KI-VERORDNUNG UND KI-RICHTLINIE
So plant die EU Künstliche Intelligenz zu regulieren
Mit der KI-VO und einer RL über KI-Haftung plant die EU, zukünftig die Verwendung von Künstlicher Intelligenz zu regulieren. Der Strafrahmen ist hoch. Unternehmen sollten sich daher bereits jetzt mit den möglichen Folgen auseinandersetzen, meint MANZ-Fachautor Fabian Herbst.
Mit der DSGVO setzte die Europäische Union einen weltweiten Goldstandard im Bereich des Datenschutzes. Die Datenschutz-Grundverordnung wirkt sich schon jetzt auf Systeme Künstlicher Intelligenz aus, sofern diese personenbezogene Daten verwenden. Mit der geplanten KI-Verordnung und der Richtlinie über KI-Haftung könnte dieser Standard bald erweitert und verfeinert werden. Beide sind momentan noch nicht verbindlich.
Überblick:
Regulierung durch die KI-Verordnung
Anwendungsbereich und Verpflichtete der KI-VO
„Die KI-Verordnung sieht einen Strafrahmen von bis zu 30 Millionen Euro oder bis zu sechs Prozent des weltweiten Jahresumsatzes vor.“
FABIAN HERBST, MANZ-FACHAUTOR
Regulierung durch die KI-Verordnung
Praktisch relevant für Unternehmen ist die KI-VO aufgrund potenzieller hoher Strafrahmen von bis zu 30 Millionen Euro oder bis zu sechs Prozent des weltweiten Jahresumsatzes. Die geringste Strafe beträgt bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes. Bei KMU ist die Höchststrafe auf bis zu drei Prozent des weltweiten Jahresumsatzes begrenzt. Parallel dazu sind Strafen nach der DSGVO aufgrund anderer Verstöße möglich, die zusätzlich bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes betragen können.
Damit die KI-VO anwendbar ist, muss einerseits ein KI-System nach der KI-VO vorliegen und andererseits ein Unionsbezug bestehen. Der Unionsbezug wird – wie bereits in der DSGVO – durch das Marktortprinzip und das Niederlassungsprinzip festgesetzt.
Anwendungsbereich und Verpflichtete der KI-VO
KI-Systeme definiert die KI-Verordnung als teilautonome Systeme, die basierend auf maschinell und/oder menschlich bereitgestellten Daten und Eingaben darauf schließen, wie man vorgegebene Ziele erreichen kann, um systemgenerierte Ergebnisse zu erstellen – beispielsweise konkrete Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen. Darüber hinaus müssen solche Systeme dazu einerseits Machine Learning und/oder logik- und wissensbasierte Ansätze verwenden sowie die Umgebung beeinflussen, mit der sie interagieren.
Die KI-Verordnung verpflichtet verschiedene Mitglieder der Lieferkette von KI-Systemen. Die umfangreichsten Pflichten sieht sie für den Anbieter vor. Anbieter sind jene Personen, die ein KI-System entwickeln oder entwickeln lassen, um es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr zu bringen oder in Betrieb zu nehmen. Für Nutzer:innen, Importeur:innen, Händler:innen, Bevollmächtigte und Produkthersteller:innen sieht die KI-VO verringerte Pflichten vor, wobei es sich hauptsächlich um Kontroll- und Überwachungspflichten handelt.
Ausnahmen ihres Anwendungsbereichs sieht die KI-VO beispielsweise für militärische Zwecke, nationale Sicherheit, Strafverfolgung, rein wissenschaftliche Zwecke sowie für Behörden von Drittländern und internationale Organisationen vor. Rein private Zwecke sind grundsätzlich ebenfalls ausgenommen, wobei für solche KI-Systeme trotzdem Transparenzpflichten gelten – und zwar dann, wenn sie Menschen besonders stark beeinträchtigen können (zum Beispiel Emotionserkennung oder Deep Fakes).
KI-Systeme: Einteilung
Die KI-Verordnung unterscheidet zwischen verbotenen Praktiken, Hochrisiko-KI-Systemen und Allzweck-KI-Systemen. Grundsätzlich verboten sind vier Praktiken: unterschwellige Beeinflussung, Manipulation von Personen in vulnerablen Situationen, Social Scoring und biometrische Echtzeitüberwachung, wobei Mitgliedstaaten für Letztere über einen gewissen Spielraum verfügen.
Hochrisiko-KI-Systeme teilt die Verordnung in zwei Fallgruppen. Erstens liegen Hochrisiko-KI-Systeme vor, wenn sie an sich schon ein hohes Risiko darstellen – etwa wenn KI-Systeme biometrische Daten verarbeiten oder wenn sie kritische Infrastruktur, das Arbeitsverhältnis, grundlegende Versorgungsdienstleistungen, die Exekutive sowie Migrations- und Asylverwaltung betreffen. Keine Hochrisiko-KI-Systeme sind die genannten KI-Systeme jedoch, wenn sie eine bloß nebensächliche Funktion haben. Zweitens liegen Hochrisiko-KI-Systeme vor, wenn KI-Systeme selbst Produkte (oder Sicherheitskomponenten von Produkten) sind und einer Konformitätsbewertung durch Dritte unterzogen werden müssen.
Allzweck-KI-Systeme werden nicht für einen bestimmten Zweck trainiert und sind somit variabel nutzbar. Vereinfacht dargestellt, müssen Allzweck-KI-Systeme ähnlichen Voraussetzungen wie Hochrisiko-KI-Systeme entsprechen, wenn sie potenziell hochriskant sind. Sie fallen jedoch nicht unter die KI-VO, wenn deren Anbieter:innen in gutem Glauben angeben, dass ein KI-System praktisch nicht hochriskant ist.
Pflichten für Hochrisiko-KI-Systeme
Überblicksartig dargestellt, müssen Hochrisiko-KI-Systeme über ein Risikomanagementsystem, qualitativ hochwertige Daten, eine technische Dokumentation sowie Genauigkeit, Robustheit und Cybersicherheit verfügen. Darüber hinaus gibt es Aufzeichnungs-, Transparenz- und Informationspflichten sowie die Pflicht, die Entwicklung von KI-Systemen menschlich zu überwachen.
Die meisten dieser Pflichten treffen Anbieter:innen. Diese müssen beispielsweise sicherstellen, dass ein KI-System der KI-VO entspricht, eine angemessene Konformitätsbewertung durchgeführt wird und das KI-System vor der ersten Verwendung oder Bereitstellung registriert wird. Anbieter:innen sind auch für die laufende Überwachung nach dem Inverkehrbringen sowie Berichterstattungen und etwaige Korrekturmaßnahmen verantwortlich. Dabei müssen sie sicherstellen, dass die Nutzung innerhalb der Zulassung des KI-Systems bleibt. Zudem müssen sie das KI-System laufend auf etwaige negative Auswirkungen kontrollieren.
Importeur:innen, Händler:innen und Bevollmächtigte spielen eine sekundäre Rolle. Sie müssen sicherstellen, dass die Konformitätsbewertungen nach der KI-VO durchgeführt wurden, und gegebenenfalls Maßnahmen ergreifen, um Verletzungen der KI-VO vorzubeugen.
Richtlinie über KI-Haftung
Parallel zur KI-Verordnung veröffentlichte die Europäische Kommission den Entwurf einer Richtlinie über KI-Haftung. Diese normiert eine Kausalitätsvermutung für Schäden, die durch die Sorgfaltswidrigkeit einer Anbieter:in oder Nutzer:in eines KI-Systems durch dieses entstehen. Prinzipiell müssen drei Voraussetzungen vorliegen, um die Kausalitätsvermutung beanspruchen zu können: erstens der Nachweis einer Sorgfaltswidrigkeit (die das Gericht bei verweigerter Offenlegung von Beweismitteln nach der RL über KI-Haftung annimmt). Zweitens muss sich diese Sorgfaltswidrigkeit nach vernünftigem Ermessen auf das schädigende Ergebnis des KI-Systems auswirken und drittens muss das Ergebnis des KI-Systems schädigend sein
Darüber hinaus können Kläger:innen von Anbieter:innen oder Nutzer:innen nach der KI-VO gerichtlich die Offenlegung von Beweismitteln verlangen, auch wenn Letztere (noch) keine Verfahrensparteien sind. Das ist allerdings nur dann möglich, wenn die/der Kläger:in den Schadenersatzanspruch plausibel belegt sowie die/den Anbieter:in oder Nutzer:in bereits vergeblich aufgefordert hat, einschlägige Beweismittel bezüglich eines Hochrisiko-KI-Systems offenzulegen. Gerichte haben abzuwägen, in welchem Umfang sie eine solche Offenlegung anordnen. Kommt der Beklagte einer gerichtlich angeordneten Offenlegung nicht nach, so wird vermutet, dass er gegen Sorgfaltspflichten verstoßen hat, was sich wiederum auf den Schadenersatzanspruch auswirkt.
Bearbeiteter Auszug des Fachbeitrags „KI-Verordnung – die Regulierung Künstlicher Intelligenz“ von Fabian Herbst. Der vollständige Beitrag beinhaltet Begriffsdefinitionen und detaillierte Ausführungen zur KI-VO und zur Richtlinie über KI-Haftung. Sie finden diesen in der Printausgabe 2/2023 der MANZ-Zeitschrift für Wirtschaftsrecht „ecolex“.
