Die KI-Verordnung[1] der Europäischen Union ist als Grundpfeiler der KI-Regulierung am 02.08.2024 in Kraft getreten.[2] Es gelten jedoch längere Anwendbarkeits- und Umsetzungsfristen.[3]
Als Handlungsempfehlung im Ergebnis vorab: Aufgrund der unterschiedlichen Anforderungen sollte eine Klärung der „wirklichen Betroffenheit“ von den Verordnungsregelungen und sodann die Implementierung eines passenden Compliance-Management-Systems erfolgen.
Verordnungszweck ist gemäß Art. 1 Abs. 1 KI-VO[4] die Einführung vertrauenswürdiger KI-Systeme, die insbesondere die Grundrechte der EU-Charta zu beachten haben. Die KI-VO gilt gemäß Art. 2 Abs. 1 für Anbieter (Entwickler und/ oder „Inverkehrbringer“) und Betreiber – dies nach dem Niederlassungs- und Marktortprinzip.
Die Begriffsbestimmungen des Artikel 3 definieren in Nr. 1 „KI-Systeme“ relativ weit (nach internationaler OECD-Definition), wobei in Zusammenspiel mit Erwägungsgrund 12 in (schwieriger und unklarer) Abgrenzung zur „einfachen“ Software wesensprägend die Merkmale eigenständigen Schlussfolgerns („ableiten“) sowie die Autonomie unabhängig von menschlichem Zutun und Eingreifen sein sollen.
Sodann werden risikobasiert unterschiedliche Anforderungen gestellt. Unterteilt wird in verbotene Praktiken, Hochrisiko-KI-Systeme, nach Art. 50 „bestimmte“ KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck (und mit systemischem Risiko).[5]
Verbotene Praktiken richten sich im Kern gegen (unterbewusste) Beeinflussung von Menschen, die sich hiergegen nicht erwehren können, oder aber ganz konkret das gegen das sog. social scoring, Art. 5 Abs. 1. Verstöße sind bußgeldbewehrt mit bis zu 35 Mio. EUR oder 7% Jahresumsatz, sofern höher (wie auch im Übrigen mit anderer Höhe nach dieser Systematik).
„Herzstück“ der Verordnung stellen Hochrisiko-Systeme dar. Diese Eingruppierung erfolgt nach einem dynamischen Verständnis der Art. 6 und 7 – ein nicht abschließender, von der Kommission erweiterbarer Katalog an Lebenssachverhalten. Hieraus folgt die obige Handlungsempfehlung:
Das jeweilige System ist i.R.e. Einzelfallbetrachtung zu bewerten, vgl. auch Art. 6 Abs. 4 S. 1. Hervorzuheben sind insbesondere KI-Systeme „in Beschäftigung“ und Personalwesen (Erwägungsgrund 57). Liegt ein solches KI-System vor, stellt die Verordnung in Abschnitt 2 des Kapitel 3 u.a. einzuhaltende Anforderungen (Art. 8), die Einführungspflicht eines Risikomanagementsystems (Art. 9), Dokumentations- und Aufzeichnungspflichten (Art. 11f.) auf.[6] Mit der ISO/IEC 42001 wurde die erste Managementnorm für KI-System bereits veröffentlicht.
Es hat eine Konformitätsbewertung nach den Art. 40 ff. zu erfolgen. Die Mitgliedsstaaten haben „notifizierende Behörden“ (Art. 28 ff.) einzurichten
Zuletzt werden im Wesentlichen für die KI-Systeme nach Art. 50 Transparenzpflichten auferlegt, für KI-Modelle mit allgemeinem Verwendungszweck u.a. Dokumentationspflichten nach Art. 53 (mit systemischem Risiko nach Art. 55).
Fragen & Antworten:
Für die nachhaltige und gewinnbringende Einführung neuer Technologien wie KI bedarf es einer systematischen Planung und Prüfung und Etablierung von Compliance-Management-Systemen. Die Jordan & Wagner RA GmbH unterstützt Unternehmen, Verbände und die öffentliche Hand bei der Umsetzung.
Wenden Sie sich an unser Compliance-Team:
Peter Wagner, Dr. Thomas A. Degen, Dr. Hanns-Georg Pipping, Tilo Schindele, Mathias Lang LL.M., Marzia Carla Iosini LL.M., Dr. Arnd-Christian Kulow, Dipl.-Jur. Sebastian Teufel
[1] VERORDNUNG (EU) 2024/1689 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz).
[2] Verabschiedung durch EU-Parlament am 13.3.2024, Beschluss im EU-Rat 21.5.2024, Veröffentlichung im Amtsblatt am 12.7.2024.
[3] Von 6 bis 36 Monaten.
[4] Alle nachfolgenden Art. ohne Quellenangabe sind solche der KI-VO.
[5] KI-Systeme mit geringem Risiko sind von vornherein nicht von der Verordnung erfasst, s. allerdings Art. 95 (freiwillige Verhaltenskodizes). Natürlich gilt hier auch wie im Übrigen bspw. die DSGVO.
[6] Wobei Unterschiedliches für Betreiber und Anbieter gilt. Betreiber ist derjenige, der das System in eigener Verantwortung, soweit nicht privat (persönlich/ nicht beruflich), verwendet. Daher ist es ggf. vorteilhaft, Entwicklung und Betrieb extern zu beauftragen. Hier ist vertragsrechtliche Gestaltung zu eruieren.