KI ist keine Zukunftsmusik mehr, sondern bereits jetzt Teil unseres Lebens. Die Potentiale für den Einsatz von KI sind scheinbar unbegrenzt: Für Forschung und Anwendungen im Gesundheitsbereich eröffnen sich völlig neue Perspektiven, die Entwicklung beim autonomen Fahren wird beschleunigt, strukturiertes Durchsuchen und Auswerten riesiger Datenmengen oder auch die Optimierung von Produktionsprozessen werden mit künstlicher Intelligenz möglich. Die Verordnung definiert den Begriff des KI-Systems sehr weit. Danach soll es sich um ein maschinengestütztes System handeln, das für einen in wechselndem Maße autonomen Betrieb ausgelegt ist und bestimmte, zuvor vom Menschen klar definierte Ergebnisse (wie digitale Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen) generiert, die eine reale oder digitale Umgebung beeinflussen.
Ziel der Verordnung und ihres risikobasierten Ansatzes ist es vor allem, Grenzen für den Einsatz von Systemen zu ziehen, die hohe Risiken mit sich bringen, und gleichzeitig risikofreie Systeme nicht zu regulieren. In der KI-Verordnung werden verschiedene Risikokategorien unterschieden. So werden KI-Lösungen mit unannehmbaren Risiken komplett verboten. Das betrifft solche Systeme, die zum „Social Scoring“, das heißt dem Bewerten von menschlichem Verhalten, oder der Manipulation von menschlichem Verhalten gedacht sind. Für Systeme mit hohem oder begrenztem Risiko gelten spezifische Compliance-Anforderungen, zum Beispiel definierte Dokumentations- und Transparenzpflichten. Hingegen erlaubt die KI-Verordnung die freie Nutzung von KI-Systemen, die nur ein minimales Risiko oder kein Risiko darstellen. Dazu gehören sonstige Systeme, die beispielsweise Produktionsprozesse optimieren, oder Anwendungen wie KI-bezogene Videospiele oder Spamfilter.
KI-Reallabore
Neben der Regulierung von KI verfolgt die Verordnung auch das Ziel, europäische Anbieter aktiv zu fördern. Hierzu sieht die Verordnung unter anderem die Einführung von KI-Reallaboren vor. Dabei handelt es sich um von Behörden begleitete Testphasen, innerhalb derer KI-Systeme entwickelt und trainiert werden können. Im Rahmen dieser Testphasen dürfen Unternehmen weitergehend personenbezogene Daten verarbeiten und werden auch bei den regulatorischen Anforderungen begleitet. Außerdem sieht die Verordnung vor, dass bei Rechtsverletzungen – sofern die Behördenempfehlungen eingehalten werden – keine Bußgelder verhängt werden. Zudem sollen Behörden in dieser Testphase ihr Ermessen „flexibel“ ausüben.
Sanktionsmechanismus
Wenn verbotene KI-Systeme eingesetzt werden, droht ein Bußgeld in Höhe von bis zu 35 Mio. Euro oder – im Falle von Unternehmen – von bis zu sieben Prozent des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Geldbußen von bis zu 15 Mio. Euro oder – im Falle von Unternehmen – von bis zu drei Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist, drohen, wenn – bei erlaubten KI-Systemen – gleichwohl gegen die nach der Verordnung festgelegten Anforderungen und Pflichten verstoßen wird. In der Praxis wird dieser Bußgeldtatbestand wohl die größte Rolle spielen. Immerhin noch Geldbußen bis zu 7,5 Mio. Euro oder – im Falle von Unternehmen – ein Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, müssen gezahlt werden, falls gegenüber zuständigen Behörden auf deren Auskunftsverlangen hin falsche, unvollständige oder irreführende Angaben gemacht werden.
Inkrafttreten der KI-Verordnung
Das EU-Parlament hat die KI-Verordnung am 13. März 2024 verabschiedet. Eine Verabschiedung durch den Europäischen Rat steht noch aus. Danach wird die Verordnung im Amtsblatt der EU veröffentlicht. Vorgesehen ist, dass die KI-Verordnung 20 Tage nach der Veröffentlichung im Amtsblatt der EU in Kraft tritt. Bis auf einige Ausnahmen ist die KI-Verordnung 24 Monate nach ihrem Inkrafttreten uneingeschränkt anwendbar. Einige Bestimmungen gelten bereits früher. So sollen Regelungen über verbotene KI-Praktiken schon nach sechs Monaten und die Verpflichtungen in Bezug auf KI mit allgemeinem Verwendungszweck nach zwölf Monaten anwendbar sein. Dagegen sollen Regelungen über spezifische Hochrisikosysteme erst nach Ablauf von drei Jahren gelten.
Ausblick: Was Unternehmen jetzt tun sollten
Insgesamt stellt die KI-Verordnung einen umfassenden Ansatz zur Regulierung von KI-Systemen und deren Anwendungen dar. Sie zielt darauf ab, ein Gleichgewicht zwischen der Förderung von Innovationen und dem Schutz von Grundrechten und gesellschaftlichen Werten herzustellen. Es soll ein vertrauenswürdiges und wettbewerbsfähiges Umfeld für die Entwicklung und den Einsatz von KI in der Europäischen Union geschaffen werden.
Unternehmen – egal ob sie KI-Systeme herstellen oder im Rahmen ihrer geschäftlichen Tätigkeit bloß einsetzen – sollten sich so früh wie möglich mit den Regelungen der KI-Verordnung vertraut machen und diese auf Relevanz in Bezug auf ihr Geschäftsmodell prüfen. Dies gilt nicht nur für Anbieter von Hochrisiko-KI-Systemen. Derartige Anbieter werden in jedem Fall gut beraten sein, bereits jetzt damit zu beginnen, ihre Compliance-Strukturen und die entsprechenden Dokumentationen anhand der Anforderungen der KI-Verordnung anzupassen und sich zum Beispiel auf die erforderliche Konformitätsbewertung vorzubereiten. Auch Unternehmen, die KI-Systeme mit nur begrenztem oder minimalem Risiko einsetzen oder planen, sollten in einem ersten Schritt eine rechtliche und technisch-organisatorische Bestandsaufnahme dieser Systeme vornehmen beziehungsweise vornehmen lassen, um die entsprechenden Verpflichtungen nach der KI-Verordnung daraus abzuleiten.
Insgesamt bleibt zu wünschen, dass die neue KI-Verordnung dazu beiträgt, weltweite Standards für rechtssichere KI zu setzen. Damit würde vor allem Europa als Innovations- und Tech-Standort gestärkt werden.
