Mit dem AI Act kommt der erste umfassende Rechtsrahmen für KI. Er bringt eine Fülle an regulatorischen Anforderungen für deren Entwicklung und Nutzung. Was auf Unternehmen zukommt, wissen Francois Heynike und Daniel Taraz.
Künstliche Intelligenz (KI) ist schon jetzt kaum noch aus dem Alltag wegzudenken. Die schnelle Entwicklung zugehöriger Software bringt dringenden Regulierungsbedarf in Bezug auf eine sichere und ethische Nutzung mit sich. Der 21. Mai 2024 brachte einen offiziellen Wandel im Hinblick auf die Beachtung von KI in der EU und einen regulatorischen Meilenstein für die EU-Staaten. Mit der Zustimmung des Rates der Europäischen Union kann die weltweit erste umfassende Regulierung von KI, das Gesetz über künstliche Intelligenz (KI-Gesetz bzw. AI Act), in Kraft treten.
Mit einem risikobasierten Ansatz soll der AI Act das Vertrauen der Nutzenden in KI innerhalb der EU stärken und gleichzeitig für alle vom AI Act Betroffenen bessere Voraussetzungen für Innovation schaffen. Danach nehmen die Anforderungen und Pflichten zu, je höher das Risiko eines KI-Systems einzuschätzen ist. Auf Unternehmen, die KI-Systeme bereits einsetzen oder zukünftig einsetzen wollen, kommen Herausforderungen wie Chancen zu.
Der AI Act unterscheidet die Risikoklassen "unannehmbar", "hoch", "gering" und "minimal". Bei der Einordnung geht es vor allem um die Intensität des Eingriffs sowie die Gefahr für die Grundrechte, Gesundheit und Sicherheit der Allgemeinheit. Während KI-Systeme mit einem unannehmbaren Risiko, wie beispielsweise KI zur Bewertung oder Klassifizierung der Vertrauenswürdigkeit natürlicher Personen (sogenanntes Social Scoring), verboten sind, sind KI-Systeme mit hohem Risiko erlaubt, sofern sie die umfassenden Anforderungen des AI Acts, insbesondere an das Risikomanagement, die Dokumentation, Transparenz und Qualität erfüllen. Weniger strenge Anforderungen sind für KI-Systeme vorgesehen, die nur ein geringes oder gar minimales Risiko darstellen.
Der AI Act erfasst auch sogenannte General Purpose AI Models (GPAI), also KI-Modelle mit allgemeinem Verwendungszweck, und bestimmt konkrete Regeln und Pflichten. GPAI können unterschiedlichen Zwecken dienen und als selbstständiges System oder als integrativer Bestandteil anderer Systeme auftreten. Das wohl bekannteste Beispiel dürfte ChatGPT von Open AI sein.
Anwendungsbereich des AI Acts
Von den Regulierungen des AI Acts sind hauptsächlich Anbieter und Betreiber von KI-Systemen betroffen. Aber auch Einführer und Händler, Produkthersteller und Bevollmächtigte von Anbietern werden punktuell vom Regelungsbereich umfasst. Letztlich wird der AI Act so nahezu alle Unternehmen betreffen, die in irgendeiner Art mit KI arbeiten.
Die EU-Staaten haben sich für einen weiten räumlichen Anwendungsbereich durch ein extensives Verständnis des Marktortprinzips entschieden, um die Umgehung der Bestimmungen des AI Acts durch Anbieter in weniger regulierten Drittstaaten zu verhindern. Insofern ist nicht zwangsläufig der Sitz des Unternehmens maßgeblich. So fallen etwa auch Anbieter und Betreiber, die sich zwar in einem Drittland befinden, aber das Ergebnis des KI-Systems in der EU genutzt wird, in den Anwendungsbereich des AI Acts. Sofern die Nutzung des Outputs in der EU maßgeblich ist, dürfte dies künftig jedoch schwer zu kontrollieren sein, da das Ergebnis von KI-Systemen gerade nicht körperlich in der EU ankommt.
Risiken für Unternehmen
Der AI Act stellt Unternehmen nicht nur vor neue Herausforderungen, sondern bringt auch einen immensen und für einige beängstigend wirkenden Umsetzungsaufwand sowie ein hohes Erfordernis an Ressourcen mit sich. Hinzu kommt, dass viele Unternehmen der starken Regulierung von KI kritisch gegenüberstehen und eine zu starke Einschränkung ihrer Innovationsfreiheit befürchten. Solange Überschneidungen zu anderen Regulierungen nicht geklärt sind, könnten einige Unternehmen daher versuchen, die Umsetzung des AI Acts hinauszuzögern, wie es etwa bei der Einführung der Datenschutz-Grundverordnung (DSGVO) teilweise geschehen ist.
Das damit verbundene Risiko für Unternehmen ist hoch. Der AI Act droht, je nach Art des Verstoßes, Sanktionen von bis zu 35 Millionen Euro oder sieben Prozent des Jahresumsatzes an. Dies kann selbst große Unternehmen erheblich belasten, wie Erfahrungen mit vergleichbaren Bußgeldern der DSGVO gezeigt haben. Darüber hinaus bergen ein Sicherheitsvorfall im Zusammenhang mit KI-Systemen und ein Verstoß gegen den AI Act ein Reputationsrisiko.
Fragen der Compliance und Themen rund um ESG sind in den letzten Jahren auch in der Öffentlichkeit zunehmend in den Fokus gerückt. Dies zwingt Unternehmen dazu, sich mit Fragen der Sicherheit und Ethik ihrer Systeme zu befassen. Andernfalls kann der bei Zwischenfällen mit KI-Systemen, etwa hinsichtlich einer Beeinträchtigung der Privatsphäre oder erkannter Reproduzierung diskriminierender Verhaltensmuster, zu erwartende Gegenwind in der Öffentlichkeit horrende Folgen für die eigene Reputation haben. Zudem haben derartige Vorfälle auch regelmäßig Auswirkungen auf das Vertrauen der Gesellschaft in KI generell und damit für die KI und deren Innovation in der EU.
Chancen für Unternehmen
Neben Herausforderungen bringt der AI Act auch Chancen mit sich. Unternehmen haben die Gelegenheit, sich frühzeitig an die Regulierungslage anzupassen und bei der Entwicklung sicherheitsbezogener und ethischer Standards für KI-Systeme am Markt eine Vorreiterrolle einzunehmen. Hieraus kann ein Wettbewerbsvorteil für betroffene Unternehmen entstehen und europäische KI gestärkt werden.
Da der AI Act die erste umfassende Regulierung von KI-Systemen darstellt, könnte dieser eine Art Vorbildwirkung für andere Staaten entfalten und weitere vergleichbare Regulierungen nach sich ziehen. Unternehmen, die dann bereits eine umfassende KI-Governance implementiert haben, haben anderen Marktteilnehmern gegenüber einen zeitlichen Vorsprung und bringen einen umfassenden Erfahrungsschatz im Umgang mit regulierten und sicheren KI-Systemen mit.
Wie geht es weiter?
Der AI Act tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU in Kraft. Diese ist nun jederzeit zu erwarten. Die Wirkung der Bestimmungen nach dem Inkrafttreten ist zeitlich gestaffelt. Während die Allgemeinen Bestimmungen und die Vorschriften für verbotene KI, also solche mit einem unannehmbaren Risiko, (Kapitel I und II) bereits sechs Monate nach Inkrafttreten Geltung entfalten, sind die Bestimmungen aus Kapitel III Abschnitt 4, Kapitel V, Kapitel VII und Kapitel XII zwölf Monate nach Inkrafttreten AI Acts wirksam. Hierunter fallen auch die speziellen Regelungen zu GPAI.
Alle anderen Bestimmungen, insbesondere jene zu Hochrisiko-KI, gelten erst nach 24 Monaten. Letzte Ausnahme: Für die Bestimmungen zur Hochrisiko-KI, die unter Anhang I des AI Acts fällt, gilt eine Übergangsfrist von 36 Monaten ab Inkrafttreten der Verordnung.
Francois Maartens Heynike, Rechtsanwalt, Partner der KPMG Law am Standort Frankfurt am Main und Leiter der Fachgruppe Technologierecht sowie des Bereichs IT- und Datenschutzrecht. Er ist spezialisiert auf die rechtliche Beratung zu allen Fragen der digitalen Transformation und dem Einsatz neuer Technologien.
Dr. Daniel Taraz, Rechtsanwalt, Senior Manager bei KPMG Law am Standort Hamburg und Mitglied der Fachgruppe Technologierecht. Er ist spezialisiert auf die rechtliche Beratung im Bereich IT-, Daten- und Datenschutzrecht, insbesondere in Bezug auf die Ausgestaltung von IT-Projekten und Fragen der digitalen Transformation und neuen Technologien.
Einsatz Künstlicher Intelligenz: . In: Legal Tribune Online, 01.07.2024 , https://www.lto.de/persistent/a_id/54883 (abgerufen am: 13.12.2024 )
Infos zum Zitiervorschlag