Am 14.06.2023 hat sich das Europäische Parlament nach langen Diskussionen auf einen „Vorschlag für eine Verordnung… zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union“ verständigt. Es wird erwartet, dass das Projekt KI-Gesetz („Artificial Intelligence Act“ oder kurz AI-Act) noch Ende 2023 abgeschlossen werden kann.
Das Thema ist dank ChatGPT nicht mehr nur Hollywood-Fiktion, sondern längst faszinierende und manchmal auch beunruhigende Realität. Obwohl sonst schnell der Vorwurf der Überregulierung durch die EU erhoben wird, kann es in diesem Bereich nicht schaden, wenn man den technischen Quantensprung so schnell und detailliert wie möglich mit Vorschriften in die richtigen Bahnen lenkt. Es gilt, Risiken für die Anwender zu minimieren, Rechte zu sichern und notfalls welche zu schaffen. Zugleich brauchen Unternehmen dringend Rechtssicherheit, wenn es um den Einsatz von KI geht. Je nach Branche werden unterschiedlich starke Auswirkungen von Technik und Recht spürbar sein.
Dieser Artikel soll zunächst einen Überblick über die zu erwartende Rechtsentwicklung geben, in weiteren Artikeln werden wir ein Licht auf die einzelnen Rechtsbereiche und Branchen werfen.
Wie lautet die Geschichte hinter dem KI-Gesetz?
Auch wenn es den Anschein hat, dass die EU mit dem KI-Gesetz erst spät auf die Entwicklungen bei ChatGPT & Co. reagiert hat, so reicht die Historie doch weiter zurück. Schon 2018 gab es auf europäischer Ebene ein Strategiepapier, 2019 einen Bericht einer Expertenkommission und 2020 das „Weißbuch zur Künstlichen Intelligenz“ der EU-Kommission. Letztere hatte den ersten Entwurf zum KI-Gesetz im April 2021 präsentiert. Allerdings hat die rasante Entwicklung der letzten Monate die Diskussionen rund um den Verordnungsentwurf nachvollziehbar beeinflusst, so dass bis zuletzt noch um die endgültige Fassung gerungen wird.
Der Rat der EU veröffentlichte am 06.12.2022 eine allgemeine Ausrichtung zum Verordnungs-Vorschlag. Am 27.04.2023 einigte sich das Parlament auf eine Stellungnahme, die leitenden Ausschüsse stimmten am 11.05.2023 über den Entwurf ab. Im EU-Parlament erfolgte im Juni 2023 dann eine finale Abstimmung, wieder mit erheblichen Änderungen. Die KI-Verordnung soll noch 2023 in Kraft treten, die meisten Vorschriften gelten dann allerdings erst nach weiteren 24 Monaten. Zuvor werden noch Gespräche mit den Mitgliedsstaaten über den finalen Verordnungstext geführt, so dass nachvollziehbar ist, dass sich dieser Beitrag nur mit der aktuellen Fassung beschäftigen kann – Änderungen also vorbehalten.
Die ausgegebenen Ziele des KI-Gesetzes klingen anfänglich widersprüchlich: Es soll transparente Regeln für den Umgang mit KI-gesteuerten Systemen schaffen, jedweden schädlichen Einfluss beschränken sowie Grundrechte der Bürger sichern. Allerdings will man zugleich den EU-weiten Wettbewerb fördern und Überregulierung vermeiden, so dass Europa bei der weltweiten Entwicklung nicht abgehängt wird. Beide Ansinnen werden am Ende zu einem Kompromiss nötigen, der nicht ohne Kritik bleiben kann.
Wer ist vom KI Gesetz betroffen?
Wer glaubt, von der Regulierung seien nur „Large Language Models“ wie ChatGPT betroffen, der irrt nachhaltig. Nach der im KI-Gesetz bewusst weit gefassten Definition handelt es sich bei KI um ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie arbeitet und für explizite oder implizite Ziele Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann, die die physische oder virtuelle Umgebung beeinflussen. Diese Begriffsbestimmung ist sehr weit gefasst und nimmt nach dem letzten Entwurf bewusst nicht Bezug auf Software. Daher sind von der Verordnung auch Bereiche tangiert, in denen KI schon jetzt wie selbstverständlich im Hintergrund wichtige Aufgaben erfüllt. Virtuelle Assistenten, Chatbots und Empfehlungsdienste bei Streaminganbietern sind ebenso betroffen wie Spamfilter und intelligente Hilfen im Marketing oder Recruiting. Der Einsatz von KI in der Medizin bei der Diagnose von Krankheiten sei zusätzlich hervorgehoben, den Bogen zum Autonomen Fahren oder dem Metaverse wollen wir an dieser Stelle gar nicht erst spannen.
Die KI-Verordnung soll in der derzeitig bekannten Fassung für alle Anbieter und Anwender von KI-Systemen gelten. Das gilt unabhängig davon, ob diese in der Union oder in einem Drittland niedergelassen sind. Für Händler, Einführer von KI-Systemen, Bevollmächtigte von Anbietern von KI-Systemen sowie Hersteller bestimmter Produkte ist der Anwendungsbereich ebenso eröffnet, wenn diese in der Union niedergelassen oder ansässig sind. Die insoweit geltenden Regelungen sind vergleichbar mit dem Marktortprinzip aus der DSGVO.
Was wird geregelt?
Grundlegend für das Verständnis der KI-Verordnung ist der Gedanke des risikobasierten Ansatzes: Um feststellen zu können, welche Compliance- und Informationspflichten durch Unternehmen einzuhalten sind, ist die jeweilige KI-Technologie unter Berücksichtigung der Zweckbestimmung und der konkreten Anwendungsrichtlinien zu kategorisieren. Von einem geringeren Risiko bis zum hohen Risiko kann gewählt werden. Liegt allerdings ein unannehmbares Risiko vor, ist die Anwendung strikt untersagt – so wie nach dem letzten Stand des Entwurfs auch die biometrische Massenüberwachung. Für Hochrisiko-KI-Systeme hält die Verordnung sodann in der Folge eine Menge Pflichten bereit.
Neu im Juni 2023 hinzugekommen ist in Art. 4 des Entwurfs ein Katalog von Prinzipien für alle KI-Systeme. Demnach geht man über die Vorgabe freiwilliger Verhaltenskodizes hinaus und verlangt von den Betroffenen des Gesetzes die Einhaltung nachvollziehbarer Grundsätze:
- „Menschliches Handeln und menschliche Aufsicht“ bedeutet, dass KI-Systeme als Werkzeug entwickelt und verwendet werden, das den Menschen dient, die Menschenwürde und die persönliche Autonomie achtet und so funktioniert, dass es von Menschen angemessen kontrolliert und überwacht werden kann.
- „Technische Robustheit und Sicherheit“ bedeutet, dass KI-Systeme so entwickelt und verwendet werden, dass unbeabsichtigte und unerwartete Schäden minimiert werden und dass sie im Fall unbeabsichtigter Probleme robust und widerstandsfähig gegen Versuche sind, die Verwendung oder Leistung des KI-Systems so zu verändern, dass dadurch die unrechtmäßige Verwendung durch böswillige Dritte ermöglicht wird.
- „Privatsphäre und Datenqualitätsmanagement“ bedeutet, dass KI-Systeme im Einklang mit den geltenden Vorschriften zum Schutz der Privatsphäre und zum Datenschutz entwickelt und verwendet werden und dabei Daten verarbeiten, die hohen Qualitäts- und Integritätsstandards genügen.
- „Transparenz“ bedeutet, dass KI-Systeme so entwickelt und verwendet werden müssen, dass sie angemessen nachvollziehbar und erklärbar sind, wobei den Menschen bewusst gemacht werden muss, dass sie mit einem KI-System kommunizieren oder interagieren, und dass die Nutzer ordnungsgemäß über die Fähigkeiten und Grenzen des KI-Systems und die betroffenen Personen über ihre Rechte informiert werden müssen.
- „Vielfalt, Diskriminierungsfreiheit und Fairness“ bedeutet, dass KI-Systeme in einer Weise entwickelt und verwendet werden, die unterschiedliche Akteure einbezieht und den gleichberechtigten Zugang, die Geschlechtergleichstellung und die kulturelle Vielfalt fördert, wobei diskriminierende Auswirkungen und unfaire Verzerrungen, die nach Unionsrecht oder nationalem Recht verboten sind, verhindert werden.
- „Soziales und ökologisches Wohlergehen“ bedeutet, dass KI-Systeme in nachhaltiger und umweltfreundlicher Weise und zum Nutzen aller Menschen entwickelt und verwendet werden, wobei die langfristigen Auswirkungen auf den Einzelnen, die Gesellschaft und die Demokratie überwacht und bewertet werden.
Für Hochrisiko-KI-Systemen gibt es im KI-Gesetz u.a. in den Artikeln 8 bis 15 spezielle Anforderungen, die Anbieter von so genannten Basismodellen setzen diese Grundsätze durch die in den Artikeln 28 bis 28b festgelegten Anforderungen um. Alle anderen KI-Systeme erfüllen die Prinzipien durch Einhaltung der für sie geltenden Bestimmungen im KI-Gesetz bzw. durch darauf abgestimmte technische Spezifikationen.
Zum speziellen Thema der Transparenz ist von jedem Anbieter von KI-Systemen, die für die Interaktion mit natürlichen Personen bestimmt sind, sicherzustellen, dass die natürliche Person, die einem KI-System ausgesetzt ist, rechtzeitig, klar und verständlich darüber informiert wird, dass sie es mit einem KI-System zu tun hat. Das gilt nur dann nicht, wenn dies ist aufgrund der Umstände und des Kontexts der Nutzung offensichtlich ist. Zu den in diesem Zusammenhang geschuldeten Informationen sollen nach dem letzten Entwurfsstand u.a. die Frage nach der menschlichen Aufsicht und die Einspruchsmöglichkeit in Bezug auf Entscheidungen gehören.
Nicht unwichtig ist auch, dass nach Art. 4b des Entwurfs bei allen Beteiligten eine ausreichende KI-Kompetenz herbeigeführt werden soll. Dafür haben die Mitgliedstaaten in der Breite zu sorgen, aber auch die einzelnen Anbieter und Betreiber müssen sicherstellen, dass u.a. ihre Mitarbeitenden „über ein ausreichendes Maß an KI-Kompetenz verfügen“. Es wird sicher spannend, diese Anforderung mit Leben zu füllen.
Für die Freunde der Allgemeinen Geschäftsbedingungen bei Anbietern von Hochrisiko-KI-Systeme gibt es mit Art. 28a des Entwurfs noch ein besonderes Schmankerl, nämlich eine Liste von missbräuchlichen Vertragsklauseln, die man einem KMU oder einem Startup im Zusammenhang mit dem System nicht einseitig auferlegen kann.
Was wird nicht geregelt?
Das sicherlich für viele Unternehmen relevante Thema der Haftung ist nicht Gegenstand der KI-Verordnung. Man darf sich aber nicht zu früh freuen: Dafür hat die Kommission im September 2022 u.a. einen Entwurf zu einer Richtlinie über KI-Haftung veröffentlicht. Mit Elementen wie der Kausalitätsvermutung und dem erleichterten Zugang zu Beweismitteln möchte diese Richtlinie sicherstellen, dass Opfer von durch KI-Technologie verursachten Schäden in gleicher Weise entschädigt werden, als wenn dies unter anderen Umständen geschehen wäre. Mit den Auswirkungen dieser Richtlinie beschäftigt sich noch eingehend ein Folgebeitrag.
Was ist zu tun?
Das Ringen um die letztlich geltende Fassung ist noch nicht abgeschlossen. Die einen bemängeln eine Überregulierung, die anderen verlangen nach noch mehr Schutz der Grundrechte. Welche Verpflichtungen am Ende auf die beteiligten Unternehmen wirklich zukommen, kann noch nicht seriös vorhergesagt werden. Größere Änderungen sind allerdings nach dem bisherigen zähen Ringen nicht mehr zu erwarten. Eins scheint jedenfalls sicher: In Analogie zur Datenschutz-Grundverordnung wird die Zeit bis zur Geltung der weitreichenden Regelungen trotz des zweijährigen Geltungsaufschubs am Ende wieder sehr knapp bemessen sein. Es geht für Anbieter und Anwender nicht nur um die Erfüllung von Informationspflichten, sondern um eine grundlegende Risikoeinschätzung und ggf. um die Neuausrichtung von Herstellungs- und Anwendungsprozessen. Je eher die oben dargestellten Grundsätze verinnerlicht und umgesetzt sind, desto besser wird man in Zukunft aufgestellt sein.