News

KI-Verordnung (AI Act) final verabschiedet

21.05.2024

Am 21. Mai 2024 hat der Rat der Europäischen Union die KI-Verordnung (AI Act) verabschiedet. Als weltweit erstes umfassendes Gesetz zur Regulierung von künstlicher Intelligenz zielt die KI-Verordnung darauf ab, einheitliche Vorgaben für die Entwicklung und Nutzung von künstlicher Intelligenz in der Europäischen Union festzulegen. Nachdem das Europäische Parlament den Entwurf bereits am 13. März 2024 gebilligt hatte, gab nun auch der Rat seine Zustimmung zum finalen Verordnungstext, womit die KI-Verordnung formell verabschiedet ist.

Hintergrund: Die KI-Verordnung

Die KI-Verordnung verfolgt einen risikobasierten Ansatz, der KI-Systeme ausgehend von ihrem Risiko für die Sicherheit, Gesundheit und Grundrechte von Menschen bewertet. Die Verordnung differenziert im Grundsatz zwischen vier Risikostufen, an die unterschiedlich intensive Compliance-Anforderungen gestellt werden.

AI Act Risikokategorien

KI-Praktiken mit unannehmbaren Risiken, wie etwa beim Social Scoring, sind verboten. Der Einsatz von KI-Systemen in sicherheits- oder grundrechtssensiblen Bereichen (sogenannte „Hochrisiko-KI-Systeme“) unterliegt besonderen Anforderungen. Die KI-Verordnung definiert in zwei Annexes sowohl Produkte als auch spezifische Anwendungsfälle von künstlicher Intelligenz als Bereiche mit hohem Risiko. Bei der Entwicklung und der Nutzung solcher Hochrisiko-KI-Systeme gelten in Zukunft diverse Compliance-Pflichten, unter anderem:

  • Durchführung einer Risikobewertung und Marktüberwachungsmaßnahmen über den gesamten Lebenszyklus des KI-Systems hinweg
  • Umfassende Daten-Governance, um Bias zu vermeiden und repräsentative Ergebnisse sicherzustellen
  • Erstellung von technischer Dokumentation und Nutzungshinweisen zu Zweckbestimmung und ordnungsgemäßer Verwendung des KI-Systems
  • Einrichtung von menschlicher Aufsicht über die KI, automatischem Logging und Fehleranalyse
  • Maßnahmen zur Cybersicherheit des KI-Systems
  • Durchführung einer Konformitätsbewertung mit EU-Konformitätserklärung
  • Registrierung von bestimmten Hochrisiko-KI-Systemen in einer EU-Datenbank.

Vergleichbare Anforderungen wurden im Laufe des Gesetzgebungsverfahrens auch für große KI-Modelle wie sie etwa ChatGPT zugrunde liegen (sogenannte „KI-Systeme mit allgemeinem Verwendungszweck“ oder „general purpose AI“) eingefügt. Für generative KI-Systeme gelten ansonsten spezifische Transparenzpflichten, die ein Label für bestimmte KI-generierte Inhalte vorsehen. Alle andere KI-Systeme unterliegen nur den allgemeinen Vorgaben der KI-Verordnung, insbesondere ist eine angemessene Schulung der Mitarbeiter notwendig, die KI einsetzen.

Corrigendum: Letzte Änderungen am Verordnungstext

Während des Gesetzgebungsverfahrens gab es zahlreiche Änderungen an der KI-Verordnung, unter anderem zur Definition von KI-Systemen und dem Anwendungsbereich der Hochrisiko-Pflichten. Nach der politischen Einigung wurden zuletzt noch die inhaltlichen und sprachlichen Feinheiten angepasst. Im Vergleich zu der zuletzt diskutierten Fassung wurden in der nun durch ein Corrigendum finalisierten Fassung von den Sprach- und Rechtsdiensten vor allem formale Änderungen gemacht. Zudem gab es jedoch einzelne Änderungen, die auch inhaltliche Auswirkungen haben:

1. Ausschluss von Open-Source-KI-Systemen

Durch eine Anpassung in Art. 2 Abs. 12 der KI-Verordnung sind Open-Source-KI-Systeme nunmehr im Regelfall vom Anwendungsbereich der KI-Verordnung ausgenommen, es sei denn, es handelt sich um Hochrisiko-KI-Systeme oder verbotene KI-Praktiken. Ursprünglich sollte die KI-Verordnung – aufgrund eines redaktionellen Fehlers – zur Anwendung kommen. Dies hatte in Fachkreisen für große Kritik gesorgt und wurde nun korrigiert.

2. Ausweitung der Zuständigkeit des AI Office

Durch eine Erweiterung der Definition des AI Office wurde dessen Zuständigkeit für die Aufsicht über „general purpose AI“ klargestellt. Im Übrigen soll auf EU-Ebene der European Data Protection Supervisor für die Aufsicht über die KI-Nutzung durch EU-Organe zuständig sein.

3. Anpassung der verbotenen KI-Praktik der unterschwelligen Beeinflussung

Das Verbot des KI-Einsatzes für unterschwellige Beeinflussung setzte bislang voraus, dass der betroffenen Person oder Personengruppe tatsächlich oder wahrscheinlich erheblicher Schaden zugefügt wird. Nach der Änderung ist eine „hinreichende“ („reasonably“) Wahrscheinlichkeit eines Schadenseintritts notwendig.

4. Konformitätsvermutung auch für KI-Modelle

Die Wirkung der Konformitätsvermutung bei der Beachtung von harmonisierten Standards gilt nun auch für „general purpose AI“. Bisher war die Vermutungswirkung nur für Hochrisiko-KI-Systeme vorgesehen, weil die Anforderungen für „general purpose AI“ erst spät im Gesetzgebungsverfahren eingefügt wurden.

5. Klarstellung des Anwendungsbereichs von Hochrisiko-KI-Pflichten

Im Rahmen des Annexes III zu Hochrisiko-KI-Systemen sind Änderungen erfolgt, die den Anwendungsbereich der Pflichten klarstellen sollen. In Bezug auf Anwendungen im Bildungswesen wurde eingefügt, dass alle Bildungsstufen erfasst sein sollen. In Bezug auf den Einsatz von Lügendetektoren oder vergleichbaren Tools auf KI-Grundlage im Bereich von Migration und Grenzkontrollen ist nun klargestellt, dass die strengeren Vorgaben auch dann gelten, wenn der Einsatz durch Dritte im Auftrag von öffentlichen Behörden oder EU-Institutionen erfolgt.

Next Steps: Inkrafttreten und Übergangsfrist

Die KI-Verordnung tritt 20 Tage nach der Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Die Veröffentlichung wird nach dem heutigen Beschluss wegen der notwendigen Übersetzungsarbeiten für Ende Juni erwartet. Anschließend greift ein gestaffeltes System an Übergangsfristen: Zunächst gelten 6 Monate nach dem Inkrafttreten die Vorschriften über verbotene KI-Systeme, deren Nutzung eingestellt werden muss. 24 Monate nach Inkrafttreten gelten die übrigen Vorgaben der KI-Verordnung, etwa die Transparenzpflichten für generative KI-Systeme. Eine Ausnahme sind die Pflichten in Bezug auf Hochrisiko-KI-Systeme, für die eine verlängerte Übergangsfrist von 36 Monaten nach Inkrafttreten vorgesehen ist.

Bei Verstößen gegen die KI-Verordnung drohen Unternehmen Geldbußen in Höhe von bis zu EUR 35 Mio. oder 7% des weltweiten Jahresumsatzes. Auch Klagen von Wettbewerbern oder Schadenersatzansprüche von Betroffenen sind möglich.

Wir informieren Sie in Insights und Webinaren laufend über den aktuellen Umsetzungsstand der KI-Verordnung und unsere Experten unterstützen Sie gern umfassend bei der Implementierung der neuen Anforderungen der KI-Verordnung. Weitere Informationen finden Sie in unserem Fact Sheet & Capability Statement.