Johanna Fischer
Rechtsanwältin bei Haslinger / Nagele Rechtsanwälte. Ihre Tätigkeitsschwerpunkte liegen im Bank- und Kapitalmarktrecht; sie ist Autorin zahlreicher Fachpublikationen.
Die Regulierung künstlicher Intelligenz – Entwurf des Artificial Intelligence Act
Am 21.04.2021 veröffentlichte die EU-Kommission ihren „Vorschlag für eine Verordnung zur Festlegung von harmonisierten Regeln über Künstliche Intelligenz“ (Artificial Intelligence Act, COM/2021/206 final). Der Verordnungsentwurf verfolgt einen risikobasierten Ansatz: Je höher die mit KI-Systemen verbundenen Risiken, desto strikter die regulatorischen Anforderungen. Ob mit dem weltweit ersten Vorschlag eines Rechtsrahmens für KI der Balanceakt zwischen Innovationsförderung einerseits und der Etablierung eines effektiven Rechtsschutzsystems andererseits gelingen wird, ist offen. Zahlreiche unbestimmte Gesetzesbegriffe (z. B. Abgrenzung zwischen KI-Systemen und Software) werfen Auslegungsfragen auf. Angesichts der enormen Strafdrohungen sind weitere Präzisierungen wünschenswert. Nachstehend ein Überblick.
Was ist künstliche Intelligenz?
Der Begriff „System der künstlichen Intelligenz“ („KI-System“) wurde im Verordnungsentwurf weit gefasst: Nicht nur „lernende Systeme“, auch logik- und wissensbasierte Ansätze sowie statistische Methoden und Schätzungen, die anhand festgelegter Ziele Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen schaffen, die ihr Umfeld beeinflussen, gelten als KI-Systeme. Die aufgezeigten Beispiele erfassen nicht nur Hightech-Anwendungen, sondern reichen von Spam-Filtern und Chatbots über Operationsroboter bis zu (verbotenen) Social Scoring-Systemen. Damit stellen sich aber schwierige Abgrenzungsfragen zu „Software“ im Allgemeinen, weil das Gros derartiger Anwendungen aus vielen Bereichen des Beruf- und Privatlebens nicht mehr wegzudenken ist. Unternehmen stehen damit vor der Frage, verwendete KI-Systeme auf (künftige) Vereinbarkeit mit dem neuen Rechtsrahmen prüfen zu müssen.
Risikoklassen von KI / Was ist ein „Hochrisiko-KI-System“?
Allgemein gilt: Je höher das Risiko, desto strenger die Regeln. Zur Klassifizierung von KI sind 4 Risikogruppen vorgesehen:
- Unannehmbares Risiko: KI-Systeme, die eine Bedrohung für die Sicherheit und Rechte der Menschen darstellen, sollen generell verboten sein (z. B. Manipulation von menschlichem Verhalten, Einschränkung des freien Willens, Social Scoring sowie biometrische Fernidentifizierungssysteme; Letztere mit Ausnahmen, z. B. zur Strafverfolgung oder bei terroristischer Bedrohung).
- „Hochrisiko-KI-Systeme“: KI-Systeme, die sich etwa mit (i) biometrischer Identifizierung und Kategorisierung von Personen; (ii) kritischen Infrastrukturen; (ii) allgemeiner und beruflicher Bildung; (iv) Beschäftigung bzw. Zugang zur Selbständigkeit; (v) grundlegenden privaten und öffentlichen Diensten/Leistungen; (vi) Strafverfolgung; (vii) Migration, Asyl und Grenzkontrolle; oder (viii) Rechtspflege und demokratischen Prozessen befassen, sollen künftig als „hochrisikobehaftet“ gelten (so z. B. im Zusammenhang mit Verkehr, Benotungen, Einstellungen/Kündigungen, Beihilfen, Kreditwürdigkeitsprüfungen, Lügendetektoren, Ermittlung und Auslegung von Rechtsvorschriften).
- Geringes Risiko: An KI-Systeme, die nicht als „hochrisikobehaftet“ gelten, aber der Interaktion mit (natürlichen) Personen dienen (z. B. Chatbots), werden besondere Transparenzanforderungen gestellt. Den Nutzern soll klar sein, dass sie es mit einem KI-System zu tun haben.
- Minimales Risiko: Als Beispiele werden z. B. Videospiele, Spamfilter genannt; diese Anwendungen sollen von der Verordnung nicht erfasst werden.
Welche Anforderungen werden an „Hochrisiko-KI-Systeme“ gestellt?
“Hochrisiko-KI-Systeme“ sollen vor Markteintritt durch ihre Anbieter einer Konformitätsprüfung samt Zertifizierung (CE-Kennzeichnung) und EU-Konformitätserklärung unterzogen werden, die je nach System unterschiedlich ausgestaltet ist. Der Verordnungsvorschlag sieht zudem eine Vielzahl von allgemeinen Anforderungen an „Hochrisiko-KI-Systeme“ vor (z. B. Risiko-Managementsystem, Daten-Governance, Aufzeichnungspflichten, Transparenzpflichten, menschliche Aufsicht und Cybersicherheit). Diese Pflichten treffend überwiegend die Anbieter von KI-Systemen; Verpflichtungen der Nutzer erfassen insbesondere den ordnungsgemäßen Betrieb und die Überwachung von KI-Systemen sowie besondere Aufbewahrungspflichten.
Werden von der künftigen Verordnung auch bestehende KI-Systeme betroffen sein?
Die gute Nachricht ist: Bestehende KI-Systeme sind vom Anwendungsbereich nicht erfasst, wenn diese bereits vor Geltungsbeginn in Verkehr gebracht bzw. in Betrieb genommen wurden. Die schlechte Nachricht: Dann, wenn diese Systeme später „wesentliche Änderungen“ in ihrer Konzeption oder Zweckbestimmung erfahren, unterliegen sie der Verordnung. Eine „wesentliche Änderung“ liegt vor, wenn sich diese auf die Konformität „auswirkt“ oder zu „Änderungen“ der Zweckbestimmung des KI-Systems führt. Konkretisierungen wird man auch hier noch abwarten müssen, zumal es ja das Wesen von KI ist, dass es zu Änderungen (hinsichtlich lernender Systeme) kommt.
Wann gelten die neuen Bestimmungen?
Ein konkreter Zeitrahmen für die Verabschiedung wurde nicht bekanntgegeben, erfahrungsgemäß kann es 18 – 24 Monate dauern, bis eine EU-Verordnung in Kraft tritt.
Haben Sie Fragen zum Thema?
Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.