News

Künstliche Intelligenz unter Kontrolle: AI Act im Amtsblatt der Europäischen Union veröffentlicht

12.07.2024

Bereits im November 2022 erlangte der Chatbot ChatGPT, der auf künstlicher Intelligenz (KI) basiert, weltweite Bekanntheit. Mit ihm wurde vielen erstmals das immense Potenzial von KI-Technologien bewusst. Auch jenseits des Hypes um solche Large Language Models für jedermann gewinnen KI-Systeme im industriellen Bereich, etwa zur Optimierung der Lieferketten und der Produktion, aber auch integriert in Produkten aller Art, mit enormer Geschwindigkeit an Bedeutung. Mit den Chancen die KI-Systeme bieten, gehen ggf. allerdings auch erhebliche produktsicherheitsrechtliche Risiken einher.

Mit der heute im Amtsblatt der EU veröffentlichten KI-Verordnung (EU) 2024/1689 („AI Act“) hat die Europäische Union den weltweit ersten umfassenden und bindenden Rechtsrahmen für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von Künstlicher Intelligenz geschaffen und damit ein neues Regelwerk der Product Compliance, das Unternehmen nahezu aller Branchen in Europa beschäftigen wird.

Europäische Verordnung nach dem New Legislative Framework des europäischen Produktsicherheitsrechts

Ziel des AI Acts ist es, das Vertrauen in KI zu stärken, die Entwicklung von Innovationen voranzutreiben und sicherzustellen, dass die Sicherheit und die Grundrechte der EU-Bürger bei der Nutzung von KI gewahrt werden. Dabei ist der AI Act eine europäische Harmonisierungsrechtsvorschrift der Product Compliance und als solche nach dem „Strickmuster“ des sog. New Legislative Framework (NLF), gestaltet, das gewissermaßen den aktuellen Stand der Regelungstechnik im europäischen Produktsicherheitsrecht verkörpert. Er fügt sich daher in das komplexe System produktrechtlicher EU-Regulierung ein, die behördlich auf Grundlage der europäischen Marktüberwachungsverordnung (EU) 2019/1020 vollzogen wird. Mit dem AI Act wird überdies erstmals Software als solche der europäischen harmonisierten Produktregulierung unterstellt.

Umfangreiche Anforderungen an Hochrisiko-KI-Systeme

Zentraler Bestandteil des AI Acts ist neben den sog. Totalverboten, die bestimmte Praktiken mit inakzeptablem Risikopotenzial verbieten, die Regulierung der sog. Hochrisiko-KI-Systeme. Hierzu gehören z.B. solche KI-Systeme, die als Sicherheitsbauteil für bestimmte Produkte dienen, die nach Maßgabe der europäischen Produktregulierung bei der Konformitätsbewertung die Hinzuziehung einer zertifizierten Stelle (notified body) erfordern. Darüber hinaus aber auch solche KI-Systeme, die besonders sensible Anwendungsbereiche, etwa die Rechtspflege, biometrische Identifizierung oder den Bildungsbereich betreffen.

Für solche Hochrisiko-KI-Systeme gelten sehr umfangreiche Compliance-Anforderungen, die weit über die Gewährleistung der Produktsicherheit hinausgehen und sich insbesondere auch auf die Aspekte Cybersicherheit, Datenschutz, Dokumentation und Transparenz erstrecken. Die von der Verordnung adressierten Akteure, zu denen neben dem Anbieter, dem Einführer und dem Händler insbesondere auch der Betreiber zählt, unterliegen im Hinblick auf diese Anforderungen unterschiedlichen Pflichtenkatalogen.

Wie bei allen Harmonisierungsrechtsvorschriften der Product Compliance werden die Anforderungen durch harmonisierte Normen konkretisiert, deren Einhaltung die sog. Konformitätsvermutung nach sich zieht. Am Ende des vom Anbieter des KI-Systems durchzuführenden Konformitätsbewertungsverfahrens steht dann die aus dem Produktsicherheitsrecht bekannte CE-Kennzeichnung.

Kurze Übergangsfristen und hohe Bußgelder bei Verstößen

KI-Systeme, die den Anforderungen der KI-Verordnung nicht vollständig entsprechen, dürfen nach Ablauf der Übergangsfristen nicht mehr vertrieben bzw. verwendet werden. Verstöße gegen die Vorgaben des AI Acts können künftig nicht nur Vertriebsverbote und öffentliche Rückrufe nach sich ziehen. Vor allem aber werden sie teuer. Die Verordnung sieht Bußgelder in Höhe von bis zu 7 % des weltweiten Nettoumsatzes der betroffenen Unternehmen und bei natürlichen Personen von bis zu EUR 35 Mio. vor.

Für die verbotenen Praktiken gilt eine kurze Übergangsfrist von sechs Monaten. Für die Umsetzung der Anforderungen an Hochrisiko-KI stehen 36 Monate zur Verfügung. Für die übrigen Vorgaben gilt eine Übergangsfrist von 24 Monaten.

Der behördliche Vollzug erfolgt ganz überwiegend durch die Behörden der EU-Mitgliedsstaaten. Wie die behördliche Überwachungsstruktur in Deutschland aussehen wird, erarbeitet im Moment eine vom Bundesministerium für Wirtschaft und Klimaschutz geführte Arbeitsgruppe. Deren Ergebnis wird sich in einem deutschen Durchführungsgesetz zum AI Act präsentieren, mit dem allerdings erst im nächsten Jahr zu rechnen sein wird.

Was müssen Unternehmen jetzt tun?

Der AI Act betrifft nicht nur Unternehmen, die KI-Systeme als solche oder Produkte vertreiben, die KI-Systeme enthalten. Da die Verordnung auch die Betreiber von KI-Systemen adressiert, sind alle Unternehmen, die Künstliche Intelligenz in ihren Arbeitsprozessen einsetzen potentiell von den Regelungen der KI-Verordnung betroffen.

Es gilt daher zu prüfen, wo im Unternehmen KI-Systeme zur Anwendung kommen und ob KI beim Vertrieb der eigenen Produkte eine Rolle spielt. Ist dies der Fall, muss der individuelle Pflichtenkatalog erarbeitet werden, der sich aus dem AI Act unter Berücksichtigung der spezifischen Konstellation ergibt. Für die Umsetzung stehen dann die vorgenannten Fristen zur Verfügung, die für viele Unternehmen absehbar knapp bemessen sein werden. Mit Blick auf die erheblichen Sanktionsrisiken ist Zögern bei der Umsetzung allerdings keine empfehlenswerte Option.