07.03.2024 | Datenschutz & IT | ID: 1164787

Die neue KI-Verordnung in der EU

Mag. Milka Milicic und Mag. Carla Zimmermann-Gassner, LL.B. beleuchten die wichtigsten Eckpunkte zur KI-Verordnung: Vom Geltungsbereich über die 4 Risikostufen bis hin zu verbotenen Praktiken im Bereich der KI.

Am 2. Februar 2024 stimmten die Mitgliedstaaten der EU im Ausschuss der Ständigen Vertreter einstimmig für die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung oder AI-Act). Diese wegweisende KI-Verordnung schafft nun einen einheitlichen Rahmen für den Einsatz von Künstlicher Intelligenz in Europa. Ihr Hauptziel besteht darin, Innovationen zu fördern und gleichzeitig sicherzustellen, dass die künstliche Intelligenz in der EU in einer Weise genutzt wird, die den Grundrechten und der Sicherheit der Menschen entspricht.

KI-Verordnung – Geltungsbereich

Die KI-Verordnung regelt die Verantwortlichkeiten von Anbietern und Nutzern von KI-Systemen, die in der EU in Verkehr gebracht oder in Betrieb genommen werden bzw deren Ergebnis in der Union verwendet wird. Anbieter, die KI-Systeme entwickeln, stehen im Fokus, während als Nutzer gem Artikel 3 Abs 1 Z 4 jene Personen gelten, die KI-Systeme eigenverantwortlich nutzen, einschließlich Behörden und öffentlicher Einrichtungen, es sei denn, die Nutzung erfolgt privat und nicht beruflich.

Anbieter kostenloser und quelloffener KI-Modelle sind von den meisten Verpflichtungen befreit, jedoch nicht solche mit generellem Verwendungszweck und systemischen Risiken. Forschung, Entwicklung und Prototypentwicklung von KI-Produkten vor der Markteinführung sind ebenfalls vom Anwendungsbereich ausgenommen. Die Verordnung gilt ferner ua auch nicht für KI-Systeme, die ausschließlich für militärische Sicherheitszwecke entwickelt werden, unabhängig von der ausführenden Einrichtung.

Risikobasierter Ansatz – 4 Risikostufen

Die KI-VO differenziert zwischen nachstehenden Risikostufen. Je höher das mit einem KI-System verbundene Risiko ist, desto größer sind die für die Betroffenen bestehenden Verpflichtungen.

• Minimales Risiko: Die große Mehrheit der KI-Systeme, die derzeit oder künftig in der EU verwendet werden, fällt in diese Kategorie. Anbieter solcher „vertrauenswürdiger“ KI-Systeme können freiwillig die Anforderungen und Verhaltenskodizes anwenden, ohne zusätzliche rechtliche Verpflichtungen einhalten zu müssen.
• Hohes Risiko: Hierbei handelt es sich um eine begrenzte Zahl von KI-Systemen, die potenziell nachteilig auf die Sicherheit der Menschen oder ihre Grundrechte wirken. Eine Liste dieser KI-Systeme mit hohem Risiko liegt als Anhang zum AI-Act vor und kann entsprechend der Entwicklung von KI-Anwendungsfällen aktualisiert werden.
• Unannehmbares Risiko: Besonders schädliche KI-Anwendungen (wie sog Social Scoring, Ausnutzung der Schutzbedürftigkeit von Personen, biometrische Echtzeit-Fernidentifizierung im öffentlich zugänglichen Raum durch Strafverfolgungsbehörden und bestimmte Formen der biometrischen Kategorisierung), die gegen die EU-Werte bzw Grundrechte verstoßen, sind gänzlich verboten.
• Besondere Transparenzverpflichtungen: Für bestimmte KI-Systeme, insbesondere solche mit klarer Manipulationsgefahr, werden besondere Transparenzverpflichtungen auferlegt. Nutzer sollen etwa darüber informiert werden, dass sie es mit einer Maschine zu tun haben, zB bei der Verwendung von Chatbots.

Verbotene Praktiken im Bereich der KI und Hoch-Risiko-KI-Systeme

Die KI-Verordnung definiert in Artikel 5 klare Verbote für bestimmte KI-Praktiken, die auch für Nutzer gelten. Diese untersagen besonders eingriffsintensive Techniken, wie die Anwendung von unterschwelligen Beeinflussungsmethoden außerhalb des Bewusstseins, um Personen erheblich zu beeinflussen oder Schaden zuzufügen. Die Anwendung solcher Praktiken dürfte in normalen betrieblichen und behördlichen Kontexten die Ausnahme sein, was die Relevanz der Verbote unterstreicht. Bei Verstößen drohen Geldbußen, die bis zu EUR 35.000.000,– oder 7 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen können, je nachdem, welcher Betrag höher ist.

Für so genannte „Hoch-Risiko-Systeme“ legt die KI-Verordnung Anwendern einen umfassenden Katalog von Pflichten auf, um potenzielle Gefahren zu kontrollieren. Unternehmen und öffentliche Einrichtungen sollten vor der Implementierung eines KI-Systems genau prüfen, ob es als Hoch-Risiko-System eingestuft wird. Bei Einsatz eines solchen Systems müssen sie diverse im Artikel 29 festgelegte Pflichten erfüllen. Zusätzliche Verpflichtungen für als hochriskant eingestufte KI-Systeme sind in Artikel 16 der KI-Verordnung verankert.

Neben dem speziellen Pflichtenkatalog für Hochrisiko-KI-Systeme in Artikel 29 sind weitere allgemeine Verpflichtungen für Anwender bei der Nutzung von KI-Systemen in der Verordnung enthalten.

Ausblick

Die KI-Verordnung tritt am 20. Tag nach Veröffentlichung im EU-Amtsblatt in Kraft. Die Bestimmungen der KI-Verordnung sollen größtenteils zwei Jahre nach ihrem Inkrafttreten wirksam werden. Jedoch ist für einige Regelungen ein abweichender Zeitpunkt für die Anwendung vorgesehen. Dies betrifft insbesondere etwa das Verbot bestimmter KI-Systeme, welches bereits sechs Monate nach dem Inkrafttreten wirksam werden soll.

Fazit

Die einstimmige Zustimmung zur KI-Verordnung stellt einen bedeutenden Schritt in Richtung einer verantwortungsbewussten KI-Nutzung in der EU dar. Anbieter und Nutzer von KI-Systemen haben klare Verantwortlichkeiten, während unterschiedliche Risikostufen differenzierte Verpflichtungen vorsehen. Obwohl die Verordnung positive Maßnahmen zur Förderung von Innovationen und zum Schutz grundlegender Rechte bezwecken sollte, sind deren Umsetzung und Effektivität abzuwarten.

Autorinnen

Mag. Milka Milicic und Mag. Carla Zimmermann-Gassner, LL.B. sind Rechtsanwältinnen bei GIBEL ZIRM Rechtsanwälte in Wien und Autorinnen von zahlreichen Publikationen. Sie betreuen nationale und internationale Mandate in allen Bereichen des Unternehmens- und Wirtschaftsrechtes.

Link auf die Kanzlei: https://www.gibelzirm.com/de