Die über einen langen Zeitraum entwickelte und hochdiskutierte KI-Verordnung (im Folgenden „KI-VO“) wurde heute im EU-Amtsblatt veröffentlicht.

Auch wenn die KI-VO erst am 2. August 2024 in Kraft treten wird und ihre Kapitel (und damit die sich daraus ergebenden Pflichten) erst stufenweise anwendbar sein werden (siehe unten), sollten Unternehmen spätestens jetzt beginnen, sich mit den Inhalten dieses umfangreichen und komplexen Regelungswerks auseinanderzusetzen. Im Folgen geben wir Ihnen hierzu einen kursorischen Überblick, welcher vor allem aufzeigen soll, warum die KI-VO eine so hohe Relevanz aufweist und jedem Unternehmen, welches potentiellen Umgang mit KI-Systemen hat (zumindest in groben Zügen) bekannt sein sollte.

Die KI-Verordnung – was ist das?

• Bei der KI-VO handelt es sich um das weltweit erste umfassende KI-Gesetz. Es vereint die Bereiche Urheberrecht, Persönlichkeits- und Datenschutz, aber auch IT-Sicherheit und Produktsicherheit miteinander. Dabei werden bestehende Gesetze wie etwa die DSGVO nicht ersetzt sondern – im Hinblick auf KI-Systeme – ergänzt und so bestehende Regelungslücken geschlossen.
• Als EU-Verordnung ist die KI-VO unmittelbar in Deutschland anwendbar; es bedarf daher keiner Umsetzung in das nationale Recht.
• Gegenstand des Gesetzes ist die Reduzierung von Gefahren, welche mit der Nutzung und Entwicklung von KI einhergehen durch Regulierung: Der Einsatz von KI-Systemen wird in bestimmten Anwendungsszenarien verboten oder technischen und organisatorischen Anforderungen unterworfen.

Welche Ziele verfolgt die KI-VO?

Die KI-VO verfolgt mehrere Ziele bei Nutzung und Entwicklung von KI:

• Schutz der Grundrechte und Grundfreiheiten: KI-Systeme dürfen nicht diskriminierend, manipulativ oder auf andere Weise schädlich sein.
• Stärkung des Vertrauens in KI-Systeme: Transparenz- und Rechenschaftspflichten sowie die Förderung von Verständlichkeit soll Entscheidungen von KI-Systemen für Nutzer nachvollziehbar machen.
• Förderung von Innovation und Wettbewerbsfähigkeit: Es wird ein harmonisierter Rechtsrahmen geschaffen, der Investitionen in KI und deren Nutzung durch die Wirtschaft fördern soll.
• Reduzierung von Risiken des KI-Einsatzes (in Hochrisikobereichen): Die bestehenden technischen „best practices“ werden nun regulatorisch (in der EU aber de facto weltweit) festgelegt und gesetzlich durchsetzbar.

Wie verfolgt die KI-VO diese Ziele?

Die KI-VO verfolgt einen risikobasierten Ansatz und ordnet die verschiedenen KI-Systeme in bestimmte Risikogruppen ein: Je höher das Risiko eines KI-Systems ist, umso strenger sind die Regelungen der KI-VO. Es wird unterschieden zwischen verbotenen KI-Praktiken, Hochrisiko-KI-Systemen, KI-Systemen mit begrenztem Risiko und sog. generativen KI-Systemen (wie ChatGPT).

• Unannehmbare Risiken sind verboten (z. B. soziale Bewertungssysteme und manipulative KI).
• Der größte Teil (Art. 6 – 49 KI-VO) befasst sich mit Hochrisiko-KI-Systemen (vgl. Anhang II, III), welche für ihren gesamten Lebenszyklus reguliert werden.
• Ein kleinerer Teil der KI-VO befasst sich mit KI-Systemen mit begrenztem Risiko, für die (geringere) Transparenzpflichten gelten. Unternehmen welche diese entwickeln, nutzen oder einsetzen müssen v.a. sicherstellen, dass Endnutzer wissen, dass sie mit KI interagieren (Stichwort Chatbots und Deepfakes).

Relevanz: Weiter Anwendungsbereich und hohe Geldbußen

Die KI-VO hat eine hohe Relevanz, da sie einen weiten geografischen und sachlichen Anwendungsbereich aufweist und zugleich hohe Geldbußen bei Nichtbefolgung der darin getroffenen Regelungen enthält.

(1) Geografischer Anwendungsbereich

• Wie die (daneben anwendbare) DSGVO: Die KI-VO gilt nicht nur für europäische Organisationen, sondern unter Umständen auch für Organisationen außerhalb der EU (sog. „Marktortprinzip“).
• Kurz gesagt gilt KI-VO für alle KI-Systeme, die Auswirkung auf den EU-Binnenmarkt haben:
  • Organisationen mit Sitz in der EU, die KI-Systeme verwenden;
  • Importeure, Händler oder Hersteller von KI-Systemen in der EU;
  • Anbieter (innerhalb oder außerhalb der EU), die KI-Systeme auf dem EU-Markt in Verkehr bringen; und
  • Anbieter und Nutzer von KI-Systemen (innerhalb oder außerhalb der EU), deren Output in der EU verwendet wird.
• Wichtigsten Ausnahmen vom Anwendungsbereich: Ausnahmen für die wissenschaftliche Forschung mit KI, für den gesamten Entwicklungsprozess und für den Open-Source-Sektor in Art. KI-VO.

(2) Sachlicher Anwendungsbereich

Sowohl der Adressatenkreis der KI-VO als auch die Definition von „KI-Systemen“ ist weit:

• Adressatenkreis: Dieser ist denkbar weit: Umfasst sind Akteure in folgenden Rollen: Anbieter, Hersteller, Betreiber, Einführer, Händler, bevollmächtigter Vertreter oder betroffene Person in der EU.
• Definition von KI-System: nach der gesetzlichen Definition werden Systeme immer dann als KI-Systeme einzustufen sein, wenn sie:
  • maschinengestützte Systeme sind,
  • die so konzipiert sind, dass sie mit einem unterschiedlichen Grad an Autonomie arbeiten,
  • und die nach dem Einsatz eine Anpassungsfähigkeit aufweisen können,
  • und die für explizite oder implizite Ziele aus den Eingaben, die sie erhalten, ableiten, wie sie Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugen können, die physische oder virtuelle Umgebung beeinflussen können.

(3) Selbstkontrollmechanismus und sehr hohe Geldbußen

Die KI-VO überlässt die Umsetzung der erforderlichen Maßnahmen den Unternehmen, regelt aber gleichzeitig hohe Geldbußen, wenn diese den Anforderungen nicht genügen.

• Die KI-VO regelt nicht, wie die einzelnen Adressaten die geforderten Maßnahmen konkret umsetzen können. Auch eine behördliche Unterstützung ist hier nicht vorgesehen. Genauso wie die DSGVO, wird hier ein Selbstkontrollmechanismus (mit den entsprechenden Risiken und Unsicherheiten für Unternehmen) etabliert.
• Die möglichen Geldbußen übersteigen noch die der DSGVO:
  • Die maximal mögliche Geldbuße für den Einsatz von verbotener KI beläuft sich auf 35 Mio. Euro oder bis zu 7 % des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr – je nachdem welcher Betrag höher ist.
  • Geldbußen, wenn Unternehmen die Compliance-Anforderungen für hochriskante KI-Systeme nicht erfüllen, können bis zu 3% des weltweiten Umsatzes des vorangegangenen Geschäftsjahres oder 15 Mio. Euro betragen.
  • Die Übermittlung falscher, unvollständiger oder irreführender Informationen kann mit Geldbußen von bis zu 1% des weltweiten Vorjahresumsatzes oder 7,5 Mio. Euro.

Timing: Ab wann gelten welche Regelungen aus der KI-VO?

Nach dem Inkrafttreten der KI-VO am 2. August 2024, werden stufenweise Maßnahmen zu berücksichtigen sein:

2. Februar 2024: Anwendbarkeit der Titel I (Allgemeine Bestimmungen) und Titel II (Verbotene KI-Praktiken)

• Titel I umfasst den Gegenstand des Gesetzes, den Anwendungsbereich, die Definitionen und die Bestimmungen zur KI-Kompetenz
• Titel II definiert verbotene KI-Praktiken und umfasst insbesondere: KI für unterschwellige Techniken oder absichtlich manipulative oder täuschende Techniken; KI-Systeme, die Schwachstellen einer Person oder einer bestimmten Gruppe von Personen ausnutzen; biometrische Kategorisierungssysteme; Systeme zur sozialen Bewertung; KI-Systeme zur Bewertung des Risikos, eine Straftat zu begehen; und KI-Systeme zur Ableitung der Emotionen einer natürlichen Person in den Bereichen Arbeitsplatz und Bildungseinrichtungen.

2. August 2025: Neben Regelungen über die Verwaltung tritt auch der Titel über KI für allgemeine Zwecke (für KI-Systeme, die nach diesem Datum in Verkehr gebracht werden); und der Titel über Vertraulichkeit und Sanktionen in Kraft:

• Dies bedeutet für Unternehmen die „KI-Systeme für allgemeine Zwecke“ (also vielseitig einsetzbare KI – auch „GPAI-Modelle“ genannt) nutzen oder entwickeln, dass nun die Umsetzung von Governance-Maßnahmen (v.a. technische Dokumentation, Information/Unterlagen für nachgelagerte Anbieter, Guidelines für die Einhaltung von Urheberrecht, Veröffentlichung einer Zusammenfassung der für das Training verwendeten Inhalte) erforderlich werden. 
• Pflichten entlang der Produktions- bzw. Lieferkette:  Die Anbieter solcher Systeme sind verpflichtet, alle Informationen und Elemente von KI-Systemen mit hohem Risiko an nachgelagerte Anbieter weiterzugeben, damit diese die entsprechenden Anforderungen erfüllen können, auch zum Zweck der Konformitätsbewertung.

2. August 2026: Vollständige Anwendbarkeit und Durchsetzung in der gesamten EU, mit Schwerpunkt auf Hochrisikosystemen.

• Zu beachten ist jedoch: Die KI-VO gilt für Hochrisiko-KI-Systeme (mit Ausnahme von Sicherheitssystemen), die vor dem Datum des Inkrafttretens in Verkehr gebracht oder in Betrieb genommen wurden, nur dann, wenn diese Systeme ab diesem Datum wesentliche Änderungen an ihrer Konstruktion oder ihrem Verwendungszweck erfahren.
• KI-System, die vor dem Ablauf der 24 Monate in Verkehr gebracht werden, müssen dem Gesetz entsprechen.

2. August 2027: Ausweitung auf weitere risikoreiche KI-Systeme, die durch andere EU-Gesetze geregelt sind; Pflichten für Hochrisiko-KI-Systeme nach Anhang II (KI in Medizinprodukten, Maschinen etc.).

Handlungsbedarf

Unternehmen, die in irgendeiner Art und Weise mit KI-Systemen arbeiten, sollten sich mit den Regelungen und Anforderungen der KI-VO auseinandersetzen und die danach erforderlichen (internen) Vorkehrungen treffen. Hilfestellungen zum Thema KI und Datenschutz gibt es derzeit von den Datenschutzbehörden in Gestalt der Orientierungshilfe der DSK, welche auf der Website der DSK abrufbar ist. Eine konkrete Umsetzung bedarf aber einer genaueren rechtlichen Prüfung der gelebten Umstände im Einzelfall. 

Kontaktieren Sie sie uns gerne, wenn Sie Fragen zum Thema KI-VO haben und/oder unsere Unterstützung bei der Umsetzung der sich daraus ergebenden Pflichten für Ihr Unternehmen wünschen.