Übergangfristen – Warum die KI-VO für viele Ihrer bestehenden KI-Systeme nie anwendbar sein wird
Die KI-VO ist am 2. August dieses Jahres in Kraft getreten und ist prinzipiell ab 2. August 2026 anwendbar, wenn auch mit einigen Abweichungen. Diese Abweichungen sind in erster Linie an der Risikoeinstufung der KI-Systeme festgemacht. Aber welche Übergangsfristen bestehen für KI-Systeme, die bereits im Einsatz sind?
Die KI-VO ist im Wesentlichen ein Produktsicherheitsgesetz, welches einen risikobasierten Ansatz verfolgt und Aspekte des Grundrechteschutzes integriert. Die Vorgaben greifen in erster Linie zu dem Zeitpunkt, zu dem ein KI-Produkt in Verkehr gebracht oder in Betrieb genommen werden soll.
Für KI-Systeme, die bereits in den Unternehmen eingesetzt werden, sind diese Regelungen daher zunächst nicht anwendbar. Allerdings hat der Gesetzgeber Fristen festgelegt, bis wann Anbieter und Betreiber bei bestimmten KI-Systemen sicherstellen müssen, dass diese in Übereinstimmung mit den Vorgaben der KI-VO vertrieben und verwendet werden. Für die meisten Legacy-KI-Systeme gilt jedoch, dass die KI-VO nie anwendbar sein wird und der Betrieb dieser Systeme somit nicht in Einklang mit KI-VO gebracht werden muss.
Schauen wir uns nun im Detail an, für welche KI-Systeme welche Fristen gelten und für welche KI-Systeme die KI-VO nicht anwendbar sein wird.
Übergangsfrist bei inakzeptablem Risiko
Die Vorgaben für inakzeptable Risiken greifen gem. Art. 113 UAbs. 3 Buchst. A KI-VO bereits ab 2. Februar 2025. Denn Art. 5 KI-VO verbietet nicht nur das Inverkehrbringen und die Inbetriebnahme von KI-Systemen mit inakzeptablem Risiko, sondern auch deren Verwendung. An dieser Stelle weicht die KI-VO von der Logik eines reinen Produktsicherheitsgesetzes ab und stellt den Schutz der Grundrechte der Betroffenen in den Vordergrund. So erklärt sich diese Ausnahme und die ausgesprochen kurze Übergangsfrist.
Übergangsfrist für GPAI-Systeme
Die KI-Systeme mit allgemeinem Verwendungszweck (General Purpose AI – GPAI) werden von der EU außerhalb des Risikostufenmodells behandelt. Daher gelten hier auch eigene Fristen. KI-Systeme mit allgemeinem Verwendungszweck, die bereits in Betrieb sind oder vor dem 2. August 2025 in Verkehr gebracht werden, müssen gem. Art. 111 Abs. 3 KI-VO bis zum 2. August 2027 die Vorgaben der KI-VO erfüllen.
Übergangsfrist für IT-Großsysteme
Eine weitere Ausnahme von den üblichen Risikostufen sieht der Gesetzgeber für Komponenten von IT-Großsystemen vor, die gemäß den in Anhang X aufgeführten Rechtsakten errichtet und vor dem 2. August 2027 in Verkehr gebracht oder in Betrieb genommen wurden oder werden. Hierbei handelt es sich um EU-eigene Großprojekte wie das Visa-Informationssystem oder das „Europäische Strafregisterinformationssystem über Drittstaatsangehörige und Staatenlose“. Die hier geltende Frist bis zum 31.12.2030 ist daher für die meisten Unternehmen nicht relevant.
Anwendbarkeit bei KI-Systemen mit hohem Risiko
Viele Unternehmen betreiben jedoch bereits Hochrisiko-KI-Systeme oder bringen solche in Verkehr. Für Hochrisiko-KI-Systeme hat der Gesetzgeber differenzierte Fristen festgelegt.
Veränderungen von bereits verwendeten Hochrisiko-KI-Systemen
Nach Art. 111 Abs. 2 S. 1 KI-VO müssen Betreiber von Hochrisiko-KI-Systemen, die vor dem 2. August 2026 in Verkehr gebracht oder in Betrieb genommen wurden, die Anforderungen der KI-VO erfüllen, wenn diese Systeme nach dem 2. August 2026 „erheblich verändert“ werden. Doch was versteht der Gesetzgeber unter einer „erheblichen Veränderung“? Hier hilft ein Blick in die Erwägungsgründe der KI-VO. Erwägungsgrund 128, S. 1 KI-VO erläutert, dass Änderungen, die an einem Hochrisiko-KI-System vorgenommen werden und die dessen Konformität mit den Anforderungen der Verordnung beeinträchtigen könnten, wie z. B. Änderungen des Betriebssystems oder der Softwarearchitektur, als wesentliche Änderungen gelten, wobei der Gesetzgeber „erhebliche“ und „wesentliche“ Änderung synonym versteht.
Für Behörden bestimmte Systeme
Darüber hinaus differenziert der Gesetzgeber innerhalb der Hochrisiko-KI-Systeme nach den typischen Verwendern. Daher müssen Hochrisiko-KI-Systeme, welche „bestimmungsgemäß von Behörden verwendet werden sollen“ (Art. 111 Abs. 2 S. 2 KI-VO) bis zum 2. August 2030 mit den Bestimmungen der KI-VO in Einklang gebracht werden. Für private Betreiber kennt die KI-VO keine vergleichbare Verpflichtung.
Hochrisiko-Systeme ohne Fristen
Das heißt, dass für ein Hochrisiko-KI-System, welches
- bereits in Betrieb ist,
- keinen allgemeinen Verwendungszweck hat,
- nicht bestimmungsgemäß von Behörden verwendet wird,
- nicht Komponenten eine IT-Großsystems nach Anhang X KI-VO ist
- und nach dem 2. August 2026 keine erheblichen Änderungen erfährt
die KI-VO nie anwendbar wird!
Zwar „ermutigt“ ErwG 178 KI-VO die Anbieter von Hochrisiko-KI-Systemen, „auf freiwilliger Basis bereits während der Übergangsphase mit der Einhaltung der einschlägigen Pflichten aus dieser Verordnung zu beginnen“, definiert aber in Übereinstimmung mit den Erwägungen in ErwG 177 gar keine Übergangsfristen für viele KI-Systeme.
Anwendbarkeit für KI-Systeme ohne hohes Risiko
So wie Hochrisiko-KI-Systeme unter den soeben erläuterten Bedingungen keiner Pflicht zur Anpassung an die KI-VO unterliegen, gilt gleiches auch für die KI-Systeme ohne hohes Risiko, sofern sie keinen allgemeinen Verwendungszweck aufweisen oder Komponente eines der IT-Großsysteme sind. Wie in unserem früheren Blogbeitrag geschildert, unterscheidet die KI-VO nur mittelbar zwischen begrenztem und minimalem Risiko. Der Begriff KI-Systeme ohne hohes Risiko umfasst daher beide Kategorien.
Bewertung und Einordnung
Die KI-VO macht also tatsächlich keine zeitlichen Vorgaben, bis wann bestimmte KI-Systeme mit der KI-VO in Einklang gebracht werden müssen, sofern die genannten Bedingungen zutreffen. Diese Tatsache mag für viele überraschend sein.
Dies bedeutet natürlich nicht, dass die EU die Grundrechte und die Produktsicherheit für diese Systeme im rechtsfreien Raum stehen lässt. Vielmehr unterliegen die Systeme weiteren (Produktsicherheits-)Gesetzen, die der Gesetzgeber auch ausdrücklich für ausreichend hält. ErwG 166 besagt sinngemäß, dass KI-Systeme ohne hohes Risiko eigentlich sicher sein müssten, da sie die Vorgaben der „Verordnung (EU) 2023/988 vom 10. Mai 2023 über die allgemeine Produktsicherheit“ beachten müssen. Hier ist also aus Sicht des Gesetzgebers ein Sicherheitsnetz gespannt. Dieses Sicherheitsnetz gilt dann aber auch für Hochrisiko-KI-Systeme, die bereits verwendet werden, unverändert bleiben und nicht für Behörden bestimmt sind, sofern diese auf dem Markt bereitgestellt werden (Art. 2 Nr. 1 Verordnung (EU) 2023/988).
Für einige Unternehmen sind dies sicherlich erstmal gute Neuigkeiten. Aber der Teufel steckt natürlich im Detail. Setzen wir eigentlich ein KI-System mit allgemeinem Verwendungszweck ein? Ab wann handelt es sich um Einzelfall um eine erhebliche Veränderung? Wie ordne ich ein KI-System der richtigen Risikostufe zu? Und wie behalte ich den Überblick?
Unternehmen werden also nicht darum herumkommen, zumindest eine Bestandsaufnahme verwendeter KI-Systeme durchzuführen und diese in die Kategorien der KI-VO einzuordnen. Erst dann kann sicher festgestellt und dokumentiert werden, ob etwas und was zu tun ist.
Wir beraten Sie gern. Sprechen Sie uns an. Ihnen gefallen unsere Entscheidungsbäume und Sie wollen keine relevanten Entwicklungen im Bereich der KI-Regulierung verpassen? Abonnieren Sie unseren Newsletter, um in Sachen KI und Datenschutz stets auf dem aktuellen Stand zu bleiben.