Neuer AI Act zur künstlichen Intelligenz

Die müssen teilweise bereits in 6 Monaten ab dem 02.05.2025 erste Regeln befolgen. Rechtsanwalt Rolf Becker, Alfter, erläutert, warum und wie sich Unternehmen auf die neuen Regeln einstellen müssen.

Sichere KI-Systeme

Durch die geplanten Vorschriften der KI-VO soll sichergestellt werden, dass KI-Systeme in der EU sicher, transparent, ethisch, unparteiisch und unter menschlicher Kontrolle sind. Hierzu werden in erster Linie die Hersteller in die Pflicht genommen, aber auch die Nutzer. Sie richtet sich auch an Anbieter und Nutzer in Drittländern außerhalb der EU, wenn die Ergebnisse des KI-Einsatzes in der EU verwendet werden. KI-Systeme für ausschließlich militärische Zwecke sind ausgenommen. Es sind abgestufte Umsetzungsfristen vorgesehen (6, 12 und 24 Monate). Fristen, Verbote und Vorgaben basieren auf Risikoeinstufungen.

Bestimmte Einsatzpraktiken verboten

Ab 02. 02.2025 gelten Verbote einzelner Praktiken im Bereich der künstlichen Intelligenz (Art. 5 KI-VO)

• Unterschwellige, den Betroffenen unbewusste wesentliche Verhaltensbeeinflussung mit Schadenspotential,
• Einsatz von KI-Systemen zur Ausnutzung von Schwächen oder Schutzbedürftigkeit von Personen aufgrund Alter oder geistiger Behinderung zu einer wesentlichen Verhaltensbeeinflussung, die dadurch Schadenspotential haben (z.B. Beeinflussung von Kindern und Behinderten),
• KI-Systeme zum Scoring der Vertrauenswürdigkeit von Personen auf der Basis von Daten zu sozialem Verhalten oder persönlicher Eigenschaften oder Persönlichkeitsmerkmalen mit Folgen der zusammenhanglosen, ungerechtfertigten oder unverhältnismäßigen Schlechterstellung oder Benachteiligung („China-Social Scoring“),
• KI-Einsatz zur Personenidentifizierung (z. B. Gesichtserkennung) in öffentlich zugänglichen Räumen für die Strafverfolgung, soweit nicht unbedingt erforderlich, um potentielle Opfer von Straftaten zu suchen, vermisste Kinder zu finden, zur Abwehr von unmittelbar personengefährdenden Terroranschlägen oder der Verfolgung bestimmter Straftaten.

Hochrisikosysteme unterliegen besonderen Vorgaben

Sprachmodelle wie ChatGPT und Übersetzungsprogramme wie DeepL zählen zur Gruppe der breit einsetzbaren General Purpose AI: (für allgemeine Zwecke). Wer Hochrisiko-KI-Systeme herstellt (z. B. Bonitätsprüfungssysteme), muss Vorgaben für ein Risikomanagementsystem, die Dokumentation und Qualitätsanforderungen zum Training und Betrieb der KI einhalten und dazu die Systeme Konformitätsbewertungen unterwerfen. Zudem müssen sie nach dem Inverkehrbringen die Systeme weiter systematisch beobachten. Ferner müssen die Nutzer transparent informiert werden und hierzu die Gebrauchsanweisungen entsprechend ausgestaltet sein.

Händler und Nutzer in der Pflicht

Händler müssen Prüfungen vornehmen (Art. 27 KI-VO) und Lagerung und Transport so ausgestalten, dass die Konformität der Systeme nicht beeinträchtigt wird.

Den Nutzern und damit den Unternehmen, die KI-gestützte Applikationen einsetzen, werden ebenfalls Pflichten auferlegt, die im Kapitel 3 der Verordnung festgelegt werden. Insbesondere in Art. 29 und 52 werden die Nutzer angesprochen. Sie müssen u.a. dafür sorgen, dass die

• Eingabedaten der Zweckbestimmung des Hochrisiko-KI-Systems entsprechen,
• den Betrieb anhand der Gebrauchsanweisung überwachen,
• ggf. Händler, Anbieter und auch Marktüberwachungsbehörden von Vorfällen, Fehlfunktionen und unvorhergesehenen Risiken unterrichten,
• behördlich vorgesehene Korrekturmaßnahmen zur Beseitigung von Fehlern und Risiken umsetzen,
• Protokolle, die von den Systemen bereitgestellt werden, aufbewahren und
• die Informationen der Anbieter im Rahmen von ggf. notwendigen Datenschutzfolgeabschätzungen verwenden,
• bei bestimmten Systemen die betroffenen Personen vom Betrieb informieren (Emotionserkennung),
• bei KI-erzeugten Bild, Ton- oder Videosignalen die täuschen (Deepfake) die Erzeugung durch KI offenlegen.

Sanktionen

Die Mitgliedsstaaten sind nach Art. 99 aufgerufen, „Vorschriften für Sanktionen und andere Durchsetzungsmaßnahmen, zu denen auch Verwarnungen und nichtmonetäre Maßnahmen gehören können“, zu erlassen, die sich gegen die sog. „Akteure“ richten. Hier gilt: „Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein, aber die Interessen von kleinen und mittleren Unternehmen, einschließlich Start-up-Unternehmen einschließlich deren wirtschaftliches Überleben berücksichtigen (Art. 99 Abs.1). Vorgesehen sind je nach Art und Schwere des Verstoßes Geldbußen von bis zu 35 000 000 EUR oder – im Falle von Unternehmen – von bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Verstöße gegen Pflichten der Anbieter nach Art. 16 (z. B. fehlende Qualitätssicherung oder Dokumentation) und der Händler nach Art. 24 (z.B. fehlende CE-Kennzeichnungsprüfung) und der Betreiber von Hochrisikosystemen nach Art. 26 (z. B. fehlende menschliche Überwachung) werden „nur“ mit 15 Mio. Euro bzw. 35 % des gesamten weltweiten Umsatzes bestraft.

Erstes Fazit

Als Nutzer potentiell der Regelung unterfallender Software sollten Unternehmen sich schon jetzt einen Überblick verschaffen. Nutzen Sie Ihre Software-Asset-Management-Systeme für Lizenzprüfungen dazu. Dort dürfte Ihre eingesetzte Software vollständig aufgelistet sein. Bei kleinen Unternehmen ist das der Lizenzordner. Treffen Sie Feststellungen, welche Software KI-Komponenten aufweist und welche davon Sie einsetzen. Stellen Sie sich darauf ein, betroffene Personen, wie Bewerber, Mitarbeiter oder Kunden vom Einsatz zu unterrichten. Hier haben Sie 12 Monate Zeit (General Purpose AI). Wer etwa bei den Kleidergrößen automatisiert durch KI bei einem Webseitenbesuch beraten wird, soll dann erfahren, dass er nicht mit einem Menschen spricht. Halten Sie fest, welche Angaben der Hersteller der Software zur KI macht und ob er Nachweise, etwa zur Rechtmäßigkeit des Trainings der KI angibt oder Zertifizierungen.