites Spektrum von Unternehmen auswirken und zusätzliche Compliance-Verpflichtungen auferlegen. Obwohl die Grundzüge der Regeln festgelegt sind, bleiben bestimmte Schlüsseldefinitionen und Konzepte vage. Leitlinien der Regulierungsbehörden werden für die Parteien unerlässlich sein, um den vollen Umfang ihrer Verpflichtungen und Haftungen zu verstehen. DAS EU-KI-GESETZ IST DA – MIT EXTRATERRITORIALER REICHWEITE – EXTRATERRITORIALE REICHWEITE Das KI-Gesetz hat unter bestimmten Umständen extraterritoriale Reichweite. Insbesondere wird das Gesetz Anwendung finden auf: Anbieter, auch solche mit Sitz außerhalb der EU, die KI-Systeme oder allgemeine KI-Modelle (GPAI) auf dem EU-Markt platzieren oder in der EU „in Betrieb nehmen“ Betreiber, die ihren Sitz in der EU haben oder sich dort befinden Wichtig ist, dass das Gesetz auch für Anbieter und Betreiber gilt, soweit das „Ergebnis“ des KI-Systems „in der EU verwendet wird“. RISIKOBASIERTE ANWENDUNG Die EU hat ein vierstufiges risikobasiertes Klassifizierungssystem eingeführt, mit entsprechenden Verpflichtungen und Beschränkungen, die vom Risikoniveau abhängen, wie es von der EU bewertet wird. Einige KI-Systeme sind verboten, während ein beträchtlicher Teil in die Kategorien minimales und begrenztes Risiko fällt. Der Kern des KI-Gesetzes bezieht sich auf KI-Systeme mit „hohem Risiko“. KI-Systeme gelten als „hochriskant“, wenn: Das KI-System selbst eine bestimmte Art von reguliertem Produkt ist, einschließlich Medizinprodukte, Systeme für Fahrzeuge und Spielzeug, oder Das KI-System eine Sicherheitskomponente einer bestimmten Art eines regulierten Produkts ist, oder Das KI-System der Beschreibung der aufgelisteten „hochriskanten“ KI-Systeme entspricht (im Anhang zum KI-Gesetz) Die Klassifizierungen der KI-Systeme im KI-Gesetz sind jedoch nicht statisch. Es gibt Verfahren zur Änderung des Risikoniveaus von KI-Systemen, entweder nach oben oder unten. Darüber hinaus bietet das KI-Gesetz eine Rechtsgrundlage für die Europäische Kommission (EK), um zukünftige Durchführungsrechtsakte und Änderungen zu erlassen, um mit den Markt- und technologischen Entwicklungen Schritt zu halten. VERPFLICHTUNGEN FÜR ANBIETER UND BETREIBER VON HOCHRISIKO-KI-SYSTEMEN Die Durchsetzung des KI-Gesetzes wird zwar in erster Linie von den Durchsetzungsbehörden der EU-Mitgliedstaaten in Bezug auf KI-Systeme durchgeführt, aber von dem Europäischen Ausschuss für Künstliche Intelligenz (EAKI) koordiniert, der speziell zu diesem Zweck von der EK eingerichtet wurde. Der EAKI wird Verhaltenskodizes und Klarstellungen herausgeben und sich mit den relevanten Behörden der EU-Mitgliedstaaten abstimmen, die gemäß dem KI-Gesetz eingerichtet oder benannt werden. Von Anbietern und Betreibern von Hochrisiko-KI wird jedoch bereits erwartet, dass sie das KI-Gesetz einhalten, insbesondere in Bezug auf: Schulungsverpflichtungen (z.B. KI-Alphabetisierungsschulung von Mitarbeitern und KI-Aufsehern innerhalb der Organisation) Betriebliche Pflichten (z.B. technische und organisatorische Maßnahmen zur Sicherheit der KI, Ernennung von Aufsehern innerhalb der Organisation, Qualitätsmanagement der Eingabedaten für das Training) Kontrollpflichten (z.B. Maßnahmen zur Vermeidung verbotener KI, menschliche Aufsicht über die KI, Kontrolle und Überwachung von Trainingsdaten, Einhaltung der Datenschutz-Grundverordnung) Dokumentationspflichten (z.B. Folgenabschätzungen, wo erforderlich) Dies umfasst die unmittelbaren Belange für Unternehmen. Es gibt verschiedene Nuancen und Ausnahmen sowie Regeln zur Koordinierung und Überschneidung mit anderen EU-Rechtsvorschriften. Die EK hat auch die Befugnis, erhebliche Geldbußen für die Nichteinhaltung des KI-Gesetzes zu verhängen (bis zu 7% des globalen Konzernumsatzes oder 35 Millionen Euro (ca. 38 Millionen US-Dollar), je nachdem, welcher Betrag höher ist). Zusätzliche Durchsetzungsmaßnahmen können auch von den Mitgliedstaaten ergriffen werden. Die praktische Anwendung der Regeln wird unweigerlich Zeit brauchen, während sie den Herausforderungen eines Sektors begegnen, der sich äußerst schnell entwickelt. DAS KLEINGEDRUCKTE: ÜBERBLICK ÜBER DAS KI-GESETZ Risikoniveaus und entsprechende Verpflichtungen Minimales Risiko KI: Keine Einschränkungen Das KI-Gesetz erlaubt die uneingeschränkte Nutzung von KI mit minimalem Risiko in der EU, wie z.B. aktivierte Videospiele oder Spam-Filter. Die Mehrheit der KI-Systeme (etwa 80%), die derzeit in der EU verwendet werden, fällt in diese Kategorie. Begrenztes Risiko KI: Bestimmte Transparenzpflichten Begrenztes Risiko bezieht sich auf KI-Systeme wie Chatbots. Für diese KI-Systeme gelten spezifische Transparenzpflichten: Anbieter sollten Nutzer darauf aufmerksam machen, dass sie mit einem Chatbot oder einer Maschine interagieren, damit sie eine fundierte Entscheidung treffen können, die Interaktion fortzusetzen oder abzubrechen. Anbieter müssen auch sicherstellen, dass KI-generierte Inhalte identifizierbar sind. Dafür müssen KI-generierte Texte, die mit dem Ziel veröffentlicht werden, die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren, als künstlich generiert gekennzeichnet werden. Hochrisiko-KI: Einschränkungen und Verpflichtungen Hochrisiko-KI-Systeme finden sich typischerweise in folgenden Bereichen: Biometrische Identifikationssysteme Verwaltung und Betrieb kritischer Infrastrukturen Bildung oder Berufsausbildung, die den Zugang zu Bildung und den beruflichen Werdegang einer Person bestimmen kann (z.B. Bewertung von Prüfungen) Beschäftigung und Verwaltung von Arbeitnehmern sowie Zugang zur Selbstständigkeit (z.B. CV-Sortier-Software für Rekrutierungsverfahren) Zugang zu und Nutzung von wesentlichen privaten und öffentlichen Dienstleistungen Strafverfolgung, die in die Grundrechte der Menschen eingreifen kann (z.B. Bewertung der Zuverlässigkeit von Beweisen) Migrations-, Asyl- und Grenzkontrollmanagement (z.B. Überprüfung der Echtheit von Reisedokumenten) Verwaltung der Justiz und demokratische Prozesse (z.B. Anwendung des Rechts auf einen konkreten Sachverhalt, Wahlen) Bestimmte KI-Systeme, die als Sicherheitskomponente eines Produkts verwendet werden sollen, oder wenn das KI-System selbst ein Produkt ist, gelten ebenfalls als hochriskant, wie z.B. bestimmte KI-Systeme, die eine biometrische Fernidentifikation beinhalten. Anbieter von Hochrisiko-KI-Systemen unterliegen strengen Compliance-Verpflichtungen. Insbesondere müssen sie: Ein Risikomanagementsystem für den gesamten Lebenszyklus des Hochrisiko-KI-Systems einrichten Datenqualität sicherstellen Ein Konformitätsmanagementsystem implementieren Technische Dokumentation zur Konformität des KI-Systems besitzen Die automatische Aufzeichnung von Ereignissen (Logs) über den Lebenszyklus des Systems ermöglichen Sicherstellen, dass der Betrieb ausreichend transparent ist Ein angemessenes Niveau an Genauigkeit, Robustheit und Cybersicherheit über den gesamten Lebenszyklus hinweg erreichen Die Dokumentation des KI-Systems für mindestens 10 Jahre nach dem Inverkehrbringen des Systems aufbewahren Es gibt einige Ausnahmen, z.B. für KI-Systeme, die kein erhebliches Schadensrisiko darstellen und auf bestimmte enge Aufgaben beschränkt sind. Verbot von KI mit inakzeptablem Risiko Das KI-Gesetz verbietet mehrere KI-Anwendungen und -Systeme, bei denen die EU der Ansicht ist, dass diese potenzielle Bedrohungen für Grundrechte und Demokratie darstellen. Dazu gehören bestimmte: KI-Systeme, die manipulativ oder irreführend sind KI-Systeme, die die Schwächen einer Person ausnutzen könnten Biometrische Kategorisierungssysteme, die sensible Merkmale verwenden Biometrische Identifikationssysteme in öffentlichen Räumen KI-gesteuerte Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen Ungezieltes Scraping von Gesichtsbildern aus dem Internet oder CCTV-Aufnahmen für Gesichtserkennung Soziale Kreditbewertung basierend auf privatem Verhalten oder persönlichen Merkmalen Allgemeine KI-Modelle Allgemeine KI-Modelle unterliegen spezifischen Verpflichtungen, darunter: Durchführung von Folgenabschätzungen für Grundrechte und Konformitätsbewertungen Implementierung von Risiko- und Qualitätsmanagement Information von Personen, wenn sie mit KI interagieren; Inhalte müssen als KI gekennzeichnet und erkennbar sein Tests und Überwachung der Genauigkeit, Robustheit und Cybersicherheit Bestimmte allgemeine KI-Systeme werden als systemisches Risiko betrachtet und unterliegen den relevanten Verpflichtungen des KI-Gesetzes. WICHTIGE ERKENNTNISSE FÜR UNTERNEHMEN HEUTE Unternehmen müssen sich jetzt darauf vorbereiten, ihre Verpflichtungen als KI-Anbieter oder -Betreiber zu erfüllen Die Unterscheidung zwischen Anbietern und Betreibern ist entscheidend Unternehmen können durch bestimmte Operationen entlang der Wertschöpfungskette zu Anbietern von KI in der EU werden Anbieter von Produkten, die bereits EU-Vorschriften unterliegen, können durch das KI-Gesetz zusätzliche Anforderungen gegenüberstehen Die EK hat die Befugnis, für die nächsten fünf Jahre delegierte Rechtsakte zu erlassen, die Schlüsselbestimmungen ändern können Leitlinien zu Schlüsselkonzepten und praktischer Umsetzung stehen noch aus Klagen wegen Verstößen können bereits erhoben werden, und das KI-Gesetz unterliegt der Richtlinie über Verbandsklage, was das Prozessrisiko erhöht Unternehmen müssen sich jetzt darauf vorbereiten, ihre Verpflichtungen als KI-Anbieter oder Betreiber zu erfüllen. Die Unterscheidung zwischen beiden wird entscheidend sein. Während Betreiber (sowie Importeure und Distributoren) weniger weitreichende Verpflichtungen haben, können bestimmte Operationen entlang der Wertschöpfungskette Unternehmen zu Anbietern von KI in der EU machen. Das gilt auch für Verpflichtungen, die durch Änderungen allgemeiner KI-Modelle ausgelöst werden. Für Anbieter, die Produkte liefern, die bereits EU-Vorschriften unterliegen und in die KI-Systeme oder Modelle integriert werden, gibt es Bereiche, in denen sie von Konformitätsvermutungen profitieren können. Allerdings müssen sie auch zusätzliche Anforderungen des KI-Gesetzes erfüllen. In den nächsten fünf Jahren hat die Europäische Kommission (EK) die Befugnis, sogenannte delegierte Rechtsakte zu erlassen. Diese können Schlüsselbestimmungen ändern, wie die Definition von Hochrisiko-KI, hochwirksamen allgemeinen KI-Modellen und der erforderlichen technischen Dokumentation, einschließlich der Dokumentation, die eine Konformitätsvermutung unter bestehender Gesetzgebung bietet. Leitlinien der EK zu den Verantwortlichkeiten entlang der KI-Wertschöpfungskette (insbesondere zu wesentlichen Änderungen), zu Verpflichtungen in Bezug auf Hochrisiko-KI, zu verbotenen Praktiken, zu Transparenzverpflichtungen, zu Details der Beziehung zu anderen EU-Gesetzen und sogar zur Anwendung der Definition eines KI-Systems stehen noch aus. Dies versetzt Unternehmen in die schwierige Lage, bei Beginn der Anwendung verschiedener Verpflichtungen ohne klare Leitlinien für wesentliche Fragen zu sein. Gleichzeitig können bereits jetzt Klagen wegen Verstößen erhoben werden, und das KI-Gesetz unterliegt der Verbandsklagerichtlinie, was das Risiko von Klagen durch Verbraucher- oder Bürgerrechtsorganisationen erhöht, insbesondere angesichts der Tatsache, dass die neue Produkthaftungsrichtlinie jetzt alle Arten von Software abdeckt. DAS EU-KI-GESETZ – Zeitplan für die Einführung des EU-KI-Gesetzes 1. August 2024: Das KI-Gesetz tritt in Kraft. 2. Februar 2025: Regeln zu verbotenen KI-Systemen und KI-Kompetenzschulungen gelten. 2. August 2025: Die meisten Regeln zu allgemeinen KI-Modellen (GPAI) gelten. 2. August 2026: Die meisten Regeln gelten, einschließlich wichtiger Regeln für hochriskante KI-Systeme und Transparenzverpflichtungen. 2. August 2027: Die meisten verbleibenden Regeln gelten, einschließlich solcher für hochriskante KI-Systeme. Fazit: DAS EU-KI-GESETZ: SCHLÜSSELERKENNTNISSE FÜR UNTERNEHMEN Unternehmen stehen vor einer komplexen Landschaft aus neuen Verpflichtungen und potenziellen Haftungsrisiken. Die Differenzierung zwischen Anbietern und Betreibern, die genaue Einhaltung der regulatorischen Anforderungen und das proaktive Management von Konformität sind entscheidend. Die kommenden Leitlinien der Europäischen Kommission werden Klarheit schaffen, doch bis dahin ist Vorsicht geboten. Unternehmen sollten jetzt handeln, um nicht nur rechtliche, sondern auch operative Risiken zu minimieren. Obwohl die praktischen Auswirkungen des KI-Gesetzes noch nicht vollständig abschätzbar sind, bietet die Vorbereitung auf die neuen Regelungen Unternehmen die Möglichkeit, sich als verantwortungsbewusste und zukunftsorientierte Akteure im KI-Markt zu positionieren. Die nächsten fünf Jahre werden entscheidend sein, um die Weichen für den verantwortungsvollen Einsatz von KI in Europa zu stellen. #AI #ArtificialIntelligence #Regulation #BusinessCompliance #EUlaw https://www.morganlewis.com/pubs/