Am 12. Juli 2024 wurde die KI-Verordnung (EU) 2024/1689, auch AI Act genannt, nach langen Verhandlungen im Amtsblatt der Europäischen Union veröffentlicht. Sie ist am 1. August 2024 in Kraft getreten. Mit der neuen Verordnung kommen umfangreiche Anforderungen auf Unternehmen zu. Erste Anforderungen müssen Unternehmen bereits ab dem 2. Februar 2025 erfüllen. Viele weitere Anforderungen gelten ab dem 2. August 2026.
Ziel der KI-Verordnung
Mit der KI-Verordnung soll in der EU ein Rechtsrahmen für den sicheren und transparenten Einsatz von KI-Systemen geschaffen werden. Darunter fallen Systeme, die mit einem gewissen Grad an Autonomie agieren, anpassungsfähig sind und aus Eingaben Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen generieren können. Zu den besonders kontrovers diskutierten Anwendungsbereichen gehören nicht nur Chatbots wie ChatGPT oder Microsoft Copilot, sondern auch Technologien wie die KI-gestützte Gesichtserkennung, die beispielsweise bei den Olympischen Spielen in Paris zum Einsatz kommt.
Risikobasierter Ansatz
Die KI-Verordnung verfolgt einen risikobasierten Ansatz und unterscheidet zwischen verbotener KI, Hochrisiko-KI, General Purpose AI (GPAI) sowie KI mit geringem oder minimalem Risiko. Je höher das Risiko eines KI-Systems ist, der Gesellschaft Schaden zuzufügen, desto strenger sind die Anforderungen der KI-Verordnung. Bereits ab dem 2. Februar 2025 sollen Anwendungen mit inakzeptablem Risiko, wie zum Beispiel Social Scoring, verboten sein. Kernstück der KI-Verordnung sind die Vorgaben für Hochrisiko-KI, die ab dem 2. August 2026 gelten. Die Regelungen für GPAI, zu denen auch Large Language Models (LLM) gehören, gelten ab dem 2. August 2025. Die Verordnung sieht unter anderem Transparenzpflichten, menschliche Aufsichtsmechanismen sowie detaillierte Dokumentations- und Berichtspflichten vor.
Rechtliche Problemfelder
Nicht nur die Frage der zuständigen Aufsichtsbehörde wird noch heftig diskutiert. In Deutschland sind neben den Datenschutzaufsichtsbehörden auch die Bundesnetzagentur oder sogar eine eigene Bundesbehörde für Digitales im Gespräch. Ungeachtet des laufenden Kompetenzgerangels ist schon jetzt klar: Die DSGVO bleibt von der KI-Verordnung unberührt. Sobald eine KI personenbezogene Daten verarbeitet, sind die Datenschutzaufsichtsbehörden daher in dem Fall zuständig und die datenschutzrechtlichen Spielregeln sind zu beachten. Neben den klassischen Herausforderungen des Datenschutzrechts treten neue Fragen auf wie die rechtliche Bewertung von Large Language Modells (LLMs) oder die Rechtsgrundlage für die Verarbeitung von personenbezogenen Trainingsdaten.
Die Rechte an Trainingsdaten, Prompts und Outputs beschäftigen inzwischen nicht nur US-amerikanische Gerichte, wie im Streit zwischen der „New York Times“ und OpenAI, sondern auch die Rechtsprechung in Deutschland. Die KI-Verordnung verpflichtet Anbieter von KI, Strategien zur Einhaltung des Urheberrechts zu implementieren, und legt Transparenzpflichten für das Training von KI-Modellen fest. Viele urheberrechtliche Fragen sind heute noch unbeantwortet.
Zu den rechtlichen Anforderungen der KI-Verordnung gehört auch die Cybersicherheit. Hochrisiko-KI-Systeme müssen ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit aufweisen. Handelt es sich um Produkte mit digitalen Elementen müssen darüber hinaus zusätzliche Anforderungen des Cyber Resilience Act (CRA) erfüllt werden.
Auswirkungen für Unternehmen
Unternehmen, die KI-Systeme entwickeln, herstellen, vertreiben oder einsetzen, sollten sich bereits jetzt auf die neuen Anforderungen einstellen und frühzeitig mit der Überprüfung ihrer Systeme und Prozesse beginnen. Empfehlenswert ist eine umfassende KI-Strategie, die alle relevanten Stakeholder einbezieht und technische, rechtliche und geschäftliche Anforderungen definiert. Deutlich wird auch, dass bei der Identifizierung und Umsetzung von Maßnahmen ein ganzheitlicher Ansatz erforderlich ist, der die Wechselwirkungen der Rechtsakte berücksichtigt. Wer gegen die Verordnung verstößt und verbotene KI einsetzt, muss mit einem Bußgeld von bis zu sieben Prozent des weltweiten Jahresumsatzes oder maximal 35 Millionen Euro rechnen.
Fazit
Die KI-Verordnung stellt Unternehmen vor Herausforderungen, aber auch Chancen. Durch die frühzeitige Implementierung der erforderlichen Maßnahmen können Unternehmen sich mit KI einen Wettbewerbsvorteil verschaffen.