US-amerikanische Anwälte, darunter David Dumont, Aaron P. Simpson, Lisa J. Sotto und Brittany M. Bacon von Hunton Andrews Kurth, haben diesen Artikel verfasst, um ihren Kollegen die jüngsten Regelungen der EU im Bereich der Künstlichen Intelligenz zu erläutern. Angesichts der weitreichenden Auswirkungen des neuen EU-KI-Gesetzes, das ab dem 1. August 2024 in Kraft tritt, setzen sie sich detailliert mit den neuen Vorschriften auseinander. Ihr Ziel ist es, die wichtigsten Definitionen und den Anwendungsbereich zu erklären und amerikanische Unternehmen auf die Einhaltung dieser neuen Standards vorzubereiten. Am 12. Juli 2024 wurde die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (im Folgenden „KI-Gesetz“) im Amtsblatt der EU veröffentlicht. Das KI-Gesetz tritt am 1. August 2024 in Kraft. Dieser Artikel soll einen kurzen Überblick über den Anwendungsbereich und die wichtigsten Anforderungen des KI-Gesetzes geben. Was sind die wichtigsten Definitionen im Rahmen des KI-Gesetzes? Artikel 3 des KI-Gesetzes enthält 68 Definitionen. Die folgenden vier Definitionen sind entscheidend, um zu verstehen, ob ein Unternehmen dem KI-Gesetz unterliegt und wenn ja, welchen Verpflichtungen es unterliegt: System der künstlichen Intelligenz (KI-System): ein maschinenbasiertes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie arbeitet und nach seiner Inbetriebnahme Anpassungsfähigkeit zeigen kann und das aus den ihm zugeführten Informationen für explizite oder implizite Ziele Schlussfolgerungen zieht, wie Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen zu generieren sind, die physische oder virtuelle Umgebungen beeinflussen können; KI-Modell mit allgemeinem Verwendungszweck: ein KI-Modell, auch wenn ein solches KI-Modell mit einer großen Datenmenge unter Verwendung von Selbstüberwachung in großem Maßstab trainiert wird, das eine erhebliche Allgemeingültigkeit aufweist und in der Lage ist, eine Vielzahl unterschiedlicher Aufgaben kompetent zu erfüllen, unabhängig davon, wie das Modell in Verkehr gebracht wird, und das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann, mit Ausnahme von KI-Modellen, die für Forschungs-, Entwicklungs- oder Prototypenaktivitäten verwendet werden, bevor sie in Verkehr gebracht werden; Anbieter: eine natürliche oder juristische Person, eine Behörde, eine Stelle oder eine sonstige Einrichtung, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt hat und es unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht; Bereitsteller: eine natürliche oder juristische Person, eine Behörde, eine Stelle oder eine sonstige Einrichtung, die ein KI-System unter ihrer Verantwortung nutzt, es sei denn, das KI-System wird im Rahmen einer persönlichen, nicht beruflichen Tätigkeit genutzt. Was ist der Anwendungsbereich des KI-Gesetzes? Unternehmen, die derzeit prüfen, ob sie dem KI-Gesetz unterliegen, sollten den Anwendungsbereich des KI-Gesetzes sorgfältig bewerten. A) Räumlicher Anwendungsbereich Räumlich gilt das KI-Gesetz für: Bereitsteller, die ihren Sitz oder Wohnsitz in der EU haben; Anbieter, die KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen oder KI-Modelle mit allgemeinem Verwendungszweck in der EU in Verkehr bringen, unabhängig davon, ob diese Anbieter ihren Sitz oder Wohnsitz innerhalb oder außerhalb der EU haben; Importeure und Händler, die KI-Systeme in den EU-Markt einführen oder vertreiben; Produkthersteller, die KI-Systeme unter eigenem Namen oder eigener Marke in der EU in Verkehr bringen oder in Betrieb nehmen; Anbieter und Bereitsteller von KI-Systemen, wenn die Ergebnisse der KI-Systeme in der EU genutzt werden, unabhängig davon, wo sie ihren Sitz oder Wohnsitz haben; und Personen, die von der Nutzung eines KI-Systems betroffen sind und ihren Wohnsitz in der EU haben. B) Sachlicher Anwendungsbereich Das KI-Gesetz führt einen risikobasierten Rechtsrahmen ein, der Anforderungen auf der Grundlage der Höhe und Art der Risiken im Zusammenhang mit der Nutzung des betreffenden KI-Systems festlegt. Das KI-Gesetz unterscheidet die folgenden Arten von KI-Systemen: (i) verbotene KI-Systeme, (ii) KI-Systeme mit hohem Risiko, (iii) KI-Systeme mit Transparenzanforderungen und (iv) KI-Modelle mit allgemeinem Verwendungszweck, die im Folgenden jeweils definiert sind. Die Arten von KI-Systemen schließen sich nicht gegenseitig aus. So kann beispielsweise ein Hochrisikosystem auch Transparenzanforderungen unterliegen. Die Verpflichtungen des KI-Gesetzes richten sich in erster Linie an Anbieter und Bereitsteller von KI-Systemen. Es gibt Umstände, unter denen die Regeln des KI-Gesetzes für andere Parteien gelten, z. B. für Importeure, Händler und Produkthersteller, aber diese sind begrenzter. Es ist wichtig zu beachten, dass jeder Bereitsteller, Händler, Importeur oder sonstige Dritte in bestimmten Fällen die Rolle des Anbieters übernehmen muss, z. B. wenn: (i) er seinen Namen oder seine Marke auf einem Hochrisikosystem anbringt, das bereits in Verkehr gebracht oder in Betrieb genommen wurde, ohne vertragliche Vereinbarungen zu treffen, die eine andere Zuweisung der Verpflichtungen vorsehen; (ii) er eine wesentliche Änderung an einem Hochrisiko-KI-System vornimmt, das bereits in Verkehr gebracht oder in Betrieb genommen wurde, und es trotz der Änderung ein Hochrisiko-KI-System bleibt; (iii) er den Verwendungszweck eines KI-Systems, das ursprünglich nicht als Hochrisikosystem eingestuft wurde und bereits in Verkehr gebracht oder in Betrieb genommen wurde, so ändert, dass das KI-System zu einem Hochrisikosystem wird. C) Arten von KI-Systemen 1. Verbotene KI-Systeme Verbotene KI-Systeme sind KI-Systeme und/oder Anwendungen der KI, die aus grundrechtlicher Sicht als unzulässig erachtet werden und daher verboten sind. Dazu gehören: KI-Systeme, die unterschwellige, gezielt manipulative oder täuschende Techniken verwenden; KI-Systeme, die die Schwächen einer Person oder einer bestimmten Gruppe von Personen ausnutzen; KI-Systeme, die für Social Scoring verwendet werden; KI-Systeme, die für vorausschauende Polizeiarbeit verwendet werden; KI-Systeme, die zum Aufbau von Gesichtserkennungsdatenbanken verwendet werden; KI-Systeme, die verwendet werden, um Emotionen einer natürlichen Person am Arbeitsplatz und in Bildungseinrichtungen abzuleiten; KI-Systeme, die für die biometrische Kategorisierung auf der Grundlage sensibler Daten verwendet werden; und KI-Systeme, die von Strafverfolgungsbehörden zur biometrischen Echtzeit-Identifizierung in der Öffentlichkeit verwendet werden. 2. KI-Systeme mit hohem Risiko KI-Systeme mit hohem Risiko stellen ein potenziell hohes Risiko für die Rechte und Freiheiten von Einzelpersonen dar und unterliegen strengen Auflagen. Das KI-Gesetz unterscheidet zwischen zwei Kategorien von KI-Systemen mit hohem Risiko. Die erste Kategorie umfasst KI-Systeme, die nach den EU-Harmonisierungsrechtsvorschriften als hochriskant gelten (siehe Artikel 6 Absatz 1 und Anhang I des KI-Gesetzes). Ein KI-System dieser Kategorie gilt als hochriskant, wenn: (i) es dazu bestimmt ist, als Sicherheitsbestandteil eines Produkts verwendet zu werden, oder das KI-System selbst ein Produkt ist, das unter die in Anhang I des KI-Gesetzes aufgeführten EU-Harmonisierungsrechtsvorschriften fällt, und (ii) das Produkt oder System einer Konformitätsbewertung durch Dritte gemäß den geltenden EU-Harmonisierungsrechtsvorschriften unterzogen werden muss. Dies wird wahrscheinlich viele KI-Systeme betreffen, die z. B. in Maschinen, Spielzeug, Aufzügen, Geräten und Sicherheitsbauteilen für medizinische Geräte, in der Zivilluftfahrt verwendeten Produkten und verschiedenen Arten von Fahrzeugen eingesetzt werden. Die zweite Kategorie umfasst KI-Systeme, die als hochriskant gelten, weil sie für bestimmte Aufgaben verwendet werden, die in Anhang III des KI-Gesetzes direkt genannt sind. Dazu gehören: Biometrie. (mit Ausnahme von KI-Systemen, die für die biometrische Überprüfung verwendet werden sollen, wenn der einzige Zweck darin besteht, zu bestätigen, dass eine bestimmte Person diejenige ist, die sie vorgibt zu sein). Beispiele hierfür sind: Systeme zur biometrischen Fernidentifizierung; KI-Systeme, die für die biometrische Kategorisierung nach sensiblen oder geschützten Merkmalen oder Eigenschaften verwendet werden sollen, die auf der Ableitung dieser Merkmale oder Eigenschaften beruhen; und KI-Systeme zur Emotionserkennung. Kritische Infrastruktur. Dazu gehören KI-Systeme, die als Sicherheitskomponenten bei der Verwaltung und dem Betrieb kritischer digitaler Infrastruktur, des Straßenverkehrs und der Versorgung mit Wasser, Gas, Wärme oder Elektrizität eingesetzt werden sollen. Allgemeine und berufliche Bildung. Dies sind KI-Systeme, die so eingesetzt werden sollen, dass sie entweder über den Zugang einer Person zur Bildung oder über das qualitative Ergebnis dieser Bildung entscheiden, wie z. B. KI-Systeme, die zur Bewertung von Lernergebnissen eingesetzt werden. Beschäftigung, Arbeitnehmermanagement und Zugang zur Selbstständigkeit. Dazu gehören KI-Systeme, die für folgende Zwecke eingesetzt werden sollen: für die Anwerbung oder Auswahl von Personen, insbesondere um gezielte Stellenanzeigen zu schalten, Bewerbungen zu analysieren und zu filtern und Kandidaten zu bewerten; um Entscheidungen zu treffen, die sich auf die Bedingungen des Arbeitsverhältnisses, die Beförderung und die Beendigung von arbeitsrechtlichen Verhältnissen auswirken; um Aufgaben auf der Grundlage des individuellen Verhaltens oder persönlicher Merkmale oder Eigenschaften zu verteilen; oder um die Leistung und das Verhalten von Personen in solchen Beziehungen zu überwachen und zu bewerten. Zugang zu und Nutzung wesentlicher privater und öffentlicher Dienste und Leistungen. Dazu gehören KI-Systeme, die für folgende Zwecke eingesetzt werden sollen: zur Bewertung der Kreditwürdigkeit von Personen oder zur Erstellung ihrer Kreditwürdigkeitsprüfung, mit Ausnahme von KI-Systemen, die zum Zweck der Aufdeckung von Finanzbetrug eingesetzt werden; zur Bewertung und Klassifizierung von Notrufen oder zum Einsatz bei der Entsendung oder zur Festlegung von Prioritäten bei der Entsendung von Notfalldiensten, einschließlich Polizei, Feuerwehr und medizinischer Hilfe, sowie von Triage-Systemen für Notfallpatienten; oder für die Risikobewertung und Preisgestaltung in Bezug auf Einzelpersonen im Falle von Lebens- und Krankenversicherungen. Darüber hinaus gelten bestimmte KI-Systeme, die in den Bereichen Strafverfolgung, Migration, Asyl und Grenzmanagement sowie Justizverwaltung und demokratische Prozesse eingesetzt werden, ebenfalls als hochriskant. 2.1 Verpflichtungen von Anbietern von KI-Systemen mit hohem Risiko Das KI-Gesetz weist die Verpflichtungen auf der Grundlage der Rolle des Unternehmens bei der Entwicklung oder Bereitstellung eines KI-Systems zu (z. B. Anbieter oder Bereitsteller). In diesem Zusammenhang unterwirft das KI-Gesetz Anbieter von KI-Systemen mit hohem Risiko den meisten und strengsten Anforderungen des neuen Gesetzes, darunter: Einrichtung, Implementierung, Dokumentation und Aufrechterhaltung eines Risikomanagement- und eines Qualitätsmanagementsystems; Anforderungen an die Datenverwaltung, einschließlich der Eindämmung von Verzerrungen; Erstellung und Pflege technischer Dokumentationen in Bezug auf das Hochrisiko-KI-System; Aufzeichnungs-, Protokollierungs- und Rückverfolgbarkeitspflichten; Gestaltung des KI-Systems in einer Weise, die eine wirksame menschliche Aufsicht ermöglicht; Gestaltung des KI-Systems in einer Weise, die ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit gewährleistet; Einhaltung der Registrierungspflichten; Sicherstellen, dass das KI-System das entsprechende Konformitätsbewertungsverfahren durchläuft; Bereitstellung der Kontaktinformationen des Anbieters auf dem KI-System, der Verpackung oder den Begleitdokumenten; rechtzeitige Erstellung der EU-Konformitätserklärung; und Anbringen der „CE-Kennzeichnung“ auf dem KI-System. 2.2 Verpflichtungen von Bereitstellern von KI-Systemen mit hohem Risiko Auch Bereitsteller von KI-Systemen mit hohem Risiko haben eine Reihe von direkten Verpflichtungen aus dem KI-Gesetz, auch wenn diese weniger weitreichend sind als die Verpflichtungen der Anbieter. Zu den Verpflichtungen der Bereitsteller gehören: Zuweisung der menschlichen Aufsicht über das KI-System an eine Person mit der erforderlichen Kompetenz, Ausbildung, Befugnis und Unterstützung; wenn der Bereitsteller die Eingabedaten kontrolliert, sicherstellen, dass die Daten im Hinblick auf den Zweck des KI-Systems relevant und ausreichend repräsentativ sind; Information der betroffenen Personen, wenn der Bereitsteller plant, ein Hochrisiko-KI-System zu verwenden, um Entscheidungen zu treffen oder bei der Entscheidungsfindung in Bezug auf diese Personen zu helfen; wenn der Bereitsteller ein Arbeitgeber ist und das KI-System Auswirkungen auf die Arbeitnehmer hat, Information der Arbeitnehmervertreter und der betroffenen Arbeitnehmer darüber, dass sie einem Hochrisiko-KI-System unterliegen werden; Durchführung einer Folgenabschätzung für die Grundrechte für bestimmte Bereitsteller und Hochrisikosysteme, nämlich Bereitsteller, die KI-Systeme zur Bewertung der Kreditwürdigkeit von Personen oder zur Erstellung ihrer Kreditwürdigkeitsprüfung sowie für die Risikobewertung und Preisgestaltung in Bezug auf Einzelpersonen im Falle von Lebens- und Krankenversicherungen einsetzen; und wenn eine von dem KI-System generierte Entscheidung Rechtswirkungen hat oder sich in ähnlicher Weise erheblich auf eine Person auswirkt, eine klare und aussagekräftige Erklärung der Rolle des KI-Systems im Entscheidungsfindungsprozess des Bereitstellers und der wichtigsten Elemente der Entscheidung. 3. Systeme mit Transparenzanforderungen KI-Systeme mit Transparenzanforderungen sind solche, die besondere Transparenzrisiken bergen oder den Endnutzer aufgrund ihrer Beschaffenheit irreführen können. Das KI-Gesetz verpflichtet Anbieter und Bereitsteller, bestimmte Transparenzregeln einzuhalten, die diese Risiken mindern sollen. Diese Art von KI-System umfasst: KI-Systeme, die für die direkte Interaktion mit Menschen bestimmt sind; KI-Systeme, einschließlich KI-Systeme mit allgemeinem Verwendungszweck, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen; Emotionserkennungssysteme; Systeme zur biometrischen Kategorisierung; KI-Systeme, die Bild-, Audio- oder Videoinhalte erzeugen oder manipulieren, die einen Deep Fake darstellen; und KI-Systeme, die Texte erzeugen oder manipulieren, die mit dem Ziel veröffentlicht werden, die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren. Die konkreten Verpflichtungen für Anbieter und Bereitsteller variieren je nach dem betreffenden KI-System, können aber Offenlegungspflichten, Kennzeichnungspflichten und Transparenzpflichten gegenüber dem Nutzer umfassen. 4. KI-Modelle mit allgemeinem Verwendungszweck Aufgrund ihrer Flexibilität, Vielseitigkeit und der Fähigkeit, die Grundlage für mehrere KI-Systeme zu bilden, werden KI-Modelle mit allgemeinem Verwendungszweck als eigene Kategorie neben den KI-Systemen reguliert. Das KI-Gesetz sieht besondere Verpflichtungen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck vor, darunter: Erstellung und Aktualisierung der technischen Dokumentation des Modells, einschließlich des Trainings- und Testprozesses und der Ergebnisse der Bewertung, und Bereitstellung dieser Dokumentation auf Anfrage an das KI-Büro oder die nationalen Behörden; Erstellung, Aktualisierung und Bereitstellung von Informationen und Dokumentationen für Anbieter von KI-Systemen, die beabsichtigen, das KI-Modell mit allgemeinem Verwendungszweck in ihre KI-Systeme zu integrieren; Umsetzung einer Politik zur Einhaltung des EU-Rechts über Urheberrecht und verwandte Schutzrechte; und Erstellung und öffentliche Zugänglichmachung einer ausreichend detaillierten Zusammenfassung über den Inhalt, der für das Training des KI-Modells mit allgemeinem Verwendungszweck verwendet wurde. Anbieter von KI-Modellen mit allgemeinem Verwendungszweck, bei denen davon ausgegangen wird, dass sie ein Systemrisiko darstellen, unterliegen zusätzlichen, strengeren Anforderungen, wie z. B. der Verpflichtung, ein angemessenes Maß an Cybersicherheit zu gewährleisten und mögliche Systemrisiken auf EU-Ebene zu bewerten und zu mindern. Zum jetzigen Zeitpunkt dürften nur die fortschrittlichsten KI-Modelle mit allgemeinem Verwendungszweck aufgrund ihrer Fähigkeiten als systemrelevant gelten. Was sind die Strafen? Die Marktüberwachungsbehörden haben im Rahmen des KI-Gesetzes die Befugnis, bei Verstößen erhebliche Sanktionen, insbesondere Geldbußen, zu verhängen. Die Höhe der Geldbußen hängt von der Art des Verstoßes ab: 35 Millionen Euro oder 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Jahres, je nachdem, welcher Wert höher ist, bei Nichteinhaltung der Vorschriften über verbotene KI-Systeme; 15 Millionen Euro oder 3 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Jahres, je nachdem, welcher Wert höher ist, bei Nichteinhaltung der meisten Verpflichtungen aus dem KI-Gesetz; und 7,5 Millionen Euro oder 1 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Jahres, je nachdem, welcher Wert höher ist, für die Bereitstellung falscher, unvollständiger oder irreführender Informationen. Unabhängig von den oben aufgeführten Geldbußen hat die Europäische Kommission auch die Befugnis, Geldbußen gegen Anbieter von KI-Modellen mit allgemeinem Verwendungszweck zu verhängen. Konkret kann sie Geldbußen in Höhe von 15 Millionen Euro oder 3 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Jahres verhängen, je nachdem, welcher Wert höher ist. Natürliche oder juristische Personen können auch eine Beschwerde bei einer Marktüberwachungsbehörde einreichen, wenn sie der Ansicht sind, dass ein Verstoß gegen das KI-Gesetz vorliegt. Wann wird es gelten? Der AI Act tritt 20 Tage nach seiner Veröffentlichung in Kraft, d. h. am 1. August 2024. Die Bestimmungen werden jedoch erst nach einer Übergangsfrist anwendbar sein. Die Länge der Übergangsfrist hängt von der Art des KI-Systems ab: Verpflichtungen für verbotene KI-Systeme und die Verpflichtungen in Bezug auf KI-Kompetenz werden am 2. Februar 2025 anwendbar sein; Spezifische Verpflichtungen für KI-Modelle für allgemeine Zwecke werden am 2. August 2025 anwendbar sein; Die meisten Verpflichtungen aus dem AI Act, einschließlich der Regeln für Hochrisiko-KI-Systeme gemäß Anhang III des AI Act und Systeme, die besonderen Transparenzanforderungen unterliegen, werden am 2. August 2026 anwendbar sein; und Verpflichtungen in Bezug auf Hochrisikosysteme, die in Anhang I des AI Act aufgeführt sind, werden am 2. August 2027 anwendbar sein. Es ist erwähnenswert, dass bestimmte KI-Systeme und -Modelle, die bereits auf dem Markt sind, möglicherweise ausgenommen sind oder längere Umsetzungsfristen haben. #EUAIAct #KünstlicheIntelligenz #AIGovernance #AIRegulation Understanding the EU AI Act
Leave a Comment