Die Europäische Union hat mit der KI-Verordnung das weltweit erste umfassende Gesetz zur Regulierung von künstlicher Intelligenz (KI) verabschiedet. Diese Verordnung wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht und tritt am 1. August 2024 in Kraft.
Übergangsfristen
Die Pflichten der Verordnung werden nach und nach greifen. In den ersten sechs Monaten nach in Kraft treten müssen Mitgliedstaaten verbotene Systeme schrittweise abschalten. Nach zwölf Monaten greifen die Pflichten für KI-Systeme für Allgemeine Zwecke. Nach 24 Monaten sind nahezu alle Vorschriften der KI-Verordnung anwendbar, insbesondere auch die Pflichten der Hochrisiko-KI-Systeme nach Anhang III. Pflichten für Hochrisiko-KI-Systeme nach Anhang II, also solche die bereits nach bestehenden harmonisierten EU-Rechtsakten eine Konformitätsbewertung durch externe Dritte durchführen müssen, sind erst nach 36 Monaten anwendbar.
Bei Verstößen gegen die KI-Verordnung sind Geldbußen in Höhe von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für die betroffenen Unternehmen vorgesehen. Des Weiteren können Wettbewerber oder Betroffene Schadenersatzansprüche gegen das Unternehmen geltend machen.
.
Ziel der KI-VO
Die KI-Verordnung zielt darauf ab, Risiken zu minimieren, indem sie die Wahrscheinlichkeit und die Schwere möglicher Schäden reduziert. Sie verfolgt einen Sektorübergreifenden, risikobasierten und menschenzentrierten Ansatz, der sowohl die Grundrechte der EU-Bürger schützt als auch Investitionen und Innovationen fördert.
Wer ist betroffen?
Die Verordnung betrifft:
1. Nutzer von KI-Anwendungen: Alle, die im Alltag mit KI-Systemen in Berührung kommen.
2. Unternehmen und staatliche Behörden: Alle, die in der EU KI-Systeme anbieten oder einsetzen, unabhängig vom Standort des Betreibers. Dies gilt auch für außerhalb der EU betriebene KI-Systeme mit Auswirkungen innerhalb der EU.
Definition von KI
Ein "KI-System" ist laut Verordnung ein maschinengestütztes System, das mit unterschiedlichem Grad an Autonomie betrieben werden kann. Es kann aus Eingaben Ziele ableiten und Ergebnisse erzeugen, die physische oder virtuelle Umgebungen beeinflussen. Diese weit gefasste Definition bedeutet, dass viele Systeme unter die Regulierung fallen, jedoch werden herkömmliche Softwaresysteme, die ausschließlich auf festgelegten Regeln beruhen, nicht erfasst.
Risikoklassen der KI-VO
Die Verordnung verfolgt einen risikobasierten Ansatz mit vier Risikoklassen:
1. Unzumutbares Risiko: Verbotene Systeme (z.B. Social Scoring).
2. Hochrisiko-KI-Systeme: Streng reguliert, z.B. in kritischen Infrastrukturen.
3. Begrenztes Risiko: Weniger strenge Regularien.
4. Minimales Risiko: Weitgehend von strengen Auflagen befreit.
Hochrisiko-KI-Systeme
Diese Systeme, die in Bereichen wie Transport, Bildung, Gesundheitssektor und Personalmanagement eingesetzt werden, unterliegen strengen Auflagen. Anbieter müssen umfassende Risikobewertungs- und -Minderungsstrategien implementieren und detaillierte Dokumentationen führen. Anforderungen umfassen:
- Risikobewertungen und Marktüberwachungsmaßnahmen.
- Daten-Governance zur Sicherstellung fairer und repräsentativer Daten.
- Technische Dokumentationen und Nutzungshinweise.
- Menschliche Aufsicht, automatisches Logging und Fehleranalysen.
- Cybersicherheitsmaßnahmen und EU-Konformitätserklärung.
Fazit und Ausblick
Die KI-Verordnung ist ein zentrales Element der EU-Politik zur Förderung der Entwicklung und Einführung sicherer, rechtskonformer und grundrechtsschonender KI-Systeme. Unternehmen und Behörden sind bereits jetzt gefordert, sich intensiv mit den neuen Anforderungen auseinanderzusetzen und ihre Systeme entsprechend anzupassen sowie bei der Auswahl neuer Systeme die Anforderungen der KI-Verordnung zu prüfen und umzusetzen. Darüber hinaus strebt Deutschland an, dass die Datenschutzaufsichtsbehörden der Länder für die Prüfung und Einhaltung der KI-VO zuständig werden, da solche Systeme in der Regel auch personenbezogene Daten verarbeiten, so dass Unternehmen und Organisationen in jedem Fall vor der Einführung solcher Systeme ihren bestellten Datenschutzbeauftragten konsultieren sollten, um datenschutzrechtliche Risiken zu minimieren. Die kommenden Jahre werden zeigen, wie sich die KI-VO in der Praxis bewährt und ob sie als Vorbild für ähnliche Regelungen in anderen Teilen der Welt dienen kann.