EU-Verordnung für künstliche Intelligenz verkündet

Am 12.07.2024 wurde die Verordnung (EU) 2024/1689 des Europäischen Parlamentes und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz („KI-Verordnung“) im Amtsblatt der Europäischen Union (siehe die verschiedenen Sprachfassungen hier) verkündet. Die Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft (Art. 113 KI-Verordnung). Damit endet ein langer, im Jahr 2021 begonnener Gesetzgebungsprozess für das erste verbindliche Regelwerk für künstliche Intelligenz („KI“). Entstanden ist ein umfangreiches und in Teilen verschachteltes Regelwerk, das 113 Artikel sowie 13 Anhänge aufweist und damit 144 Seiten des Amtsblattes der Europäischen Union umfasst. Wer sich hier eine erste Orientierung schaffen möchte, sollte einige Strukturelemente, Grundgedanken und Begrifflichkeiten der KI-Verordnung kennen (siehe hierzu und zum Nachfolgenden auch Seyffarth, Die KI-Verordnung der EU: Was KI verwendende Unternehmen nun wissen sollten, GWR 2024, 173 ff.).

I. Anwendungsbereich der KI-Verordnung

Ganz zu Beginn einer Prüfung anhand der KI-Verordnung sollte die Frage stehen, ob der Anwendungsbereich der KI-Verordnung überhaupt eröffnet ist. Der Anwendungsbereich lässt sich sinnvoll in einen sachlichen und einen persönlichen Anwendungsbereich unterteilen.

1. Sachlicher Anwendungsbereich

Das Herzstück der KI-Verordnung ist die Definition von künstlicher Intelligenz, die den sachlichen Anwendungsbereich der KI-Verordnung festlegt (Seyffarth, GWR 2024, 173 [173 f.]). Wie der Name des umfangreichen Regelwerks bereits vermuten lässt, ist Gegenstand der Reglementierung die künstliche Intelligenz. Nur wenn künstliche Intelligenz, die KI-Verordnung spricht hier von einem KI-System, vorliegt, ist der sachliche Anwendungsbereich eröffnet. In Art. 3 KI-Verordnung finden sich zentrale Begriffsbestimmungen. In der dortigen Nr. 1 wird ein KI-System wie folgt definiert:

 „‘KI-System‘ ein maschinengestütztes System, das für ein in unterschiedlichem Grad autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“.

Dieser Definition lassen sich zwei besonders wichtige Kriterien entnehmen: Das Kriterium der Autonomie und das Kriterium der Anpassungsfähigkeit (siehe hierzu Seyffarth, GWR 2024, 173 [174]). Für das Verständnis dieser beiden Kriterien lässt sich Erwägungsgrund Nr. 12 der KI-Verordnung heranziehen. Dort sind die Autonomie und die Anpassungsfähigkeit wie folgt umschrieben:

 „KI-Systeme sind mit verschiedenen Graden der Autonomie ausgestattet, was bedeutet, dass sie bis zu einem gewissen Grad unabhängig von menschlichem Zutun agieren und in der Lage sind, ohne menschliches Eingreifen zu arbeiten. Die Anpassungsfähigkeit, die ein KI-System nach Inbetriebnahme aufweisen könnte, bezieht sich auf seine Lernfähigkeit, durch sie es sich während seiner Verwendung verändern kann.“

Liegen diese beiden Kriterien vor und sind auch die weiteren in der Definition enthaltenen Kriterien erfüllt, ist der sachliche Anwendungsbereich eröffnet. In Zweifelsfällen, bei denen nicht klar ist, ob die Kriterien definitiv erfüllt sind, empfiehlt es sich, dennoch vom Vorliegen eines KI-Systems auszugehen (vgl. Bomhard/Sieglmüller, RDi 2024, 45 [45]).

2. Persönlicher Anwendungsbereich

Eine zentrale Weichenstellung für die Handhabung der KI-Verordnung liefert der persönliche Anwendungsbereich. Dieser entscheidet nicht nur, für wen die KI-Verordnung gilt, sondern ist zugleich ein erster Filter, mit dem ermittelt werden kann, welche der nachfolgenden Bestimmungen anwendbar sind. Denn die jeweiligen Pflichten der KI-Verordnung gelten nicht stets für alle Adressaten gleich, sondern sie differenzieren diesbezüglich. So gelten etwa für Anbieter andere Pflichten als für Betreiber.

In den Anwendungsbereich der KI-Verordnung fallen gemäß Art. 2 Abs. 1 KI-Verordnung die folgenden Adressaten:

Die Adressaten werden in Art. 2 Abs. 1 KI-Verordnung weiter konkretisiert. Zugleich kann aber auch hier auf die Begriffsbestimmungen in Art. 3 KI-Verordnung zurückgegriffen werden. Am Beispiel der Betreiber (Art. 3 Nr. 4 KI-Verordnung) wird deutlich, dass der persönliche Anwendungsbereich relativ weit gezogen ist und bereits die Verwendung eines KI-Systems ausreichend sein kann:

„‘Betreiber‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet“.

Wenn feststeht, ob ein Adressat der KI-Verordnung vorliegt, ist auch der sachliche Anwendungsbereich eröffnet.

II. Risikobasierter Ansatz der KI-Verordnung: Einordnung in vier Risikokategorien

Ausgehend von Erwägungsgrund Nr. 26 der KI-Verordnung verfolgt diese einen risikobasierten Ansatz. Danach richten sich Art und Inhalt von Vorschriften, die für ein KI-System gelten, nach der Intensität und dem Umfang der Risiken, die mit dem KI-System verbunden sind. Ausgehend hiervon lassen sich vier Risikokategorien unterscheiden, die unterschiedlich strengen Vorschriften der KI-Verordnung unterfallen:

In Art. 5 KI-Verordnung sind verbotene Praktiken aufgezählt. Derartige Praktiken ausübende KI-Systeme sind folglich unzulässig. Nach Art. 5 Abs. 1 lit. a) KI-Verordnung ist etwa das Inverkehrbringen, die Inbetriebnahme oder die Verwendung eines KI-Systems, das Techniken der unterschwelligen Beeinflussung außerhalb des Bewusstseins einer Person oder absichtlich manipulative oder täuschende Techniken mit dem Ziel oder der Wirkung einsetzt, das Verhalten einer Person oder einer Gruppe von Personen wesentlich zu verändern, unzulässig.

Für die zentralste Risikokategorie (Hacker/Berz, ZRP 2023, 226 [226]), die Hochrisiko-KI-Systeme, finden sich Einstufungsvorschriften in Art. 6 KI-Verordnung. Um feststellen zu können, ob das eingesetzte KI-System als KI-System der Hochrisikogruppe einzustufen ist, ist auf Anhang I und Anhang III der KI-Verordnung Bezug zu nehmen und zu prüfen, ob sie für den Bereich des jeweiligen KI-Systems einschlägig sind. In Art. 6 Abs. 3 KI-Verordnung findet sich mit Blick auf Anhang III eine Ausnahme, nach der ein KI-System dann nicht als hochriskant gilt, wenn es kein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen birgt, indem es unter anderem nicht das Ergebnis der Entscheidungsfindung wesentlich beeinflusst.

Steht fest, dass es sich um ein Hochrisiko-KI-System handelt, sind allgemeine Anforderungen an Hochrisiko-KI-Systeme einzuhalten (Art. 8 KI-Verordnung). Hierzu gehören die folgenden Pflichten:

Daneben bestehen weitere Pflichten, die nach dem jeweiligen Adressaten unterscheiden. An dieser Stelle macht sich die oben angesprochene Weichenstellung beim persönlichen Anwendungsbereich bemerkbar. Für Anbieter von Hochrisiko-KI-Systemen besteht beispielsweise die weitere Pflicht, eine EU-Konformitätserklärung gemäß Art. 47 KI-Verordnung auszustellen und sich selbst und das KI-System gemäß Art. 49 Abs. 1 KI-Verordnung zu registrieren, Art. 16 lit. g) und i) KI-Verordnung.

Für die KI-Systeme mit geringem Risiko bestehen Transparenzpflichten, die in Art. 50 KI-Verordnung geregelt sind. Hierzu gehören gemäß Art. 50 Abs. 2 KI-Verordnung auch KI-Systeme mit allgemeinem Verwendungszweck. Für diese bestehen zudem einige besondere Regelungen in den Art. 51 ff. KI-Verordnung.

III. Aufsichtsstruktur der KI-Verordnung

Damit die KI-Verordnung nicht nur ein wirkungsloses Regelwerk ist, sondern auch effektiv umgesetzt wird, gibt es verschiedene Aufsichtsmechanismen und Aufsichtsakteure. Neben national zuständigen Behörden (Art. 70 KI-Verordnung) wird auf Unionsebene insbesondere ein Büro für Künstliche Intelligenz (Art. 64 KI-Verordnung) und ein Europäisches Gremium für Künstliche Intelligenz (Art. 65 KI-Verordnung) etabliert. Die jeweiligen Aufsichtsakteure haben unterschiedliche, in der KI-Verordnung festgehaltene Aufgaben.

Die Aufsicht über die KI-Verordnung wird durch die Sanktionsmöglichkeiten des Art. 99 KI-Verordnung mit Sicherheit wirkungsvoll sein. Wird etwa das Verbot des Art. 5 KI-Verordnung missachtet, kommen Geldbußen von bis zu 35 Millionen € in Betracht (Art. 99 Abs. 3 KI-Verordnung). Weitere Geldbußen von bis zu 15 Millionen € können für Verstöße gegen einzelne Verpflichtungen anfallen; etwa bei einem Pflichtverstoß gegen den bereits erwähnten Art. 16 KI-Verordnung (Art. 99 Abs. 4 a KI-Verordnung).

IV. Handlungsempfehlung

Nach Art. 113 KI-Verordnung tritt die Verordnung zwar am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft (1. August 2024), der Artikel sieht aber zugleich vor, dass sie erst ab dem 2. August 2026 gilt. Allerdings gelten auch einige Vorschriften früher. Die Verbote des Art. 5 KI-Verordnung gelten etwa ab dem 2. Februar 2025 und die Sanktionen des Art. 99 KI-Verordnung ab den 2. August 2025.

Staatliche Stellen und Unternehmen sollten diese Zeit nutzen und in einem ersten Schritt gründlich prüfen, ob und vor allem inwieweit sie der KI-Verordnung unterfallen. In einem zweiten Schritt bietet es sich an, entsprechende Compliance-Maßnahmen direkt umzusetzen, etwa durch eine KI-Richtlinie oder jedenfalls durch die Benennung zuständiger und fachkundiger Personen. Die verbleibende Zeit kann zugleich genutzt werden, sich – ggf. unter Hinzuziehung rechtskundigen Rates – einen sicheren Überblick und eine treffsichere Orientierung über die einzelnen und vielfältigen Regelungen der KI-Verordnung zu verschaffen.

Gerne stehen wir Ihnen hierbei zur Seite.

Dr. Dr. Malte Seyffarth