zur Übersicht

Der AI Act: Regulierung first, Geschäftschancen second?

Künstliche Intelligenz gilt manchen als großer Hoffnungsträger für die Menschheit, anderen hingegen als deren größte Bedrohung. Angesichts dieser großen Erwartungen besteht ein politischer und gesellschaftlicher Konsens, dass Technologien künstlicher Intelligenz reguliert werden müssen. Wie kann aber die Regulierung aussehen, wenn Dynamik, Stoßrichtung und Auswirkungen des Regulierungsgegenstands heute noch gar nicht absehbar sind?

Dieses Dilemma prägt die Verhandlungen über die EU-Verordnung zu künstlicher Intelligenz (EU AI Act), auf deren Grundzüge sich die gesetzgebenden EU-Institutionen kürzlich im Rahmen des sog. Trilog geeinigt haben. Mit dieser Verordnung versucht die EU, die Innovationskraft von Anwendungen künstlicher Intelligenz zu nutzen, aber gleichzeitig die Risiken für Mensch und Gesellschaft zu minimieren. Als EU-Verordnung entfalten die Bestimmungen in den Mitgliedsländern der EU unmittelbar Gesetzeskraft. Die finale Fassung der Verordnung ist aber noch nicht verfügbar. Ebenso steht noch nicht fest, wann die Verordnung von der EU verabschiedet wird. Nach dem derzeitigen Fahrplan sind die Regulierungsvorgaben nach der Verabschiedung in einem zeitlich gestuften Verfahren innerhalb von 24 Monaten anzuwenden.

Insoweit ist auch unsere Einschätzung noch mit Vorsicht zu genießen, da sich erst mit der finalen Fassung zeigen wird, was tatsächlich gilt. Die letzte öffentlich verfügbare Fassung ist jene mit den Anmerkungen des Europäischen Parlaments aus dem Sommer 2023. Leicht lesbar ist das Dokument nicht, gefunden werden kann es von allen Interessierten aber hier.

Anwendungsbereich & Inhalt des AI ACT

Nach allem, was bislang bekannt ist, gilt jedenfalls das Folgende als einigermaßen gesichert.

Die Verordnung richtet sich an private und öffentliche Organisationen die KI entwickeln, anbieten oder anwenden. KI-Systeme müssen zunächst in jedem Fall sechs grundlegende Prinzipien beachten:

  • Menschliche Aufsicht und Kontrolle
  • Technische Robustheit und Sicherheit
  • Datenschutz und Data Governance
  • Transparenz
  • Vielfalt, Nicht-Diskriminierung und Fairness
  • Soziales und ökologisches Wohlergehen

Diese Prinzipien werden noch mit Leben gefüllt werden müssen. Hier besteht aber bereits die erste Aufgabe von Unternehmen darin, Prozesse und Richtlinien einzuführen, die sicherstellen, dass diesen bereits bei der Entwicklung von KI Rechnung getragen wird.

Essentiell ist weiterhin ein risikobasierter Ansatz, der vier Risikostufen definiert. Die Zuordnung zu einer Risikostufe entscheidet darüber, welche Compliance-Verpflichtungen ein KI-Vorhaben berücksichtigen muss. So müssen bei der Einstufung als minimales Risiko (z. B. E-Mail-Spamfilter) nur wenige Auflagen berücksichtigt werden. Für KI-Systeme mit hohen Risiken gelten umfangreichere Auflagen. Anhang III zum KI Gesetz zählt wichtige Beispiele für solche Systeme auf. Hierunter fallen auch schon Anwendungen aus dem (Weiter)bildungsbereich zur Bewertung von Lernergebnissen oder der Steuerung von Lernprozessen sowie Filterung von Bewerbungen im HR-Bereich. Eine Methodik zur Einstufung der KI-Systeme stellt das Gesetzeswerk zur Verfügung.

Wenn ein Vorhaben als inakzeptables Risiko eingestuft wird, ist die Entwicklung und Anwendung der entsprechenden KI-Technologie hingegen verboten. Diese grundsätzliche Verbote, beziehen sich zum Beispiel auf Echtzeit-Gesichtserkennung außerhalb enger staatlicher Anwendungsbereiche oder biometrischer Kategorisierung von Personen. Je nach Kritikalität eines KI Systems ist zudem eine Grundrechtsfolgenabschätzung durchzuführen.

Besonderes Augenmerk legt der Gesetzentwurf auf mögliche systemische Risiken, die von KI-Modellen mit offenem Verwendungszweck (general purpose) ausgehen. Hierzu werden auch die großen generativen KI-Modelle gezählt. Da diese Modelle Grundlage für viele KI-Anwendungen darstellen, bergen Sie besondere Risiken hinsichtlich der Abhängigkeit vieler Systeme sowie der systematischen Benachteiligung von natürlichen Personen. Derzeit zählt die EU aber nach einer technischen Definition nur GPT-4 von OpenAI und Gemini von Google DeepMind zu dieser Kategorie.

Vorläufige Bewertung

Wie nicht anders zu erwarten, ist fast niemand mit dem Verhandlungsergebnis wirklich zufrieden. Vertreter von interessierten Unternehmen sehen in erster Linie Überregulierung und Bürokratisierung. Sie befürchten, dass die Verordnung die Entwicklung von KI-Technologien in der EU beeinträchtige und verhindere, dass Wissenschaft und Unternehmen in der EU die Möglichkeiten künstlicher Intelligenz ausschöpfen. Hier wird insbesondere auf die mögliche Beeinträchtigung medizinischer Forschung verwiesen. Andere sehen die Möglichkeiten der Kriminalitätsbekämpfung und Gefahrenabwehr unterlaufen. Grundrechtsorientiere Akteure hingegen werfen dem Zwischenergebnis vor, die Bevölkerung nicht hinreichend vor naheliegenden negativen Folgen innovativer KI beim Einsatz gegen Menschen schützen zu können. Hier werden insbesondere Aspekte wie biometrisch gestützte Massenüberwachung und das sogenannte Predictive Policing, also der Anwendung präventiver repressiver Maßnahmen auf der Grundlage computergestützter Vorhersagen thematisiert.

Mit dem Entwurf ist die EU derzeit globaler Vorreiter bei der Regulierung von KI. Kritische Wirtschaftsverbände sollten daher nicht unterschätzen, dass die erhöhten bürokratische Anforderungen und Transparenzpflichten auch eine gewisse Rechtssicherheit für Unternehmen in Europa schaffen, für die sie von US-Unternehmen nach den zu erwartenden Zivilklagen in den USA vielleicht bald beneidet werden. Derzeit muss man zwar abwarten, bis der tatsächliche Gesetzesakt verabschiedet wurde, vorbereiten können und sollten sich betroffene Unternehmen aber bereits jetzt. Die Regulierung bzw. Nichtregulierung von KI-Technologie hebt zudem die bestehenden Gesetze nicht auf. So haben EU-Bürger weiterhin das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, wie es Ihnen die Datenschutz-Grundverordnung zuspricht. Ebenso sieht der risikobasierte Ansatz des EU AI Act ein Verbot von bestimmten KI-Anwendungsmöglichkeiten vor (z. B. Social Scoring nach chinesischem Vorbild oder Verhaltensmanipulation durch KI, die den freien Willen eines Betroffenen unterläuft), die bereits bei geltender Gesetzeslage in der EU rechtswidrig ist.

Handlungsbedarf für Unternehmen

Für europäische Unternehmen spricht zunächst nichts dagegen, Anwendungen von KI (weiter)zu entwickeln. Bereits heute sollte man aber damit beginnen, sich auf die kommende Regulierung einzustellen. Dies wird vor allem erfordern, Prozesse zu etablieren, die relevante KI-Anwendungen identifizieren und mittels standardisierter Methoden klassifizieren. Insbesondere sollte geprüft werden, ob bestehende oder geplante Verarbeitungstätigkeiten in der Liste in „Anhang III“ zu KI-Gesetz aufgeführt ist. Einen Entwurf aus dem Jahre 2021 für diesen Anhang III finden Sie hier. Im nächsten Schritt müssen mehr oder weniger umfangreiche Risk-Assessments durchgeführt werden.

Schon heute müssen zudem die Vorgaben der DSGVO beachtet werden, soweit KI personenbezogene Daten verarbeitet. Einige Datenschutzbeauftragte der Bundesländer haben hierzu veröffentlicht, so zum Beispiel Baden-Württemberg und Hamburg. Auch wir bieten Ihnen zu diesem Thema Vorlagen, mit denen Sie Ihre Mitarbeiter für das Thema sensibilisieren können. KI kommt fast in jedem Unternehmen zum Einsatz und alle Nutzer sollten mit den Vorteilen aber auch den Risiken – und wie man diese vermeidet – vertraut gemacht werden.

Abonnieren Sie hier unseren Newsletter, um hinsichtlich der weiteren Rechtsentwicklung stets auf dem Laufenden zu bleiben.

Nachtrag:

Der Beitrag wurde am 2.1.2024 auf der Grundlage der „Q&A“-Seite der EU überarbeitet.