SBS Firmengruppe Logos

| IT-Recht

KI-Verordnung bald Realität – Unternehmen aufgepasst


Künstliche Intelligenz ist schon seit Jahren in aller Munde. Zahlreiche Unternehmen liefern sich ein Wettrennen um die leistungsstärksten KI-Modelle unterschiedlicher Branchen. Schüler lösen Hausaufgaben mit ChatGPT, während Lehrer überlegen, KI-Systeme zur Bewertung der Hausaufgaben einzusetzen. Bei diesen rasanten Entwicklungen stellte sich schon früh die Frage nach Regulierung. Die Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-VO) auf Unionsebene hat dabei einen schwierigen Prozess durchlaufen – doch nun ist ein Ende in Sicht. SBS LEGAL fasst Ihnen zusammen, was beachtet werden muss, wenn die KI-Verordnung bald Realität wird.

Große Ziele und Inkrafttreten

Laut dem Europäischen Parlament ist die KI-Verordnung eine direkte Antwort auf Vorschläge der Bürgerinnen und Bürger. Bspw. geht es um die  Stärkung der Wettbewerbsfähigkeit der EU in strategischen Sektoren (zu denen KI gehört), um die Bekämpfung von Desinformation sowie die Gewährleistung, dass „letztlich der Mensch die Kontrolle hat.“ Daher sollen sog. Hochrisiko-KI-Systeme besonders bewertet werden.

Vertrauenswürdige und verantwortungsvolle Nutzung von KI, Festlegung von Schutzmaßnahmen, Gewährleistung von Transparenz und andere große Ziele werden also verfolgt. Trotzdem stand lange Zeit nicht fest, ob die KI-VO tatsächlich kommen wird, wie wir in einem Blogartikel behandelt haben. Erst am 2. Februar 2024 stimmten die EU-Mitgliedstaaten der Entwurfsfassung (KI-VOE) zu. Nun wird die Verordnung also tatsächlich kommen und es stehen einige Umstellungen für die EU an.

Es wird erwartet, dass im zweiten Quartal dieses Jahres die finalen Beschlüsse gefasst werden. Art. 85 des KI-VOE regelt, wann dann die Vorschriften in Kraft treten werden. Demnach tritt die Verordnung am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Tatsächlich gelten wird sie aber erst zwei Jahre danach, sodass eine Übergangsfrist besteht. Für ausgewählte Bereiche wird davon jedoch abgewichen – so gelten allgemeine Vorschriften aus Titel I sowie das Verbot bestimmter Arten von KI-Systemen (zB solche für ungezieltes Auslesen von Gesichtsbildern) schon sechs Monate nach Inkrafttreten. Bestimmte Pflichten im Zusammenhang mit Hochrisiko-KI gelten dagegen erst drei Jahren nach Inkrafttreten (Art. 85 Abs. 3 KI-VOE).

Anwendungsbereich – für wen gilt die Verordnung?

Die KI-Verordnung gilt gemäß Art. 2 Abs. 1 KI-VOE erstens für Anbieter, die KI-Systeme in der Union in Verkehr bringen oder in Betrieb nehmen, unabhängig davon, ob diese Anbieter in der Union oder in einem Drittland niedergelassen sind. Zweitens für Nutzer von KI-Systemen, die sich in der Union befinden. Und drittens für Anbieter und Nutzer von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das vom System hervorgebrachte Ergebnis in der Union verwendet wird.

Somit ist der Anwendungsbereich erstmal weit gefasst. Absatz 3 stellt noch einschränkend fest, dass die Verordnung nicht für KI-Systeme gilt, die ausschließlich für militärische Zwecke entwickelt oder verwendet werden. Außerdem dürfen Behörden und internationale Organisationen KI-Systeme gemäß Absatz 4 im Rahmen internationaler Übereinkünfte im Bereich der Strafverfolgung und justiziellen Zusammenarbeit verwenden. Eine sehr interessante Ausnahme gilt nach Absatz 5a für den „alleinigen Zweck“ der wissenschaftlichen Forschung und Entwicklung. Was genau hierunter fällt und was nicht, wird für viele Unternehmen wirtschaftlich entscheidend sein – man denke bspw. an die Pharmaindustrie.

Was nun unter „Anbieter“ und „Nutzer“ zu verstehen ist, findet man in Art. 3:

Art. 3 KI-VOE – Begriffsbestimmungen

Nr. 2: „Anbieter“ - eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System entwickelt oder entwickeln lässt, um es unter ihrem eigenen Namen oder ihrer eigenen Marke – entgeltlich oder unentgeltlich – in Verkehr zu bringen oder in Betrieb zu nehmen; […]

Nr. 4: „Nutzer“ eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet […]


KI-Schulungen und Kennzeichnungspflicht

Nach Art. 4 der aktuellen Fassung fördern die Union und die Mitgliedstaaten Maßnahmen zur Entwicklung eines ausreichenden Niveaus an KI-Kenntnissen, und zwar sektorübergreifend und unter Berücksichtigung der unterschiedlichen Bedürfnisse der betroffenen Gruppen von Anbietern, Anwendern und Betroffenen. Dazu gehören u. a. durch Bildungs- und Ausbildungsprogramme, Qualifizierungs- und Umschulungsprogramme.

KI-Systeme mit allgemeinem Verwendungszweck und die Modelle, auf denen sie beruhen, müssen außerdem bestimmte Transparenzanforderungen erfüllen. Bspw. sollen detaillierte Zusammenfassungen der für das Training verwendeten Inhalte veröffentlicht werden, was für das Urheberrecht relevant ist. Bei Leistungsfähigeren Modellen, die systemische Risiken bergen könnten, müssen zusätzlich bspw. Modellbewertungen durchgeführt, systemische Risiken bewertet und gemindert und Vorfälle gemeldet werden.

Künstliche Intelligenz und Urheberrecht

Wir haben bereits einen Artikel zum Thema Vereinbarkeit von künstlicher Intelligenz und Urheberrecht verfasst.

Hier einige weitere Themen dazu:

> Das Kunsturheberrechtsgesetz (KUG)

> Lizenzen im Urheberrecht

> Wer ist eigentlich Urheber?


Außerdem müssen täuschend echt wirkende, künstlich erzeugte oder bearbeitete Bilder bzw. Audio- und Videoinhalte (sog. Deepfakes) künftig eindeutig als solche gekennzeichnet werden. Diese Pflicht soll der Desinformation entgegenwirken. Dass dies wichtig ist, merkt man an den jüngsten Deepfake-Skandalen, denen vor allem Personen des öffentlichen Lebens zum Opfer fallen, wie kürzlich erst Taylor Swift.

Der Kernpunkt: Hochrisiko-KI-Systeme

Der wesentliche Regelungsgehalt liegt bei solchen KI-Systemen, die als sog. Hochrisiko-KI-Systeme eingestuft werden. Denn sie können eine erhebliche Gefahr für Gesundheit, Sicherheit, Grundrechte, die Umwelt, Demokratie und den Rechtsstaat darstellen. Die Verordnung listet in den Anhängen II und III solche Systeme auf.

Darunter fallen bspw. KI-Systeme, die in den Bereichen kritische Infrastruktur eingesetzt werden oder solche, die für grundlegende private und öffentliche Dienstleistungen – etwa im Gesundheits- oder Bankwesen genutzt werden. Im Einzelfall kann ein KI-System aber trotzdem als nicht hochriskant eingestuft werden, nachdem es isoliert bewertet wurde.

Die Art. 8 ff. KI-VOE stellen besondere Anforderungen für Unternehmen auf, die solche Systeme verwenden. Die hochriskanten KIs müssen bspw. Risiken bewerten und verringern, Nutzungsprotokolle führen, transparent und genau sein und von Menschen beaufsichtigt werden. Beschäftigte und Arbeitnehmervertreter müssen darüber informiert werden, wenn sie am Arbeitsplatz von einem Hochrisiko-KI-System betroffen sind.

Neues europäisches Amt extra für KI

Art. 56 des KI-VOE sieht nun vor, dass ein ganz neues Amt auf EU-Ebene geschaffen wird: das „European Artificial Intelligence Office.“ Es soll in Brüssel sitzen und sich vorwiegend auf die Durchsetzung der KI-Verordnung konzentrieren. Die Website finden Sie hier: (https://digital-strategy.ec.europa.eu/de/policies/ai-office)

Zu den Aufgaben gehört somit die Unterstützung, Beratung und Zusammenarbeit mit den Mitgliedstaaten, den nationalen Aufsichtsbehörden, der Kommission und anderen Organen im Hinblick auf die Durchführung der Verordnung. Bei Diskussionen über schwerwiegende Meinungsverschiedenheiten zwischen den zuständigen Behörden soll das EU AI Office als Vermittler fungieren. Auch soll sie jährlich einen Bericht verfassen, der den Entwicklungsstand festhält und ernsthafte Zwischenfälle auflistet.

Welche nationale Behörde zuständig sein wird, ist noch nicht entschieden. Im Rennen sind wohl die Bundesnetzagentur (BNetzA), das Bundesamt für Sicherheit in der Informationstechnologie (BSI) und die Datenschutzstellen von Bund und Ländern. Jedenfalls wird es einiges für diese Behörde zu tun geben, da auch in Deutschland zahlreiche Unternehmen neue KI-Systeme entwickeln und im Wettbewerb stehen.

Allgemeine KI-Systeme

Als allgemeine KI-Systeme (im Original: General Purpose AI, kurz: GPAI) werden die KI-Modelle bezeichnet, die als technische Grundlage für verschiedene bekannte KI-Anwendungen fungieren. Ein gutes Beispiel sind die Large Language Models (LLM) wie ChatGPT. Als Teil der Verordnung wurde vereinbart, dass GPAI und die GPAI-Modelle, auf denen sie basieren, den ursprünglich vom Parlament vorgeschlagenen Transparenzanforderungen genügen müssen. Dazu gehören, wie oben bereits besprochen, die Erstellung einer technischen Dokumentation und die Einhaltung des EU-Urheberrechts.

Für GPAI-Modelle mit hohem systemischen Risiko wird es hingegen strengere Regeln geben. Wenn diese Modelle bestimmte Kriterien erfüllen, müssen sie Modellevaluierungen durchführen, systemische Risiken bewerten und abschwächen, Gegentests durchführen, der Kommission über schwerwiegende Vorfälle berichten, Cybersicherheit gewährleisten und über ihre Energieeffizienz berichten.

Fazit

Wir bei SBS LEGAL haben die Entwicklung rund um KI im Blick. Es ist wichtig, ihr technische und moralische Grenzen zu setzen - denn niemand will in einer Dystopie landen, nur weil die Menschheit nicht genug aufgepasst hat. Die EU nimmt dabei eine Vorreiterrolle ein und das Augenmerk jedes entwickelten Landes wird auf der Durchsetzung dieser Verordnung liegen.

Von den wichtigsten Bestimmungen sind dabei nur wenige Unternehmen betroffen. Denn laut einer Folgenabschätzung der EU-Kommission werden ca. 5 – 15% der genutzten KI-Systeme als hochriskant eingestuft. Dennoch sollten sich alle Unternehmen, die KI-Systeme nutzen oder anbieten, informieren.

Denn die Nichteinhaltung der Vorschriften der KI-VO kann zu Geldbußen führen, die je nach Verstoß und Größe des Unternehmens zwischen 35 Millionen Euro oder 7 % des weltweiten Umsatzes und 7,5 Millionen oder 1,5 % des Umsatzes liegen. Dieses scharfe Schwert wird wohl dafür sorgen, dass Unternehmen sich EU-weit bemühen, die Vorschriften einzuhalten.


SBS LEGAL – Ihre Kanzlei für das KI-Recht

Künstliche Intelligenz ist bereits seit einiger Zeit ein Thema, das Unternehmen fast täglich mit neuen rechtlichen Herausforderungen konfrontiert. KI-Systeme wie Chat-GPT oder Midjourney eröffnen zahlreiche technische Möglichkeiten. Doch kann die Nutzung von künstlicher Intelligenz auch Risiken darstellen, wie einen Verstoß gegen das Urheberrecht. Als Kanzlei für KI-Recht befasst sich SBS Legal mit diesen Themen, damit Sie immer auf dem neuesten Stand sind.

Haben Sie noch Fragen zum KI-Recht?

Sie brauchen eine Beratung im KI-Recht oder einen KI-Rechtsanwalt, etwa für die Einordnung des KI-Verordnungsentwurfs der EU und Hochrisiko-KI-Systemen? Dann sind Sie bei uns richtig.

Der Erstkontakt zu SBS Legal ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht