Künstliche Intelligenz lockt die Gesellschaft und Wirtschaft mit neuen Perspektiven und dem Versprechen, alle Lebensbereiche zu revolutionieren. Es tauchen jedoch auch immer wieder Bedenken insbesondere in Bezug auf die Sicherheit und die Einhaltung ethischer Standards auf, welchen nun mit dem EU AI Act umfassend begegnet werden sollen. Dieser stellt Unternehmen vor völlig neue und umfassende Herausforderungen – und soll gleichzeitig den Weg für ethische Innovationen ebnen.
Künstliche Intelligenz (KI) bereichert und erleichtert vielfach unseren Alltag. Nicht nur in Suchmaschinen oder in Gestalt der bekannten Large Language Models wie OpenAIs ChatGPT oder Microsofts Copilot, sondern auch im Wirtschaftsleben nimmt KI einen festen Platz ein, sei es als Chat-Bot im First-Level-Kundensupport, zur Diagnostik in der Medizintechnik oder zur Übersetzung und Verbesserung komplexer Texte. Stetige Weiterentwicklung und hohe Investitionen werden Anwendungsbereiche schnell ausweiten.
Neben all ihren Vorteilen kann KI allerdings auch Risiken mit sich bringen. So besteht etwa die Gefahr unfairer Folgen für den Einzelnen oder die Gesellschaft sowie das Risiko des Einsatzes zur Manipulation und der Verstärkung von gesellschaftlichen Vorurteilen und sozialen Ungleichheiten. Die Antwort der EU-Staaten hierauf ist das Gesetz über künstliche Intelligenz (KI-Gesetz oder AI Act), der weltweit erste umfassende Rechtsrahmen zur Regulierung von KI. Der Verordnung steht mit der Zustimmung des Rates der Europäischen Union am 21. Mai 2024 nichts mehr entgegen. Mit der nun zeitnah zu erwartenden Veröffentlichung im Amtsblatt der Europäischen Union ist sein Inkrafttreten in Kürze zu erwarten
Der AI Act soll ein Gleichgewicht zwischen der Förderung von Innovationen und der Entwicklung, Verwendung und Verbreitung von KI einerseits sowie der Gewährleistung der Grundrechte jedes Einzelnen und des Rechts Aller auf eine sichere, ethische und vertrauenswürdige Nutzung von KI andererseits herstellen. Der AI Act folgt dabei einem risikobasierten Ansatz: Je höher das Risiko bei der Anwendung, desto strenger sind die regulatorischen Vorgaben.
Dabei ist die im AI Act enthaltene Definition des KI-Systems weit gefasst und deckt das gesamte Spektrum von KI ab – von einfachsten Technologien und Systemen für spezifische Anwendungsfälle bis hin zu umfangreichen Anwendungen für Deep Learning und Generative KI.
Für Unternehmen bringt das Gesetz eine Vielzahl neuer Herausforderungen mit sich, und das mit erheblichen Konsequenzen: Verstöße können Geldbußen von bis zu 35 Millionen Euro oder bis zu sieben Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen weltweiten Geschäftsjahres nach sich ziehen.
Der AI Act betrifft uns alle
Grundsätzlich betrifft der AI Act alle, die auf die eine oder andere Art mit KI in Berührung kommen, sowie unsere Gesellschaft als Ganzes. Durch eine umfassende Regulierung des Inverkehrbringens, der Inbetriebnahme und der Verwendung von KI-Systemen soll das Vertrauen in die KI in Europa gestärkt werden.
Konkret richten sich die Pflichten vorrangig an Anbieter und Betreiber von KI-Systemen. Als Anbieter gelten dabei alle Stellen, die ein KI-System entwickeln oder entwickeln lassen, um es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr zu bringen oder in Betrieb zu nehmen. Daneben werde aber auch Einführern und Händlern, Produktherstellern, die KI-Systeme in ihre Produkte einbinden, sowie Bevollmächtigten von Anbietern spezifische Pflichten auferlegt. Da der AI Act keine Schwellenwerte im Hinblick etwa auf den Umsatz oder die Nutzendenzahlen bestimmt, können die Pflichten praktisch jedes Unternehmen treffen, das in irgendeiner Form mit KI-Systemen arbeitet.
Risikospezifische Regulatorik
Gegenstand und Reichweite der Pflichten aus dem AI Act folgen vorrangig aus der Einordnung des potentiellen Risikos des KI-Systems. Je intensiver und umfangreicher die Risiken sind, die von dem KI-System ausgehen können, desto höher sind die damit verbundenen Anforderungen und Pflichten.
Der AI Act teilt KI-Systeme hierzu in Risikoklassen ein: „unannehmbar“, „hoch“, „gering“ und „minimal“.
KI-Systeme, die im Hinblick auf den Schutz der Grundrechte, Gesundheit und Sicherheit natürlicher Personen ein unannehmbares Risiko darstellen, dürfen nach den Bestimmungen des AI Acts nicht in Verkehr gebracht, in Betrieb genommen oder verwendet werden. Hierzu gehören etwa KI-Systeme, die dazu eingesetzt werden, das Verhalten einer Person unterschwellig wesentlich zu beeinflussen oder die eine Schwäche oder Schutzbedürftigkeit einer bestimmten Personengruppe ausnutzen. Ebenso ist das Inverkehrbringen, die Inbetriebnahme oder die Verwendung von KI-Systemen durch Behörden zur Bewertung oder Klassifizierung der Vertrauenswürdigkeit natürlicher Personen, das sogenannte „Social Scoring“, verboten.
Zentraler Gegenstand des AI Acts sind die sogenannte Hochrisiko-Systeme. KI-Systeme, die ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen darstellen, sind nicht verboten, jedoch an hohe Organisations-, Dokumentations- und Qualitätsanforderungen geknüpft. Zu nennen sind vor allem das umfassende Risikomanagement für den gesamten Lebenszyklus des KI-Systems, Transparenz- und Kennzeichnungspflichten, die Gewährleistung menschlicher Aufsicht sowie die Anforderungen an die Robustheit und Cybersicherheit. Dies betrifft beispielsweise Sicherheitsbauteile in kritischer Infrastruktur, Bewertungssysteme im Bildungskontext oder Einsatzmöglichkeiten in der Strafverfolgung.
Alle anderen, weniger riskanten KI-Systeme unterliegen weniger strengen Restriktionen. Im Vordergrund stehen hier die Transparenzpflichten. Hierunter fallen grundsätzlich auch KI-Systemen mit allgemeinem Verwendungszweck (General Purpose AI-System – GPAI). Für „GPAI-Modelle mit systematischem Risiko“ finden sich nunmehr auch gesonderte Regelungen im AI Act, wie zum Beispiel die Bereitstellung technischer Unterlagen und Gebrauchsanweisungen und die Beachtung des Urheberrechts.
Unternehmen sollten sich rechtzeitig vorbereiten
Unternehmen sollten zügig auf den AI Act reagieren und sich auf die Einhaltung der kommenden regulatorischen Anforderungen vorbereiten. Denn die Allgemeinen Bestimmungen sowie die Vorschriften über verbotene KI werden bereits sechs Monate nach Inkrafttreten des AI Acts wirksam. Die weiteren Vorschriften folgen zeitlich gestaffelt zwölf, 24 und, hinsichtlich einzelner Bestimmungen, 36 Monate nach Inkrafttreten der Verordnung.
Wie beispielsweise die Einführung der Datenschutz-Grundverordnung (DSGVO) gezeigt hat, kann ein Zuwarten etwa auf stärkere Rechtsklarheit durch ergänzende Rechtsakte, wie die geplante KI-Haftungsrichtlinie oder die Novellierung der Produkthaftungsrichtlinie, erhebliche Risiken für Unternehmen bergen. Dies sowohl hinsichtlich drohender Bußgelder, aber auch mit Blick auf etwaige Reputationsschäden. Denn bereits jetzt ist der Wunsch nutzender Personen nach KI-Systemen mit hohen ethischen Standards groß. Es ist zu erwarten, dass Vorkommnisse in Verbindung mit unzulänglich beaufsichtigten oder fehlerhaften KI-Systemen oder unbefugter Datennutzung zu einem öffentlichen Aufschrei führen werden. Eine unzureichende Absicherung kann insofern nicht nur das Vertrauen der Allgemeinheit in KI generell erschüttern, sondern insbesondere den Ruf der betroffenen Unternehmen erheblich schädigen.
Unternehmen sollten proaktiv ihre Anwendungen inventarisieren, kategorisieren und bewerten und diese in eine KI-Governance-Struktur einbinden. Dabei sollten Unternehmen ganzheitlich und abteilungsübergreifend vorgehen und die erkannten Gefahren mit den unbegrenzten Möglichkeiten, die KI bereits bietet und künftig bieten wird, in einen Ausgleich bringen. Der AI Act kann dabei unterstützen, Innovation zu fördern, ohne dabei den Menschen zu vergessen.
Für Unternehmen bietet das die einmalige Chance, sich durch eine frühzeitige Implementierung einer ganzheitlichen KI-Governance einen nachweislich hohen ethischen Standard zu erzielen und sich so einen Wettbewerbsvorteil zu verschaffen.
Autoren
Francois Maartens Heynike, LL.M. (Stellenbosch), Rechtsanwalt, Partner der KPMG Law Rechtsanwaltsgesellschaft mbH am Standort Frankfurt am Main und Leiter der Fachgruppe Technologierecht sowie des Bereichs IT- und Datenschutzrecht. Er ist spezialisiert auf die rechtliche Beratung zu allen Fragen der digitalen Transformation und dem Einsatz neuer Technologien.
Kerstin Ohrem, Rechtsanwältin, Senior Associate bei KPMG Law am Standort Leipzig und Mitglied der Fachgruppe Technologierecht. Sie berät insbesondere im Bereich Datenschutzrecht und zu Fragen des Einsatzes neuer Technologien und Cybersicherheit.
Enjoyed this article? Sign up for our newsletter to receive regular insights and stay connected.