Im Mai 2024 verabschiedet und ab dem 01.08.2024 in Kraft: Der sog. AI Act reguliert als in allen EU-Staaten unmittelbar geltende Verordnung den Einsatz künstlicher Intelligenz auch in Unternehmen. Es sollen nur sichere und vertrauenswürdige KI-Systeme zum Einsatz kommen. Unternehmen müssen teilweise bereits in 6 Monaten ab dem 02.05.2025 erste Regeln befolgen. ECC Clubmitglied Rechtsanwalt Rolf Becker erläutert, warum und wie sich Unternehmen auf die neuen Regeln einstellen müssen.
KI Einsatz erst gestartet
KI Anwendungen machen aufgrund der Nachrichtenlage den Eindruck, als ob sie uns bereits überschwemmt hätten. Tatsächlich setzen erst 13 Prozent der Unternehmen KI ein, weitere 33 Prozent planen oder diskutieren es. Da scheint noch viel Luft nach oben. Dennoch, der Gesetzgeber stößt hier mit seiner innovativen Verordnung in eine kaum abschätzbare Dynamik hinein und läuft natürlich Gefahr, KI-Innovationen durch eine zu enge Regulatorik abzuwürgen.
Zweck der KI-Verordnung
Durch die geplanten Vorschriften der KI-VO soll sichergestellt werden, dass KI-Systeme in der EU sicher, transparent, ethisch, unparteiisch und unter menschlicher Kontrolle sind. Hierzu werden in erster Linie die Hersteller in die Pflicht genommen, aber auch die Nutzenden. Sie richtet sich auch an Anbieter und Nutzer:innen in Drittländern außerhalb der EU, wenn die Ergebnisse des KI-Einsatzes in der EU verwendet werden. KI-Systeme für ausschließlich militärische Zwecke sind ausgenommen. Es sind abgestufte Umsetzungsfristen vorgesehen (6, 12 und 24 Monate). Fristen, Verbote und Vorgaben basieren auf Risikoeinstufungen.
Einige Praktiken werden weitgehend verboten.
Verbot bestimmter Einsatzpraktiken
Ab 02. 02.2025 gelten Verbote einzelner Praktiken im Bereich der künstlichen Intelligenz (Art. 5 KI-VO)
- Unterschwellige, den Betroffenen unbewusste wesentliche Verhaltensbeeinflussung mit Schadenspotential,
- Einsatz von KI-Systemen zur Ausnutzung von Schwächen oder Schutzbedürftigkeit von Personen aufgrund Alter oder geistiger Behinderung zu einer wesentlichen Verhaltensbeeinflussung, die dadurch Schadenspotential haben (z.B. Beeinflussung von Kindern und Behinderten),
- KI-Systeme zum Scoring der Vertrauenswürdigkeit von Personen auf der Basis von Daten zu sozialem Verhalten oder persönlicher Eigenschaften oder Persönlichkeitsmerkmalen mit Folgen der zusammenhanglosen, ungerechtfertigten oder unverhältnismäßigen Schlechterstellung oder Benachteiligung („China-Social Scoring“),
- KI-Einsatz zur Personenidentifizierung (z.B. Gesichtserkennung) in öffentlich zugänglichen Räumen für die Strafverfolgung, soweit nicht unbedingt erforderlich, um potentielle Opfer von Straftaten zu suchen, vermisste Kinder zu finden, zur Abwehr von unmittelbar personengefährdenden Terroranschlägen oder der Verfolgung bestimmter Straftaten
Hochrisikosysteme unterliegen besonderen Vorgaben
Sprachmodelle wie ChatGPT und Übersetzungsprogramme wie DeepL zählen zur Gruppe der breit einsetzbaren General Purpose AI: (für allgemeine Zwecke). Wer Hochrisiko-KI-Systeme herstellt (z.B. Bonitätsprüfungssysteme), muss Vorgaben für ein Risikomanagementsystem, die Dokumentation und Qualitätsanforderungen zum Training und Betrieb der KI einhalten und dazu die Systeme Konformitätsbewertungen unterwerfen. Für das Training dürfen im Einzelfall sogar besondere Kategorien personenbezogener Daten verarbeitet werden. Zudem müssen sie nach dem Inverkehrbringen die Systeme weiter systematisch beobachten. Ferner müssen die Nutzer:innen transparent informiert werden und hierzu die Gebrauchsanweisungen entsprechend ausgestaltet sein.
Pflichten der Händler und Nutzer:innen
Händler müssen Prüfungen vornehmen (Art. 27 KI-VO) und Lagerung und Transport so ausgestalten, dass die Konformität der Systeme nicht beeinträchtigt wird.
Den Nutzer:innen und damit den Unternehmen, die KI-gestützte Applikationen einsetzen, werden ebenfalls Pflichten auferlegt, die im Kapitel 3 der Verordnung festgelegt werden. Insbesondere in Art. 29 und 52 werden die Nutzenden angesprochen. Sie müssen u.a. dafür sorgen, dass die
- Eingabedaten der Zweckbestimmung des Hochrisiko-KI-Systems entsprechen,
- den Betrieb anhand der Gebrauchsanweisung überwachen,
- ggf. Händler, Anbieter und auch Marktüberwachungsbehörden von Vorfällen, Fehlfunktionen und unvorhergesehenen Risiken unterrichten,
- behördlich vorgesehene Korrekturmaßnahmen zur Beseitigung von Fehlern und Risiken umsetzen,
- Protokolle, die von den Systemen bereitgestellt werden, aufbewahren und
- die Informationen der Anbieter im Rahmen von ggf. notwendigen Datenschutzfolgeabschätzungen verwenden,
- bei bestimmten Systemen die betroffenen Personen vom Betrieb informieren (Emotionserkennung),
- bei KI-erzeugten Bild, Ton- oder Videosignalen die täuschen (Deepfake) die Erzeugung durch KI offenlegen.
Konforme Risiko-KI-Systeme
Neben Hochrisikosystemen kennt die Verordnung auch die Gruppe der konformen Risiko-KI-Systeme (Art. 67). Dabei handelt es sich um Systeme, die trotz Konformität noch ein Risiko für die Gesundheit oder Sicherheit oder Rechte von Personen sowie die Einhaltung von Unionsrecht bergen. Auch hier können die Marktüberwachungsbehörden Akteure auffordern, fristgerecht Korrekturen umzusetzen.
Sanktionen
Die Mitgliedsstaaten sind nach Art. 99 aufgerufen, „Vorschriften für Sanktionen und andere Durchsetzungsmaßnahmen, zu denen auch Verwarnungen und nichtmonetäre Maßnahmen gehören können“, zu erlassen, die sich gegen die sog. „Akteure“ richten. Hier gilt: „Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein, aber die Interessen von kleinen und mittleren Unternehmen, einschließlich Start-up-Unternehmen einschließlich deren wirtschaftliches Überleben berücksichtigen (Art. 99 Abs.1). Vorgesehen sind je nach Art und Schwere des Verstoßes Geldbußen von bis zu 35 000 000 EUR oder – im Falle von Unternehmen – von bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
Verstöße gegen Pflichten der Anbieter nach Art. 16 (z.B. fehlende Qualitätssicherung oder Dokumentation) und der Händler nach Art. 24 (z.B. fehlende CE-Kennzeichnungsprüfung) und der Betreiber von Hochrisikosystemen nach Art. 26 (z.B. fehlende menschliche Überwachung) werden „nur“ mit 15 Mio. Euro bzw. 35 % des gesamten weltweiten Umsatzes bestraft.
KI-Amt der EU
Natürlich gibt es auch Verwaltung dazu. Die EU-Kommission hat am 29. Mai 2024 das neue KI-Amt vorgestellt (siehe Presse-Mitteilung). Das Amt soll mit 140 Mitarbeitern unter wissenschaftlicher Leitung die Entwicklung von künstlicher Intelligenz so beeinflussen, dass der gesellschaftliche und wirtschaftliche Nutzen bei Minderung von Risiken gesteigert wird und es wird an der Durchsetzung der KI-Verordnung beteiligt sein. Das KI-Amt arbeitet derzeit an Leitlinien zur Definition von KI-Systemen und zu den KI-Verboten, die beide innerhalb von sechs Monaten nach dem Inkrafttreten des KI-Gesetzes vorzulegen sind.
Bis zum 2. August 2025 müssen die Mitgliedstaaten ein Durchführungsgesetz erlassen, in dem unter anderem allgemeine Marktüberwachungsbehörden für die Durchsetzung der KI-VO benannt werden. Dazu zählen u.a. die Datenschutzbehörden (siehe DSK-Beschluss v. 03.05.2024).
KI und Datenschutz
Der Europäische Datenschutzbeauftragte (EDSB) hat am 3. Juni 2024 als unabhängige Datenschutzaufsichtsbehörde der EU seinen Leitfaden für Institutionen, Organe und Einrichtungen der EU zum Umgang mit generativer KI veröffentlicht. Der Leitfaden enthält konkrete Anwendungsbeispiele für den Umgang mit KI-Systemen.
Erstes Fazit
Als Nutzer potentiell der Regelung unterfallender Software sollten Unternehmen sich schon jetzt einen Überblick verschaffen. Nutzen Sie Ihre Software-Asset-Management-Systeme für Lizenzprüfungen dazu. Dort dürfte Ihre eingesetzte Software vollständig aufgelistet sein. Bei kleinen Unternehmen ist das der Lizenzordner. Treffen Sie Feststellungen, welche Software KI-Komponenten aufweist und welche davon Sie einsetzen. Stellen Sie sich darauf ein, betroffene Personen, wie Bewerber:innen, Mitarbeiter:innen oder Kund:innen vom Einsatz zu unterrichten. Hier haben Sie 12 Monate Zeit (General Purpose AI). Wer etwa bei den Kleidergrößen automatisiert durch KI bei einem Webseitenbesuch beraten wird, soll dann erfahren, dass er nicht mit einem Menschen spricht. Halten Sie fest, welche Angaben der Hersteller der Software zur KI macht und ob er Nachweise, etwa zur Rechtmäßigkeit des Trainings der KI angibt oder Zertifizierungen.
ÜBER DEN AUTOR
Rechtsanwalt Rolf Becker war bis Ende 2023 Partner und Mitbegründer der Rechtsanwaltssozietät Wienke & Becker – Köln, die mit Ablauf des Jahres 2023 beendet wurde. Er ist Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht, insbesondere im Fernabsatz. Als Mitglied im ECC-Club kommentiert Rechtsanwalt Becker für das ECC Köln regelmäßig aktuelle Urteile zum Onlinehandel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen.
RA Becker auf Twitter: http://twitter.com/rolfbecker
PRESSEHINWEISE
Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker / ECC Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!