Künstliche Intelligenz (KI) ist in aller Munde. Vor dem Hintergrund ihrer zunehmenden Nutzung soll der Artificial Intelligence Act (AIA) den Rechtsrahmen mittels eines sektoralen und risikobasierten Regulierungsansatzes bilden. Damit sollen Unternehmen in die Lage versetzt werden, die Wettbewerbsvorteile der KI-Technologie zu nutzen und die Wirtschaft im Binnenmarkt zu stärken. Der AIA richtet sich sowohl an Anbieter:innen, die solche KI-Systeme auf den Markt bringen (unabhängig davon, wo der/die Anbieter:in niedergelassen ist), als auch an deren Nutzer:innen, die sich in der EU befinden (gemeint sind die Unternehmen, die das System betreiben). Die Bestimmungen des AIA gelten auch für Anbieter:innen oder Nutzer:innen von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das von dem System erzeugte Ergebnis in der Union genutzt wird.
Definition von Künstlicher Intelligenz:
Für den Geltungsbereich des AIA ist von zentraler Bedeutung, was unter KI zu verstehen ist. Die weite Definition in Art. 3 Nr. 1 des Kommissionsentwurfs erfasst im Ergebnis nahezu jedes Computerprogramm. Um absurden Ergebnissen vorzubeugen (man denke nur an einen Taschenrechner), wurden Überlegungen angestellt, den weiten Anwendungsbereich einzuschränken. Der Rat der EU hat sich dafür ausgesprochen, dass ein System nur dann unter die AIA fallen sollte, wenn es autonome Elemente enthält (…) und unter Verwendung von maschinellem Lernen und/oder logik- und wissensbasierten Ansätzen entscheidet, wie ein bestimmter Satz definierter Ziele erreicht werden kann. Das EU-Parlament wiederum möchte KI als ein System definieren, das so konstruiert ist, dass es mit unterschiedlichen Graden an Autonomie arbeitet und für explizite oder implizite Zwecke Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann, die Auswirkungen auf die physische oder virtuelle Umgebung haben können. Aus diesen Vorschlägen geht hervor, dass ein autonomes und adaptives System erforderlich ist, damit KI vorliegt.
Risikobasierter Regulierungsansatz im AIA:
Der AIA verfolgt einen risikobasierten Regulierungsansatz. Je höher das Risiko, das von einem System ausgeht, desto strenger sind die Anforderungen, an denen sich das System messen lassen muss. Der AIA trifft insbesondere Vorschriften für Systeme mit hohem Risiko (vgl. Art. 6 und Anhänge II und III). Für diese Systeme ist ein umfangreiches Pflichtenprogramm vorgesehen (z.B. Risikomanagement, Data Governance, Design-Vorgaben). Derzeit wird noch diskutiert, ob Large Language Models wie ChatGPT in diese Kategorie fallen und ob Ausnahmen vorgesehen werden sollen.
Für KI-Systeme mit geringem Risiko gelten Transparenzpflichten, wenn sie mit Menschen interagieren (z.B. durch Chatbots oder Emotionserkennung) oder bestimmte Inhalte erstellen (Art. 52). Unterhalb dieser Schwelle (minimales Risiko) greifen keine Verpflichtungen, aber es können freiwillige Verhaltenskodizes (Art. 69) statuiert werden. Systeme, die mit dem Wertesystem der EU unvereinbar sind, wie z.B. Social Scoring Systeme oder die biometrische Fernidentifikation in Echtzeit im öffentlichen Raum zu Strafverfolgungszwecken, sind gänzlich verboten.
Nationale Aufsicht, Bußgelder und aktueller Stand:
Die Überwachung der betreffenden KI-Anwendungen soll durch die nationalen Aufsichtsbehörden erfolgen. Sie sind es auch, die etwaige Bußgelder verhängen, deren Schwellenwerte im AIA geregelt sind. Die Sanktionen können maximal 30 Mio. EUR oder 6 % des weltweiten Jahresumsatzes betragen.
Zum Kommissionsentwurf vom 21. April 2021 hat der Rat der EU im Dezember 2022 einen gemeinsamen Standpunkt („allgemeine Ausrichtung“) festgelegt. Auch das Parlament hat sich im Sommer 2023 positioniert. Derzeit stehen noch die Trilogverhandlungen aus. Aus heutiger Sicht ist mit einem Inkrafttreten des AIA ca. im Jahr 2024 und einer anschließenden zweijährigen Umsetzungsfrist zu rechnen. Mit einer Anwendung der Vorgaben des AIA ist daher erst ab 2027 zu rechnen.
Notwendige Maßnahmen und Compliance-Management für Unternehmen:
Bis dahin ist es für betroffene Unternehmen ratsam, interdisziplinäre Teams zu bilden und die „KI-Assets“ zu identifizieren. Um später aufwändige Nachdokumentationen und Zwangsabschaltungen von Systemen zu vermeiden, ist es zudem ratsam, ein KI-Compliance-Management-System zu implementieren bzw. die Compliance-Anforderungen aus dem AIA in bestehende Compliance-Prozesse und -dokumente zu integrieren. Ein besonderes Augenmerk sollten Unternehmen in ihren KI-Konzepten auf „Explainable Artificial Intelligence“ (XAI) legen. Da die Förderung von Innovationen im Bereich KI eng mit den anderen digitalen Rechtsakten verknüpft ist, empfiehlt es sich zudem, die Anforderungen der anderen Verordnungen im Blick zu behalten.