IT-Recht

Künstliche Intelligenz: Was regelt der neue AI-Act der EU

Mit dem Artificial Intelligence Act (AI-Act) entsteht ein neuer, europäischer Rechtsrahmen für künstliche Intelligenz. Wir geben einen Überblick, welche Änderungen Sie erwarten können.

Ziel des AI-Acts

Durch die geplanten Vorschriften soll sichergestellt werden, dass KI-Systeme, die in der EU verwendet werden, sicher, transparent, ethisch, unparteiisch und unter menschlicher Kontrolle sind.

Regelungsbereiche des AI-Acts

Betroffen sind alle, die KI-Systeme innerhalb der EU entwickeln, anbieten oder nutzen. Es betrifft sowohl öffentliche, als auch private Akteure. KI-Systeme sollen in verschiedene Risikogruppen eingeteilt werden. Je höher die potenziellen Gefahren einer Anwendung sind, desto höher sollen die Anforderungen sein. Im Einzelnen:

  • Bestimmte Arten von KI-Systemen sind nach dem AI-Act verboten (z. B. soziale Bewertungssysteme, manipulative KI, Aufbau von Gesichtserkennungsdatenbanken).
  • Die Verordnung befasst sich schwerpunktmäßig mit KI-Systemen mit hohem Risiko, die reguliert werden.
  • Ein kleinerer Teil der Verordnung befasst sich mit KI-Systemen mit begrenztem Risiko, für die geringere Transparenzpflichten gelten: Entwickler und Betreiber müssen sicherstellen, dass die Endnutzer wissen, dass sie mit KI interagieren (Chatbots und Deepfakes).
  • Das geringste Risiko ist unreguliert (einschließlich der meisten KI-Anwendungen, die derzeit auf dem EU-Binnenmarkt erhältlich sind, wie z. B. KI-gestützte Videospiele und Spam-Filter - zumindest im Jahr 2021; dies ändert sich mit der generativen KI).

Sind kleine und mittlere Unternehmen (KMU) und Verbraucher betroffen, die z. B. ein KI-System beruflich einsetzen?

Nutzer sind natürliche oder juristische Personen, die ein KI-System beruflich einsetzen, nicht aber betroffene Endnutzer, wie Verbraucher.

  • Die Nutzer (Anwender) von KI-Systemen mit hohem Risiko haben einige Verpflichtungen, wenn auch weniger als die Anbieter (Entwickler).
  • Dies gilt für Nutzer in der EU und für Nutzer in Drittländern, wenn der Output des KI-Systems in der EU verwendet wird.

Für wen gilt der AI-Act?

Die meisten Verpflichtungen treffen die Anbieter (Entwickler) von risikoreichen KI-Systemen:

  • Diejenigen, die beabsichtigen, hochriskante KI-Systeme in der EU in Verkehr zu bringen oder in Betrieb zu nehmen, unabhängig davon, ob sie in der EU oder in einem Drittland ansässig sind.
  • Und auch Anbieter aus Drittländern, bei denen der Output des Hochrisiko-KI-Systems in der EU verwendet wird.

Glossar - Welche Art von Einrichtung ist meine Organisation im Sinne des AI-Acts?

Anbieter: eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickelt (oder ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickeln lässt) und diese unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht;

Einsatzbetrieb: jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System unter ihrer Aufsicht einsetzt , es sei denn, das KI-System wird im Rahmen einer persönlichen, nicht beruflichen Tätigkeit verwendet;

Händler: jede natürliche oder juristische Person in der Lieferkette, die ein KI-System auf dem Unionsmarkt bereitstellt, mit Ausnahme des Anbieters oder des Einführers;

Importeur: jede in der Union ansässige oder niedergelassene natürliche oder juristische Person, die ein KI-System in Verkehr bringt, das den Namen oder die Marke einer außerhalb der Union ansässigen natürlichen oder juristischen Person trägt;

Bevollmächtigter: jede natürliche oder juristische Person, die in der Union ansässig oder niedergelassen ist und von einem Anbieter eines KI-Systems oder eines KI-Modells für allgemeine Zwecke ein schriftliches Mandat erhalten und angenommen hat, in seinem Namen die in dieser Verordnung festgelegten Verpflichtungen und Verfahren zu erfüllen bzw. auszuführen.

Produkthersteller: bringt ein KI-System zusammen mit seinem Produkt und unter seinem eigenen Namen oder seiner eigenen Marke auf den Markt oder setzt es in Betrieb.

Was gilt im Hinblick auf Allzweck-KI (GPAI)?

  • Alle Anbieter von GPAI-Modellen müssen technische Unterlagen und Gebrauchsanweisungen bereitstellen, die Urheberrechtsrichtlinie einhalten und eine Zusammenfassung der für die Ausbildung verwendeten Inhalte veröffentlichen.
  • Anbieter von GPAI-Modellen mit freien und offenen Lizenzen müssen lediglich das Urheberrecht einhalten und die Zusammenfassung der Ausbildungsdaten veröffentlichen, es sei denn, sie stellen ein systemisches Risiko dar.
  • Alle Anbieter von GPAI-Modellen, die ein systemisches Risiko darstellen – ob offen oder geschlossen –, müssen auch Modellbewertungen und Gegentests durchführen, schwerwiegende Vorfälle verfolgen und melden und Cybersicherheitsschutzmaßnahmen gewährleisten.

Welche Strafen drohen bei Verstößen?

Verbotene KI-Praktiken können mit Geldbußen von bis zu 40 Mio. EUR oder 7 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Die Nichteinhaltung der Anforderungen an die Datenverwaltung und der Anforderungen an die Transparenz und die Bereitstellung von Informationen kann zu Geldbußen von bis zu 20 Mio. EUR oder 4 % des weltweiten Umsatzes führen, je nachdem, welcher Betrag höher ist. Die Nichteinhaltung sonstiger Anforderungen oder Verpflichtungen kann mit Geldbußen von bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Die Geldbußen sind je nach Verstoß gestaffelt, wobei für verbotene Praktiken die höchsten Strafen und für andere Verstöße niedrigere Höchststrafen vorgesehen sind.

Wann tritt der AI-Act in Kraft?

Das Europäische Parlament hat den Verordnungstext bestätigt. Wenn der AI-Act auf europäischer Ebene förmlich verabschiedet ist, tritt er 20 Tage nach seiner Veröffentlichung im Amtsblatt EU-weit in Kraft – voraussichtlich im Mai 2024.

Die Verordnung ist – bis auf einige Ausnahmen – 24 Monate nach ihrem Inkrafttreten uneingeschränkt in den Mitgliedsstaaten – also auch in Deutschland – anwendbar. Die Ausnahmen sind Verbote sogenannter verbotener Praktiken, die bereits sechs Monate nach Inkrafttreten gelten, Verhaltenskodizes (sie gelten neun Monate nach Inkrafttreten), Regeln für künstliche Intelligenz mit allgemeinem Verwendungszweck, einschließlich Governance, (zwölf Monate nach Inkrafttreten) und Verpflichtungen für Hochrisikosysteme (36 Monate nach Inkrafttreten).

Fazit

Der AI-Act schafft einen europaweit einheitlichen Rechtsrahmen für künstliche Intelligenz. Wir halten vor allem die neuen Transparenz- und Kennzeichnungspflichten zur Interaktion mit KI-Systemen (Chatbots und Deepfakes) für sehr praxisrelevant. Organisationen (private sowie öffentliche), die sich mit künstlicher Intelligenz befassen, sollten jetzt prüfen, ob sie möglicherweise rechtliche Verpflichtungen im Rahmen der EU-KI-Verordnung haben. Für den Fall, dass sie nicht hierunter fallen, kann es sich anbieten, die Verordnung umzusetzen, um ihr Unternehmen als vertrauenswürdiger zu kennzeichnen.

Sie haben Fragen hinsichtlich der neuen EU-Verordnung zu künstlicher Intelligenz? Unsere qualifizierten IT-Anwälte beraten Sie gerne – Jetzt per E-Mail oder telefonisch kontaktieren!

(Pressemitteilung des Europäischen Parlaments, Gesetzestext vom 13.03.2024 zum AI-Act)