Europa soll globales Zentrum für vertrauenswürdige künstliche Intelligenz (KI) werden – das ist das ambitionierte Ziel der EU-Kommission. Dazu hat sie am 21. April 2021 einen Entwurf für den weltweit ersten Rechtsrahmen für KI vorgelegt. KI-Systeme, die die Sicherheit, die Lebensgrundlagen und die Rechte der Menschen bedrohen, werden verboten. Für KI-Systeme mit hohem Risiko gelten strenge Vorgaben. Das sind die zentralen Inhalte der geplanten Verordnung.
Künstliche Intelligenz hat fast alle Branchen und Wirtschaftsaktivitäten erreicht. Gesundheitswesen, Finanzdienstleistungen oder Einzelhandel sind nur einige Beispiele. Aber: Das Recht hinkt hinterher. Es erfasst einige Besonderheiten KI-gesteuerter Produkte nicht adäquat. Das will die Kommission mit der KI-Verordnung ändern.
Im Kern ist die neue Verordnung, die die Verwendung von KI regelt, ein Verbotsgesetz. In bestimmten Anwendungsfällen wird der Einsatz von KI-Systemen verboten oder an strenge Voraussetzungen geknüpft. Der Verordnung liegt eine weite Definition von KI-Systemen zugrunde. So soll der Anwendungsbereich schnell und einfach an neue technische Entwicklungen angepasst werden können. Das soll das Regelwerk möglichst zukunftssicher machen.
Betroffen von den Regelungen sind vornehmlich Provider von KI-Systemen. Daneben sollen allerdings in bestimmten Konstellationen auch Importeure, Händler sowie Nutzer der KI-Systeme und Dritte Verpflichtungen treffen.
Dass Unternehmen und Start-ups die neuen Regelungen ernst nehmen müssen, zeigen die angedrohten Konsequenzen bei Verstößen: Werden KI-Systeme in Verkehr gebracht oder in Betrieb genommen, die den Anforderungen der Verordnung nicht genügen, drohen Bußgelder bis zu 30 Millionen Euro oder sechs Prozent des gesamten weltweiten Vorjahresumsatzes. Das erinnert an Sanktionen nach der Datenschutzgrundverordnung oder an Kartellstrafen.
Je höher das Risiko, desto strenger die Regeln
Inhaltlich folgt die Verordnung einem risikobasierten Ansatz. Unterschieden wird zwischen KI-Anwendungen mit
- inakzeptablem Risiko
- hohem Risiko
- geringem Risiko und
- minimalem Risiko.
KI-Systeme, deren Verwendung ein inakzeptables Risiko birgt, werden verboten. Dazu gehören etwa KI-Systeme, die menschliches Verhalten manipulieren, um den freien Willen der Nutzer zu umgehen. Das sind zum Beispiel Spielzeuge mit Sprachassistenten, die Minderjährige zu gefährlichem Verhalten ermuntern.
Die Verordnung geht von einem hohen Risiko aus, wenn KI-Technik in bestimmten Bereichen eingesetzt wird. Dazu zählen unter anderem kritische Infrastrukturen (zum Beispiel im Verkehr), Schul- oder Berufsausbildung (zum Beispiel Bewertung von Prüfungen), Personalmanagement (zum Beispiel Auswertung von Lebensläufen für Einstellungsverfahren), wichtige private und öffentliche Dienstleistungen (zum Beispiel Bewertung der Kreditwürdigkeit) oder Sicherheitskomponenten von Produkten (zum Beispiel roboterassistierte Chirurgie).
Hochrisiko-KI-Systeme sind zulässig, wenn sie bestimmte verbindliche Anforderungen erfüllen und eine Konformitätsbewertung durchlaufen haben. Zudem gibt es strenge verbindliche Vorgaben in Bezug auf die Qualität der verwendeten Datensätze, die technische Dokumentation und das Führen von Aufzeichnungen, die Transparenz und die Bereitstellung von Informationen für die Nutzer, die menschliche Aufsicht sowie die Robustheit, Genauigkeit und Cybersicherheit. In der Praxis dürften sich in diesem Bereich die meisten Abgrenzungs- und Auslegungsprobleme ergeben. Da die Vorgaben abstrakt und technisch sind, werden sie künftig durch die Praxis und Gerichte konkretisiert werden müssen.
Für KI-Systeme mit geringem Risiko, zum Beispiel Chatbots, gelten besondere Transparenzverpflichtungen. Am Beispiel Chatbots erklärt bedeutet das: Nutzern muss bewusst sein, dass sie es mit einer Maschine zu tun haben, damit sie entscheiden können, ob und wie sie die Anwendung nutzen wollen.
KI-Systeme, die nur ein minimales oder kein Risiko für die Bürgerrechte oder die Sicherheit darstellen, können frei genutzt werden. In diese Kategorie fällt die große Mehrheit der KI-Systeme, zum Beispiel Spamfilter.
Eine erhebliche praktische Folge der neuen Regeln ist die Beschränkung des Marktzugangs. Bevor Hochrisiko-KI-Systeme in der EU in Verkehr gebracht werden dürfen, müssen sich die Anbieter einer Konformitätsbewertung unterziehen. Geprüft werden dabei qualitativ hochwertige Datensätze, Dokumentation, Transparenz und Bereitstellung von Informationen sowie menschliche Aufsicht, Robustheit, Genauigkeit und Sicherheit.
Zudem werden die einzelnen Akteure verpflichtet, festzustellen, ob ihre KI-Systeme den Anforderungen entsprechen. Dazu gehört die Einrichtung eines Qualitätsmanagementsystems und eines Systems zur Überwachung nach dem Inverkehrbringen. Letztlich müssen die KI-Systeme mit einer CE-Kennzeichnung versehen werden, um ihre Konformität zu belegen.
Durch die weit gefasste Definition von KI-Systemen dürfte das Regelwerk erhebliche Auswirkungen auf sämtliche Bereiche der Wirtschaft erlangen – nicht nur auf die digitale. Die teils umfangreichen Verpflichtungen dürften sich für einige Unternehmen – vor allem Start-ups und kleinere Unternehmen – belastend auswirken. Das könnte Innovationen erschweren. In der Praxis wird zudem kritisiert, dass die im Entwurf bestimmten Anforderungen teilweise nur schwer umsetzbar seien. Fraglich sei dabei insbesondere, ob die hohen Anforderungen an KI-Trainingsdaten, repräsentativ und fehlerfrei zu sein, überhaupt erfüllt werden können.
EU-Regelwerk – Blaupause für KI-Regulierung weltweit?
Im nächsten Schritt muss der Vorschlag der Kommission vom Europäischen Parlament und von den Mitgliedstaaten im ordentlichen Gesetzgebungsverfahren angenommen werden. Der Entwurf hat aber schon jetzt weit über die EU hinaus für Aufsehen gesorgt. Perspektivisch könnte er als Vorlage für ähnliche Maßnahmen auf der ganzen Welt dienen.
Eins erscheint klar: KI wird künftig stärker reguliert werden. Start-ups, die im Bereich KI aktiv sind, sollten die Entwicklungen genau verfolgen, sich frühzeitig rechtlich, technisch und organisatorisch mit den geplanten Anforderungen auseinandersetzen und entsprechend vorbereiten.
Autor:
Dr. Roland Wiring ist Rechtsanwalt und Partner bei der Wirtschaftskanzlei CMS Deutschland.
Aussagen des Autors und des Interviewpartners geben nicht unbedingt die Meinung der Redaktion und des Verlags wieder