Artificial intelligence Act – Pflichten von Unternehmen

PrintMailRate-it

veröffentlicht am 6. Dezember 2023 | Lesedauer ca. 3 Minuten


Spätestens mit der Veröffentlichung von ChatGPT ist die Debatte rund um Künstliche Intelligenz (KI) in der Mitte der Gesellschaft angekommen. Einige Ethiker und Politiker forderten bereits einen Entwicklungsstopp, damit die Gesellschaft Zeit gewinnt, auf die neuen Chancen und Risiken zu reagieren. Hierzu wird auch eine gesetzliche Regulierung von Anwendungen mit künstlicher Intelligenz diskutiert. Der europäische Gesetzgeber hat die Notwendigkeit einer gesetzlichen Regelung bereits erkannt und will mit dem AI Act (in Deutschland auch als KI-Verordnung bekannt) als weltweit erstes umfassendes KI-Gesetz den nötigen Rechtsrahmen schaffen.



Das Parlament der Europäischen Union (EU) hat am 14.6.2023 – als Teil ihrer Digital-Strategie – seine Position zur KI-Verordnung verabschiedet. Wir stellen Ihnen die wichtigsten Inhalte dieser Verordnung vor und zeigen Ihnen, was Sie beachten müssen, sobald die KI-Verordnung in Kraft getreten ist.


Das Ziel der KI-Verordnung

Der aktuelle Entwurf der KI-Verordnung fokussiert auf die spezifische Nutzung von KI-Systemen und die damit verbundenen Risiken. Das Ziel der KI-Verordnung ist die Schaffung eines rechtlichen Rahmens, durch den nach Angabe des Europaparlaments eine „menschenzentrierte und ethische Entwicklung von Künstlicher Intelligenz garantiert“ und damit das Vertrauen der Bürger in KI-Systeme gestärkt werden soll. Das Parlament will mit dem Gesetzentwurf sicherstellen, dass KI-Systeme von Menschen überwacht werden und sicher, transparent, nach­voll­zieh­bar, nicht diskriminierend und umweltfreundlich sind. Außerdem soll eine einheitliche und tech­no­lo­gie­neu­tra­le KI-Definition ihren Weg in das Gesetz finden, sodass die Verordnung für KI-Systeme von heute auch morgen noch gelten kann.

Durch die mit der Regulierung geschaffenen Rechtsrahmen und Rechtssicherheit soll ferner ein Anreiz für Unternehmen geschaffen werden, Innovationen im Bereich der KI-Technologien innerhalb der EU zu entwickeln und so die Wettbewerbsfähigkeit von KI-Systemen „Made in Europe“ zu stärken.


Regelungen durch die KI-Verordnung

Hinsichtlich des Umfangs der gesetzlichen Auflagen werden in der vom EU-Parlament verabschiedeten Fas­sung vier verschiedene Risikoklassen gebildet. Je risikobehafteter ein KI-System ist, desto höhere Trans­pa­renz­an­for­derungen und andere Pflichten müssen eingehalten werden.

KI-Systeme, die beispielsweise sog. Social Scoring und biometrische Gesichtserkennung durch die Polizei ermöglichen und solche, von denen eine Gefahr für die Gesundheit von Menschen ausgeht, sind – unter Vorbehalt von Ausnahmen – verboten.

Hochrisiko-KI-Systeme müssen in einer EU-Datenbank registriert werden. Vor dem Inverkehrbringen und während des Lebenszyklus werden diese Systeme hinsichtlich ihres Risikos bewertet. Je nach Bewertung werden den Anbietern verschiedene Pflichten auferlegt. Dies betrifft KI-Systeme, die beispielsweise im Betrieb von kritischer Infrastruktur, beim autonomen Fahren oder bei biometrischen Identifizierungen von Personen genutzt werden. Diesen Anwendungsbereichen ist gemein, dass sie potenziell im hohen Maße die Gefahr in sich tragen, sich negativ auf Rechte und Freiheiten von Personen auszuwirken.

Programme, die Inhalte generieren (beispielsweise ChatGPT), müssen u. a. offenlegen, dass ihr Inhalt durch KI generiert wurde. Durch diese Transparenzpflichten bezweckt die EU, dass durch KI erzeugte manipulative Inhalte (wie beispielsweise sog. Deepfakes) für den Nutzer erkennbar werden. Darüber hinaus müssen Anbieter solcher Programme die Daten veröffentlichen, die für das Training der KI verwendet wurden und dafür sorgen, dass kein rechtswidriger Inhalt erzeugt wird.

Besteht nur ein geringes Risiko – wie etwa beim Einsatz von Chatbots –, muss das System den Nutzer durch Hinweise darauf aufmerksam machen, dass dieser mit KI interagiert.


Der Anwendungsbereich der KI-Verordnung

Die KI-Verordnung trifft jedes Unternehmen, das in der Europäischen Union KI-Systeme entwickelt oder dessen angebotene Produkte oder Dienstleistungen auf KI-Basis beruhen. Auch wer Ergebnisse von KI-Systemen nutzt, ist vom Anwendungsbereich erfasst.


Stand des Gesetzgebungsverfahrens

Nachdem das EU-Parlament seine Verhandlungsposition zur KI-Verordnung bereits angenommen hat, wird der Text derzeit in den sogenannten Trilog-Verhandlungen zwischen der Kommission und den Mitgliedsstaaten im Rat abgestimmt. Eine Einigung wird bis Ende 2023 erwartet. Kommt sie zustande, tritt die KI-Verordnung in Kraft und ist – mit wenigen Ausnahmen – nach einer Übergangsfrist von 24 Monaten in der gesamten EU unmittelbar anwendbar.


Die beste Vorgehensweise für Unternehmen

Unternehmen sollten sich mit den Bestimmungen und Anforderungen der KI-Verordnung vertraut machen, nicht nur wenn sie KI-Entwickler oder -Anbieter sind, sondern auch wenn sie Nutzer und Betreiber von KI-Systemen sind oder werden wollen. Aktuell ist der Anwendungsbereich der KI-Verordnung sehr weit gefasst, sodass viele Unternehmen mit der Einhaltung der neuen Regelungen konfrontiert werden. So fällt beispielsweise schon der Betrieb eines Chatbot in den Anwendungsbereich der geplanten Verordnung. Bei Nichteinhaltung der Re­gu­la­rien drohen erhebliche Geldstrafen von bis 40 Mio. EUR oder bis zu sieben Prozent des gesamten weltweiten Umsatzes des vorangegangenen Geschäftsjahres. Unternehmen sollten daher das weitere Verfahren beo­bach­ten und sich frühzeitig mit den auf sie zukommenden Pflichten auseinandersetzen.

Dies bedeutet, dass jedes Unternehmen zunächst die bei ihm zum Einsatz kommenden KI-Systeme als solche identifizieren und entsprechend den Risikoklassen klassifizieren muss. Hieraus ergeben sich dann die ent­sprechen­den nach der KI-Verordnung einzuhaltenden Pflichten. Diese Anforderungen müssen umgesetzt und  dokumentiert werden.

Daneben sollten Unternehmen berücksichtigen, dass es neben der KI-Verordnung bereits jetzt diverse recht­li­che und regulatorische Vorgaben für den Einsatz von KI gibt. Insbesondere beim Einsatz von sogenannter generativer KI wie ChatGPT müssen neben wichtigen arbeitsrechtlichen Anforderungen (Stichwort Mit­be­stim­mung des Betriebsrats, Betriebsvereinbarung oder KI-Unternehmensrichtlinie) die gesetzlichen Vorgaben des Datenschutzes, des Urheberrechts oder des Schutzes von Geschäftsgeheimnissen eingehalten werden.

Deutschland Weltweit Search Menu