Die KI-Verordnung tritt in Kraft
Am 1. August 2024 tritt die „Verordnung zur Regulierung künstlicher Intelligenz“ (KI-VO) in Kraft. Die Verordnung markiert einen bedeutenden Meilenstein in der europäischen Technologiepolitik, selbst wenn das EU-Marketing als weltweit als erstes umfassendes Gesetz zur Regulierung von KI zweifelhaft ist. Die Verordnung wurde im EU-Amtsblatt veröffentlicht und tritt nun in Kraft. Die tatsächliche Geltung der neuen Pflichten ist verschiedenen Fristen unterworfen. Sie liegen zwischen sechs Monaten und drei Jahren, so dass verschiedene Teile der KI-Verordnung zu verschiedenen Zeitpunkten verpflichtend werden.
Im vorliegenden Beitrag geben wir einen Überblick über den zeitlichen Anwendungsbereich, beleuchten die endgültigen Bestimmungen der KI-Verordnung und erläutern die nächsten Schritte, die zur Umsetzung der neuen Vorschriften erforderlich sind.
Risikobasierte Regulierung von KI-Systemen
Die KI-Verordnung verfolgt einen risikobasierten Ansatz, um den potenziellen Auswirkungen von KI-Systemen auf Sicherheit, Gesundheit und Grundrechte gerecht zu werden. Es werden vier Risikostufen unterschieden, die jeweils unterschiedlichen Complianceanforderungen unterliegen. Praktiken mit unvertretbaren Risiken, wie etwa bei einer Social Scoring-KI, werden durch die Verordnung verboten (Art. 5 Abs. 1 KI-VO). Wird die Anwendung eines KI-Systems nicht verboten, gibt es verschiedene Risikostufen, in die jedes KI-System einzustufen ist. Bei KI-Systemen, die geringen oder keinen Pflichten unterliegen sind die Schulungspflichten zu beachten.
Einer besonderen Regulierung unterliegen Hochrisiko-KI-Systeme, die in sicherheits- oder grundrechtssensiblen Bereichen eingesetzt werden. Sie ziehen umfangreiche Pflichten nach sich: Die strengen Auflagen umfassen Risikobewertungen, Marktüberwachungsmaßnahmen und die Etablierung einer menschlicher Aufsicht über das KI-System. Die Anbieter dieser Systeme müssen spätestens jetzt mit der Prüfung und Absicherung ihrer Leistungen beginnen. Demgegenüber müssen Betreiber – also Unternehmen, die solche KI-Systeme im Unternehmensalltag einsetzen – primär prüfen, ob die Anbieter der Systeme die neuen Pflichten erfüllen. Die Pflichten stellen wir in späteren Beiträgen hier auf der Website näher vor.
Für General Purpose AI (GPAI) hat die Verordnung eine gestufte Risikoklassifizierung eingeführt, die zwischen normalen Modellen, offen lizenzierten Modellen und solchen mit systemischen Risiken unterscheidet (Art. 90, 92 KI-VO). Anbieter von GPAI-Modellen müssen umfangreiche technische Dokumentationen bereitstellen und striktere Complianceanforderungen erfüllen. Das gilt insbesondere, wenn systemische Risiken vorliegen (Art. 53 KI-VO). Bestimmte generative KI-Systeme unterliegen speziellen Transparenzpflichten (Art. 50 KI-VO). Alle KI-Systeme, auch die in sonst keine der oben genannten Kategorien fallenden, müssen Schulungen von Beschäftigten im Umgang mit KI (Art. 4 KI-VO).
Neuerungen im finalen Verordnungstext
Die finale Fassung der KI-Verordnung enthält mehrere inhaltliche und sprachliche Anpassungen. In der neusten und finalen Fassung der KI-Verordnung sind KI-Systeme, die unter freien und quelloffenen Lizenzen bereitgestellt werden – sogenannte Open-Source-KI-Systeme – nun von dem Anwendungsbereich der Verordnung ausgenommen. Es sei denn, sie es handelt sich um Hochrisiko-KI-Systeme oder verbotene Praktiken (Art. 2 Abs. 12 KI-VO). Zudem wurde die Aufsicht über General Purpose AI (GPAI) durch das Büro für Künstliche Intelligenz erweitert (Art. 3 Nr. 47 KI-VO).
Im Bereich der verbotenen KI gab es eine wesentliche Änderung: Das Verbot, KI zur unterschwelligen Beeinflussung einzusetzen, greift nun bereits bei einer hinreichenden Wahrscheinlichkeit eines Schadenseintritts (Art. 5 Abs. 1 lit. A KI-VO). Ein tatsächlicher oder wahrscheinlicher erheblicher Schaden ist jetzt nicht mehr erforderlich. Zudem wurde der Anwendungsbereich von Hochrisiko-KI in Anhang III der Verordnung erweitert. Beispielsweise können nun KI-Systeme auf allen Bildungsstufen in den Hochrisiko-Bereich fallen und auch der Einsatz von Lügendetektoren durch Dritte im Auftrag öffentlicher Behörden kann als hochriskant gelten. In früheren Fassungen der KI-Verordnung wurde der Einsatz von KI-Systemen bei Lügendetektoren zwar ebenfalls als risikobehaftet erkannt, jedoch waren die Bestimmungen weniger spezifisch und umfassend.
Fristen zur Umsetzung der KI-Verordnung
Durch die gestaffelten Umsetzungszeitpunkte (Art. 113 KI-VO) können spezifische Risiken gezielt adressiert und die notwendigen Compliancemaßnahmen schrittweise eingeführt werden:
- Verbote bestimmter KI-Systeme nach Art. 5 KI-VO gelten bereits ab dem 2. Februar 2025 (Art. 113 Abs. 3 lit. a KI-VO). Daher ist es von hoher Bedeutung zu prüfen, ob eine angebotene oder genutzt KI in den verbotenen Bereich fällt, wobei das vor allem öffentliche Stellen betreffen wird.
- Die Vorschriften für Hochrisiko-KI-Systeme sind regulär ab dem 2. August 2026 verpflichtend. Davon ausgenommen sind die Regelungen über Hochrisiko-KI in Art. 6 Abs. 1 KI-VO, die sich auf den Einsatz in Produktsicherheitsrelevanten Bereichen beziehen, die erst ab dem 2. August 2027 wirksam werden (Art. 113 Abs. 3 lit. c KI-VO).
- Die Pflichten für General Purpose AI (GPAI) gelten ab dem 2. August 2025 (Art. 113 Abs. 3 lit. b).
- Die Transparenzpflichten nach Art. 50 KI-VO gelten ab dem 2. August 2026.
- Die allgemeinen Bestimmungen der KI-VO sind ab dem 2. Februar 2025 verpflichtend (Art. 113 Abs. 3 lit. a). Das hat zur Folge, dass Unternehmen bereits in sechs Monaten der Schulungspflicht unterliegen! Unternehmen müssen daher kurzfristig Schulungsprogramme für ihre Mitarbeitenden bereitstellen, die mit dem Betrieb und der Nutzung von KI-Systemen befasst sind (Art. 4 KI-VO). Das erfasst grundsätzlich jeden Beschäftigten, der ChatGPT oder andere Tools im Rahmen der Arbeit nutzt.
Fazit und Handlungsempfehlungen für Unternehmen
Am 2. August 2024 tritt die KI-Verordnung in Kraft. Im Laufe der nächsten drei Jahre werden die Pflichten der Verordnung schrittweise Geltung erlangen. Aufseiten der EU besteht die Hoffnung, dass die Verordnung global als Standard dient und durch den sogenannten Brussels Effect, ähnlich wie die DSGVO, weltweit als Vorbild für weitere KI-Gesetze dient. Aus Perspektive von Unternehmen bedeutet die final verabschiedete KI-Verordnung einige neue Herausforderungen und verlangt eine frühzeitige Anpassung der internen Prozesse und Strukturen. Unternehmen müssen sich intensiv mit den spezifischen Anforderungen und Fristen der Verordnung auseinandersetzen, um rechtzeitig die notwendigen Compliancemaßnahmen zu implementieren. Unter anderem bedeutet dass, bereits ab dem 02. Februar 2025 erste Schritte zur Schulung von Mitarbeitenden im Umgang mit KI-Systemen zu unternehmen (Art. 4 KI-VO).
Hochrisiko-KI-Systeme und General Purpose AI (GPAI) erfordern umfangreiche technische Dokumentationen und Risikobewertungen, die spätestens bis zum 02. August 2026 bzw. 2027 umgesetzt sein müssen. Verbotene KI-Anwendungen müssen bereits ab dem 02. Februar 2025 vollständig aus dem Betrieb entfernt werden. Unternehmen sollten daher umgehend beginnen, ihre bestehenden KI-Systeme zu überprüfen, potenziell verbotene Praktiken zu identifizieren und notwendige Anpassungen vorzunehmen.
Es empfiehlt sich, ein spezialisiertes Complianceteam aufzubauen und externe Expertise hinzuzuziehen, um die Einhaltung der neuen Vorschriften sicherzustellen. Zudem sollten Unternehmen eng mit Aufsichtsbehörden und Branchenverbänden zusammenarbeiten, um sich über aktuelle Entwicklungen und Interpretationen der KI-Verordnung auf dem Laufenden zu halten. Die proaktive Auseinandersetzung mit den Anforderungen der KI-Verordnung wird nicht nur rechtliche Sicherheit schaffen, sondern auch die Innovationsfähigkeit und Wettbewerbsposition im europäischen Markt stärken.
Ihr Ansprechpartner für KI-Recht und Datenschutz:
Dr. Matthias Lachenmann
Tel.: +49 221 / 270 956 – 180; E-Mail: matthias.lachenmann@bho-legal.com