Das weltweit erste umfassende Gesetz zur Künstlichen Intelligenz (KI), das Europäische Gesetz über Künstliche Intelligenz (KI-Gesetz), ist vorangekommen. Am 8. Dezember 2023 wurde eine politische Einigung über den Entwurf des europäischen KI-Gesetzes erzielt.
Diesem Meilenstein gingen intensive Verhandlungen zwischen den EU-Gesetzgebungsorganen voraus, darunter der Rat der Europäischen Union, das Europäische Parlament und die Europäische Kommission. Wir sind dem Inkrafttreten des Gesetzes einen weiteren Schritt nähergekommen. Hier erfahren Sie, was Sie als Leiter der Rechtsabteilung wissen müssen, um Ihr Unternehmen auf die Einhaltung der Vorschriften vorzubereiten.
In diesem Artikel
- Was ist das EU-KI-Gesetz?
- Welche Bedeutung hat die jüngste Einigung der KI-Gesetzgebung?
- Wann tritt das EU-KI-Gesetz in Kraft?
- Was bedeutet der EU-KI-Gesetzesentwurf für Ihr Unternehmen?
- Gibt es spezielle Regelungen für generative KI-Anwendungen?
- Welche Sanktionen sind bei Nichteinhaltung zu erwarten?
- Bleiben Sie als Leiter der Rechtsabteilung informiert und bereiten Sie Ihr Unternehmen auf die Einhaltung der Vorschriften vor
Was ist das EU-KI-Gesetz?
Das EU-KI-Gesetz ist ein von der Europäischen Union initiierter Rechtsrahmen, der ein Gleichgewicht zwischen Innovation bei der Entwicklung von KI-Technologien und dem Schutz der Grundrechte herstellen soll. Er steht im Einklang mit der umfassenderen EU-Datenschutzstrategie und befasst sich mit den Herausforderungen, die sich aus der raschen Entwicklung von KI-Technologien ergeben.
Die Verordnung wurde für 2021 vorgeschlagen. Bis wirkliche Fortschritte erzielt wurden, dauerte es einige Zeit, da neue Instrumente der generativen KI - insbesondere ChatGPT - die Welt im Sturm eroberten. Die Frage, wie generative KI kategorisiert und reguliert werden sollte, führte zu anhaltenden Debatten unter den Gesetzgebern und verursachte Verzögerungen.
Welche Bedeutung hat die jüngste Einigung der KI-Gesetzgebung?
Kurzum: Die Gesetzgeber haben sich auf den Entwurf des EU-KI-Gesetzes geeinigt, so dass weitere Entwicklungen möglich sind. Die Einigung auf das KI-Gesetz zeigt das Engagement der EU, bei der Regulierung der KI eine Vorreiterrolle zu übernehmen.
Das Gesetz, das im April 2021 in Kraft treten soll, wurde erheblich verfeinert und unterstreicht die Rolle der EU als globaler Einflussnehmer bei der Gestaltung internationaler Standards, ähnlich den Auswirkungen der Datenschutz-Grundverordnung (DSGVO) - ein Phänomen, das oft als Brüssel-Effekt bezeichnet wird.
Die Präsidentin der Europäischen Kommission, Ursula von der Leyen, sagte:
"Klug und umfassend eingesetzt, verspricht KI enorme Vorteile für unsere Wirtschaft und Gesellschaft. Deshalb begrüße ich die heutige politische Einigung des Europäischen Parlaments und des Rates über den Rechtsakt zur Künstlichen Intelligenz sehr. Das EU-Gesetz zur Künstlichen Intelligenz ist der weltweit erste umfassende Rechtsrahmen für Künstliche Intelligenz. Dies ist daher ein historischer Moment. Mit dem KI-Gesetz werden die europäischen Werte in eine neue Ära überführt. Durch die Gewährleistung der Sicherheit und der Grundrechte von Einzelpersonen und Unternehmen wird es die Entwicklung, den Einsatz und die Einführung vertrauenswürdiger KI in der EU unterstützen." - Ursula von der Leyen
Wann tritt das EU-KI-Gesetz in Kraft?
Die KI-Gesetzgebung der EU rückt näher, auch wenn die Umsetzung noch einige Zeit in Anspruch nehmen wird. Doch während die letzten Details der Verordnung noch ausgearbeitet werden, müssen Unternehmen, die KI-Systeme entwickeln oder einsetzen, proaktive Schritte unternehmen, um sich auf die Einhaltung der Vorschriften vorzubereiten, sobald das Gesetz in Kraft tritt.
Nachfolgend ein grober Zeitplan für das Inkrafttreten des EU-KI-Gesetzes in den nächsten 6-24 Monaten:
- 6 Monate: In dieser Anfangsphase wird sich das Gesetz auf verbotene Systeme konzentrieren.
- 12 Monate: Die Verpflichtungen zur allgemeinen KI-Governance werden anwendbar.
- 24 Monate: Das KI-Gesetz tritt vollständig in Kraft, einschließlich der Verpflichtungen für Hochrisikosysteme.
Was bedeutet der EU-KI-Gesetzesentwurf für Ihr Unternehmen?
Seit der Einigung hat die Europäische Kommission Leitlinien veröffentlicht, um den Hintergrund und den Anwendungsbereich des AI-Gesetzes zu klären, damit Sie Ihre Organisation entsprechend vorbereiten können.
Die wichtigsten Erkenntnisse sind:
- Das KI-Gesetz der EU steht im Einklang mit den Leitlinien der OECD (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung) zur Klassifizierung von KI-Systemen.
- Sowohl öffentliche als auch private Organisationen, die KI-Systeme in der EU in Betrieb nehmen oder in der EU ansässige Personen betreffen, fallen unter die Verordnung.
- Mit dem KI-Gesetz werden spezifische Vorschriften für allgemeine KI-Modelle (einschließlich großer generativer KI-Modelle) eingeführt, um Transparenz zu gewährleisten. Für spezielle, leistungsfähige Modelle, die systemische Risiken darstellen können, werden zusätzliche verbindliche Verpflichtungen eingeführt.
- Ein neues KI-Büro wird die Umsetzung überwachen und die Governance zwischen den nationalen Aufsichtsbehörden koordinieren.
- Risikokategorien. Die EU-KI-Verordnung kategorisiert KI-Systeme in vier verschiedene Risikokategorien:
- Minimales Risiko: In diese Kategorie fallen die meisten KI-Systeme, die derzeit in Betrieb sind oder voraussichtlich in Betrieb genommen werden. Anwendungen mit geringem Risiko, wie z. B. KI-gestützte Spam-Filter, fallen unter die bestehenden Vorschriften ohne zusätzliche rechtliche Verpflichtungen, da sie nur ein geringes oder gar kein Risiko für die Rechte oder die Sicherheit der Bürgerinnen und Bürger darstellen. Die Unternehmen können sich freiwillig zu zusätzlichen Verhaltenskodizes für diese Systeme verpflichten.
- Hohes Risiko: KI-Systeme und Sicherheitskomponenten mit hohem Risiko haben ein höheres Potenzial, die Grundrechte und -freiheiten zu beeinträchtigen. Für diese Systeme gelten besondere Anforderungen und Verpflichtungen, wie z. B. die Durchführung einer Grundrechtsverträglichkeitsprüfung, eine Konformitätsbewertung und die Einführung von Risikomanagement- und Qualitätsmanagementsystemen. Beispiele hierfür sind kritische Infrastrukturen (z. B. Wasser-, Gas- und Stromversorgung), medizinische Geräte, Zugangs- oder Einstellungssysteme im Bildungswesen sowie Systeme, die bei der Strafverfolgung, der Grenzkontrolle und in demokratischen Prozessen eingesetzt werden. Biometrische Identifizierungs-, Kategorisierungs- und Emotionserkennungssysteme werden ebenfalls als risikobehaftet eingestuft.
- Inakzeptables Risiko: Schädliche KI-Anwendungen, die Grundrechte verletzen; diese Kategorie von KI-Systemen führt zu einem Verbot. Beispiele sind KI-Systeme, die menschliches Verhalten manipulieren, um den freien Willen des Nutzers außer Kraft zu setzen, wie sprachgesteuerte Spielzeuge, die gefährliches Verhalten bei Minderjährigen fördern, Systeme, die "Social Scoring" durch Regierungen oder Unternehmen ermöglichen, und spezielle prädiktive Polizeianwendungen. Zu den verbotenen Anwendungen biometrischer Systeme gehören die Erkennung von Emotionen am Arbeitsplatz und in Bildungseinrichtungen, die biometrische Fernidentifizierung in Echtzeit an öffentlich zugänglichen Orten und das ungezielte Scraping.
- Begrenztes/spezifisches Transparenzrisiko: Bezieht sich auf bestimmte KI-Systeme, bei denen die Gefahr der Manipulation besteht (z. B. Chatbots). Nutzer, die mit solchen Systemen interagieren, müssen sich bewusst sein, dass sie es mit einer Maschine zu tun haben. Außerdem müssen Deep Fakes und andere KI-generierte Inhalte klar gekennzeichnet werden. Die Nutzer müssen informiert werden, wenn biometrische Kategorisierungs- oder Emotionserkennungssysteme eingesetzt werden. Anbieter müssen Systeme entwickeln, um synthetische Inhalte in einem maschinenlesbaren Format zu kennzeichnen, so dass sie als künstlich erzeugt oder manipuliert erkannt werden können
Gibt es spezielle Regelungen für generative KI-Anwendungen?
Das Gesetz sieht vor, dass generative KI-Anwendungen den Transparenzanforderungen entsprechen müssen:
- Klarer Hinweis, dass es sich um KI-generierte Inhalte handelt.
- Entwicklung von Modellen, die verhindern, dass illegale Inhalte erzeugt werden.
- Veröffentlichung von Zusammenfassungen der für das Training verwendeten urheberrechtlich geschützten Daten.
- Für Systeme, von denen systemische Risiken ausgehen können, gelten zusätzliche verbindliche Verpflichtungen, darunter Modellbewertungen, Risikomanagement und Berichterstattung.
Welche Sanktionen sind bei Nicht-Einhaltung zu erwarten?
Unternehmen, die gegen die Bestimmungen des EU-Wettbewerbsrechts verstoßen, müssen mit folgenden Sanktionen rechnen:
- Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes für Verstöße gegen verbotene Praktiken.
- Bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes für sonstige Verstöße, einschließlich Verstöße in Bezug auf allgemeine KI-Modelle.
- Bis zu 7,5 Mio. EUR oder 1,5 % des weltweiten Jahresumsatzes für die Bereitstellung falscher, unvollständiger oder irreführender Informationen.
- Für KMU gilt der niedrigere Schwellenwert.
Bleiben Sie als Leiter der Rechtsabteilung informiert und bereiten Sie Ihr Unternehmen auf die Einhaltung der Vorschriften vor
Im Zuge der Ausarbeitung des EU-KI-Gesetzes müssen die Unternehmen die darin enthaltenen Regeln für KI übernehmen. Diese Vereinbarung zeigt, dass es der EU mit verantwortungsvoller KI ernst ist.
Bleiben Sie auf dem Laufenden und bereiten Sie sich auf die Einhaltung der Vorschriften vor, um in diesem neuen KI-Zeitalter erfolgreich zu sein. Wenn Sie Fragen zur Einhaltung der Vorschriften haben, wenden Sie sich bitte an DataGuard.