Die KI-Verordnung in der finalen Gesetzgebungsphase

Der Entwurf der KI-Verordnung (KI-VO-E) der Europäischen Union (EU) geht in die finale Phase. Nachdem das Europäische Parlament in seiner Sitzung am 14. Juni 2023 seinen Kompromissentwurf und damit seine Verhandlungsposition zur KI-VO beschlossen hatte, fand am 18. Juli 2023 bereits der zweite Trilog-Termin statt. Kommission und Rat hatten ihre Vorschläge für die KI-VO bereits im Jahr 2022 vorgestellt. Ziel ist es nun, die unterschiedlichen Standpunkte der Verhandlungsparteien zu einem endgültigen Gesetzesentwurf zusammenzuführen.

Was ist Künstliche Intelligenz?

Die Definition von Künstlicher Intelligenz (KI) dürfte in den Verhandlungen zentral diskutiert werden. In seiner Verhandlungsposition definiert das Europäische Parlament KI nach Art. 3 Abs. 1 KI-VO-E als ein maschinengestütztes System, das mit unterschiedlichen Graden an Autonomie arbeitet und für explizite oder implizite Ziele Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen generiert, die die physische oder virtuelle Umgebung beeinflussen. Damit kommt die Definition des Parlaments der Definition des Rates nahe, die im Gegensatz zur Definition der Kommission ebenfalls keinen Softwarebezug enthält.

Inhaltliche Übereinstimmungen bestehen auch mit der Definition der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) und der US-Bundesbehörde „National Institute of Standards and Technology“ (NIST). Bei Übernahme der Parlamentsdefinition könnte so eine Harmonisierung des KI-Begriffs über die Grenzen der EU hinaus erreicht werden. Mit Blick auf das Marktortprinzip, also die Ausweitung des Anwendungsbereichs über die Grenzen der EU hinaus, dürften außereuropäische KI-Anbieter und -Entwickler die einheitliche Anwendung einer auch außerhalb der EU bekannten KI-Definition begrüßen.

Hochrisiko-Anwendungen

Einigkeit zwischen Kommission, Rat und Parlament dürfte in der Einführung eines risikobasierten Regulierungsmodells für KI-Anwendungen bestehen. Je höher das von einem KI-System ausgehende Risiko für die Rechte aus der Grundrechtecharta der EU (im Folgenden kurz Grundrechtecharta) ist, desto höhere Anforderungen sehen die vorgelegten Entwürfe für den entsprechenden KI-Einsatz vor.

Nach dem Entwurf des Parlaments gemäß Art. 6 Abs. 2 KI-VO-E soll der Einsatz von KI in bestimmten Bereichen als „hochriskant“ klassifiziert werden, wenn die KI-Anwendungen ein erhebliches Risiko für die Gesundheit, die Sicherheit oder die Grundrechtecharta darstellen. Dies betrifft beispielsweise Anwendungen zu biometrischer Gesichtserkennung, in den Bereichen Bildung und Migration und zur Beeinflussung des Wählerverhaltens in demokratischen Prozessen.

Neu aufgenommen wurde der Begriff des Bereitstellers. Nach Art. 3 Abs. 4 KI-VO-E ist dies jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die ein KI-System unter ihrer Kontrolle für andere als rein persönliche Zwecke einsetzt. Damit fügt das Parlament zwischen Anbieter und Nutzer eine weitere Gruppe von Normadressaten ein. Für Hochrisiko-Anwendungen schlägt das Parlament in Art. 29a KI-VO-E und Erwägungsgrund (ErwG) 58a KI-VO-E unter anderem vor, dass Bereitsteller, soweit es sich nicht um KMU handelt, verpflichtet werden sollen, vor der Inbetriebnahme der Anwendungen in Abstimmung mit der nationalen Aufsichtsbehörde und den von der KI-Anwendung betroffenen Personengruppen Grundrechtsfolgenabschätzungen durchzuführen. Ziel sei es, Bereitsteller zu ermutigen, die Ergebnisse zu veröffentlichen, um so das Vertrauen von EU-Bürger*innen in die Anwendungen zu stärken.

Generative KI/Foundation Model

Generative KI-Anwendungen wie ChatGPT sind erst Ende 2022 in den Fokus der Öffentlichkeit gerückt. Konkrete, an die Besonderheiten angepasste Regelungen zu generativer KI fehlen daher in den Entwürfen von Rat und Kommission. Eine pauschale Einordnung generativer KI-Anwendungen in die Risikoklassen ist aber schwierig, da die Art der Anwendung und damit die potenzielle Eingriffsqualität in EU-Grundrechte von der konkreten Anwendung durch den*die Nutzer*in abhängt.

Generative KI ermöglicht neben grundrechtlich unbedenklichen Textübersetzungs- und Korrekturtätigkeiten auch grundrechtssensible Anwendungsbefehle wie beispielsweise die Vorsortierung von Bewerber*innen. Bei generativer KI stellt sich die Frage, ob sie aufgrund des abstrakten Gefährdungspotenzials allgemein als hochriskant einzustufen ist oder ob eine Einstufung als hochriskant von der konkreten Anwendung durch den*die Nutzer*in abhängen sollte. Dies ist deshalb so entscheidend, weil eine Einstufung als Hochrisiko-KI weitreichende Anforderungen auch an diejenigen stellen würde, die die KI nutzen. Dieses Problem hat das Parlament erkannt und für generative KI eigene, an die Funktionsweise generativer KI-Systeme angepasste Regelungen vorgeschlagen.

Generative KI wird nach Art. 3 Abs. 1c i. V. m. Art. 28b Abs. 4 KI-VO-E als ein KI-Modell definiert, das in großem Maßstab auf einer breiten Datenbasis trainiert und speziell dafür entwickelt wurde, komplexe Text-, Bild-, Audio- oder Videoinhalte mit einem gewissen Grad an Autonomie zu erzeugen. Die Pflichten des Anbieters umfassen gem. Art. 28b KI-VO-E neben der Einrichtung eines Risikomanagementsystems, Dokumentationspflichten, System-Registrierungspflichten und Qualitätssicherungspflichten auch Pflichten zur Gewährleistung der Cybersicherheit sowie die Pflicht, Schutzmaßnahmen zu treffen, die gewährleisten, dass durch die Erzeugnisse kein Unionsrecht verletzt wird. Anbieter generativer KI-Systeme müssen zudem offenlegen, mit welchen urheberrechtlich geschützten Werken die zugrunde liegende KI trainiert wurde. Darüber hinaus sollen nach ErwG 60g KI-VO-E Transparenzanforderungen für von KI generierte Inhalte gelten.

Ausnahmen vom Anwendungsbereich

Ein Ziel der KI-VO ist die Stärkung der EU als Forschungs- und Innovationsstandort. Vor dem Hintergrund dieser Zielsetzung sollen nach ErwG 12c KI-VO-E insbesondere Entwickler von lizenzfreien und Open-Source-Komponenten für KI nicht unter den Anwendungsbereich der KI-VO fallen, soweit dies die Wertschöpfungskette der entsprechenden KI betrifft. Darüber hinaus sollen KI-Systeme, die ausschließlich zu Forschungszwecken entwickelt wurden, grundsätzlich nicht in den Anwendungsbereich der KI-VO fallen. Dies steht jedoch unter dem Vorbehalt, dass die Forschung in jedem Fall im Einklang mit der Grundrechtecharta, sonstigem Unionsrecht und den Gesetzen der einzelnen Mitgliedstaaten steht. Da die KI-VO selbst zu Unionsrecht wird, stellt sich hier jedoch die Frage, inwieweit die Forschung tatsächlich gemäß ErwG 2f privilegiert wird.

AI Office

Darüber hinaus sieht Art. 56 KI-VO-E die Einrichtung eines Europäischen Büros für künstliche Intelligenz (AI Office) als unabhängige Einrichtung der EU vor. Das AI Office soll die einheitliche und wirksame Anwendung der KI-VO sicherstellen und mit den an dieser Aufgabe beteiligten Akteuren zusammenarbeiten. Es soll die nationalen Aufsichtsbehörden bei der Entwicklung und Umsetzung der erforderlichen organisatorischen und technischen Expertise sowie bei der Koordination mit anderen Aufsichtsbehörden der Mitgliedstaaten und zuständigen Behörden von Drittstaaten unterstützen. In einem jährlichen Bericht soll die Umsetzung des AI Act durch das AI Office umfassend evaluiert werden. Im Übrigen soll das AI Office die Kommission bei der Kategorisierung verbotener und risikoreicher KI-Anwendungen unterstützen.

Wie geht es weiter?

Seit den Entwürfen der Kommission und des Rates hat sich die zugrunde liegende Gemengelage erheblich verändert. Auch deshalb lassen sich die dem Parlament gegenüberstehenden Verhandlungspositionen heute nur schwer aus den jeweiligen Entwürfen ableiten. Der Ausgang der Verhandlungen bleibt daher mit Spannung abzuwarten.

Wann die KI-VO nun verabschiedet wird, ist noch offen. Der Trilog-Termin am 18. Juli 2023 war gleichzeitig der erste unter spanischer Ratspräsidentschaft. Bereits im Vorfeld hatten Vertreter*innen Spaniens für ihren Vorsitz angekündigt, KI zur Top-Priorität zu machen.

Was bedeutet das für Unternehmen?

Unternehmen sollten den Gesetzgebungsprozess aufmerksam verfolgen. Insbesondere lohnt es sich bereits jetzt zu identifizieren, welche KI-Anwendungen angeboten, bereitgestellt oder genutzt werden und wie hoch das Risikopotenzial der entsprechenden Anwendungen ist.

Auch um dem Risiko einer Sanktionierung nach Art. 71 KI-VO-E präventiv zu begegnen, können sich Unternehmen heute schon fragen, welche Anforderungen nach der KI-VO künftig zu erfüllen sein könnten und ob die Infrastruktur zur Umsetzung bereits besteht.

In einem Bereich, der immer schneller wächst und im Geschäftsverkehr immer relevanter wird, kann eine frühzeitige Vorbereitung bestenfalls auch einen frühen Wettbewerbsvorteil bedeuten.