Suchen

Schon im April 2021 hat die EU-Kommission zur Regulierung von künstlicher Intelligenz den ersten Vorschlag einer KI-Verordnung vorgelegt. Nach einigen Änderungen am ursprünglichen Entwurf hatte sich das EU-Parlament am 14. Juni 2023 auf eine Position geeinigt und Änderungsvorschläge zum Kommissionsentwurf verabschiedet. Die KI-Verordnung befindet sich derzeit in der Trilog-Verhandlung und damit in der letzten Phase des Gesetzgebungsverfahrens, nach dem die KI-Verordnung in ihrer endgültigen Fassung verabschiedet werden soll. Angesichts der rasant zunehmenden Verbreitung von künstlicher Intelligenz in immer mehr Bereichen, nicht zuletzt seit der Einführung von ChatGPT, erscheint eine Regulierung von künstlicher Intelligenz dringend notwendig, um möglichen Gefahren entgegenzuwirken. Sollte die KI-Verordnung in Kraft treten, würde Europa eine Vorreiterrolle im Bereich der Regulierung von künstlicher Intelligenz einnehmen – kein anderer Staat verfolgt derzeit ähnlich umfassende Regulierungspläne. Dieser Beitrag soll beleuchten, auf welche Regulierung sich Unternehmen, die künstliche Intelligenz einsetzen oder vertreiben, nach dem aktuellen Entwurf einstellen müssen und wann mit dem Inkrafttreten der KI-Verordnung zu rechnen ist.

Hintergrund der Regulierung künstlicher Intelligenz

Wohl kein Thema wird derzeit so heiß diskutiert wie der fortschreitende Einsatz von künstlicher Intelligenz. Insbesondere nachdem der auf künstlicher Intelligenz aufgebaute Chatbot ChatGPT Ende November 2022 veröffentlicht wurde, erschließen Unternehmen und Anwender nahezu täglich neue Anwendungsgebiete, in denen sie künstliche Intelligenz unterstützen kann. Alles sieht danach aus, als ob künstliche Intelligenz der nächste große technische Schritt sein könnte, der unser gesellschaftliches Zusammenleben über die nächsten Jahre und Jahrzehnte prägen wird.

Bislang gibt es keine grundlegende und umfassende Regulierung für Anwendungen künstlicher Intelligenz. Unternehmen, die künstliche Intelligenz einsetzen oder diesen Einsatz in naher Zukunft planen, befinden sich daher im Ungewissen, ob und unter welchen Bedingungen sie künstliche Intelligenz nutzen dürfen. Durch die KI-Verordnung will der europäische Gesetzgeber nun verbindliche Regelungen schaffen.

Ablauf des bisherigen Gesetzgebungsverfahrens

Der europäische Gesetzgeber hat früh auf den zunehmenden Einsatz von künstlicher Intelligenz reagiert und bereits im April 2021 einen Entwurf einer EU-Verordnung über die Regulierung von künstlicher Intelligenz vorgelegt (offiziell auch „Gesetz über Künstliche Intelligenz“ oder kurz „KI-Gesetz“). Als Europäische Verordnung wäre das harmonisierte Gesetz in allen Mitgliedsstaaten unmittelbar anwendbar, ohne dass es eines nationalen Umsetzungsaktes bedarf. Eine erste Plenarsitzung im EU-Parlament fand aufgrund vieler Änderungsanträge erst im Oktober 2022 statt. Bis Ende 2022 brachten verschiedene Ausschüsse und Mitgliedsstaaten Stellungnahmen und Änderungsvorschläge ein, die in einem überarbeiteten Entwurf des KI-Gesetzes aufgenommen wurden, der im Dezember 2022 vorgestellt wurde. Für die Verzögerung des Verfahrens hat insbesondere die zwischenzeitlich zunehmende Verbreitung von Allzweck-KI geführt, die in der Lage ist, neue Inhalte zu erzeugen (wie ChatGPT und GPT-4) – auch „generative KI“ genannt. Am 11. Mai 2023 haben Abgeordnete des EU-Parlaments weitere Änderungen in den Entwurf eingebracht (hier abrufbar). Diese Änderungen sind am 14. Juni 2023 durch das Plenum der Abgeordneten gebilligt worden. Derzeit finden die Trilog-Verhandlungen zwischen Parlament, Rat und EU-Kommission statt, an deren Ende das KI-Gesetz verabschiedet werden soll. Zuletzt hat die EU-Kommission am 19. November 2023 einen neuen Kompromisstext entworfen. Mit einer Verabschiedung des finalen Textes wird frühestens im Jahr 2024 gerechnet. Die Verordnung müsste von Unternehmen nach dem derzeitigen Entwurf erst nach einer Umsetzungsfrist von zwei Jahren umgesetzt und eingehalten werden, also frühestens ab 2026.

Zusammenfassung der geplanten Regulierung durch das KI-Gesetz

Ziel des KI-Gesetzes ist es, sichere und vertrauenswürdige KI-Anwendungen zu schaffen. Vom Anwendungsbereich werden alle Anbieter und Nutzer in der EU erfasst (sogenannter horizontaler Ansatz). Das KI-Gesetz folgt dabei – wie seit Beginn des Regulierungsvorhabens – einem risikobasierten Ansatz. Je riskanter eine eingesetzte KI-Technologie ist, desto mehr Auflagen müssen bei ihrem Einsatz eingehalten werden. KI-Anwendungen werden nach dem Entwurf in eine der folgenden vier Risikogruppen eingeteilt:

  1. KI-Anwendungen mit einem inakzeptablen Risiko sollen verboten werden (verbotene KI-Anwendungen). Dies sind Anwendungen, die Grundrechte verletzen, insbesondere, weil sie menschliches Verhalten manipulieren, den freien Willen der Nutzer umgehen, psychische oder physische Schäden verursachen können oder Menschen nach ihrem sozialen Verhalten oder ethnischen Merkmalen klassifizieren (z.B. „Social Scoring“-Systeme).
  2. Hochrisiko-KI-Systeme: KI-Systeme, bei denen ein hohes Risiko für die Gesundheit und Sicherheit oder die Grundrechte natürlicher Personen besteht, dürfen nur unter Einhaltung hoher Transparenzpflichten betrieben werden: Bekannte und vorhersehbare Risiken müssen dokumentiert werden, Qualitätskriterien bei Trainingsdaten eingehalten werden, KI-Vorgänge müssen während des Betriebes aufgezeichnet werden. Außerdem muss eine Beaufsichtigung der Systeme durch Menschen gewährleistet sein. Der Entwurf sieht acht Bereiche sogenannter Hochrisiko-KI-Systeme vor:
    1. Biometrische Identifizierung und Kategorisierung
    2. Betrieb kritischer Infrastruktur
    3. Allgemeine und berufliche Bildung
    4. Arbeitnehmerverwaltung und Zugang zur Selbstständigkeit
    5. Zugang und Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten
    6. Rechtsdurchsetzung
    7. Migration, Asyl und Grenzkontrollen
    8. Rechtspflege und demokratische Prozesse
  3. Begrenzt riskante KI: Systemen mit geringem Risiko sind zu bestimmten Transparenzpflichten verpflichtet. Nutzer müssen insbesondere darüber informiert werden, dass künstliche Intelligenz eingesetzt wird.
  4. Risikoarme KI: Systeme mit minimalem Risiko können ohne zusätzliche rechtliche Verpflichtungen eingesetzt werden, soweit allgemeine rechtlichen Vorgaben eingehalten werden.

Bisherige Änderungen gegenüber dem ursprünglichen Entwurf des KI-Gesetzes und derzeitige Streitpunkte

Auf einige Änderungen gegenüber dem ursprünglichen Entwurf aus dem April 2021 hatte sich das Parlament bereits im 14. Juni 2023 geeinigt. Insbesondere wurde die Liste der verbotenen KI-Anwendungen erweitert. Dadurch wird eine automatisierte Gesichtserkennung (z.B. durch die Polizei) durch sogenannte biometrische Erkennungssysteme zur Echtzeiterkennung im öffentlichen Raum verboten, wie wir sie aus totalitären Staaten wie China kennen. Auch KI-Systeme zur automatisierten Erkennung von Gefühlen, z.B. bei der Vernehmung von Verdächtigen, sollen in der EU untersagt werden.

In dem ursprünglichen Entwurf des KI-Gesetzes waren außerdem Regelungen zur Haftung enthalten. Diese Abschnitte des KI-Gesetzes sind nunmehr gestrichen worden. Die EU-Kommission arbeitet parallel an einer Richtlinie zur Produkthaftung und zur KI-Haftung, die diese Regelungen beinhalten soll. Künstliche Intelligenz wird also voraussichtlich durch einen Komplex von Gesetzen reguliert werden, bei dem das KI-Gesetz aber die zentrale Rolle einnehmen wird.

Derzeit ist besonders der Umgang mit KI-Basismodellen umstritten. KI-Basismodelle sind die Technologien, die hinter generativer KI wie z.B. ChatGPT, GPT-4 oder PaLM stehen. Länder wie Deutschland, Frankreich und Italien sprechen sich gegen eine scharfe Regulierung von KI-Basismodellen aus und möchten die Anbieter nur zu einer Selbstregulierung durch einen Verhaltenskodex verpflichten und daher die bisherigen Regelungen abschwächen. Im Rahmen der weiteren Trilog-Verhandlungen müssen nun Kompromisse gefunden werden.

Was müssen Unternehmen beachten?

Es ist nicht absehbar, ob und inwieweit der Entwurf des KI-Gesetzes im Rahmen der weiteren Trilog-Verhandlungen noch überarbeitet wird. Da bezüglich einiger Details (insbesondere der Regulierung von KI-Basismodellen) noch viel diskutiert wird, ist davon auszugehen, dass noch einige Zeit bis zur Verabschiedung des KI-Gesetzes vergehen könnte. Unternehmen, die KI-Systeme einsetzten, sollten sich regelmäßig über den aktuellen Stand des Gesetzgebungsverfahrens informieren und bereits vorab prüfen, ob die Systeme unter der neuen Regulierung weiterhin eingesetzt werden können und ob sie die jeweiligen Verpflichtungen, insbesondere Transparenzpflichten, einhalten können.

Suche

Kategorien

Schlagwörter

Abmahngate Abmahnung Abnahme agile Projektentwicklung Auftragsverarbeitung B2C BDSG Bitcoin Bussgeld Cloud Computing Cookies Corona Datenhehlerei Datenschutz Datensicherheit DiGA Dokumentation DSGVO E-Commerce E-Mail ePrivacy-Richtlinie EuGH Facebook Gesundheitsanwendungen Influencer internationaler Datentransfer IT-Sicherheitsgesetz Kopieren Marketing PAuswG Personalausweis Privacy Shield Safe-Harbor Scannen Scrum Telemediengesetz TMG Tracking Transparenz Verschlüsselung Videoüberwachung Vorratsdatenspeicherung Werkvertrag Wildkamera WordPress

Autoren