Nach langen Verhandlungen liegt eine politische Einigung zur KI-VO vor. Wir geben einen Überblick über den aktuellen Stand.
Über zwei Jahre sind vergangen zwischen dem durch die EU-Kommission im April 2021 vorgelegten weltweit ersten Rechtsrahmen für Künstliche Intelligenz (KI) und der Pressemitteilung vom 9. Dezember 2023, in der das EU-Parlament bekanntgab, mit dem Rat eine politische Einigung über den Entwurf zur KI-Verordnung erzielt zu haben. Der Einigung war ein tagelang andauernder Verhandlungsmarathon vorausgegangen, der am 6. Dezember 2023 startete und dessen Ausgang lange offen war.
Das Wichtigste im Überblick
Die KI-Verordnung behält den vorgesehenen risikobasierten und abgestuften Ansatz. KI-Systeme müssen Transparenzanforderungen erfüllen, z.B. zur Einhaltung des europäischen Urheberrechts sowie zur Zusammenfassung der Trainingsdaten. Teilweise sind zudem Berichterstattungspflichten hinsichtlich der Energieeffizienz und Cybersicherheit vorgesehen. Anbieter von Hochrisiko-KI-Systemen werden Adressaten umfangreicher und komplexer Pflichten. Zudem erhalten Bürger* Informations- und Beschwerderechte über KI-Systeme. Verstöße gegen die neuen Regeln können mit empfindlichen Bußgeldern belegt werden.
Katalog der Verbotenen Praktiken
Nach der Pressemitteilung hat sich das Parlament entsprechend seiner Verhandlungsposition vom 14. Juni 2023 mit der Aufnahme von biometrische Kategorisierungssystemen, die Menschen aufgrund sensibler Kriterien (z.B. politischer Einstellung, Hautfarbe oder sexuellen Orientierung) in Gruppen einordnen, in den Katalog der Verbotenen Praktiken durchgesetzt. Verboten werden künftig außerdem KI-Systeme für das Social Scoring basierend auf sozialem Verhalten und persönlichen Merkmalen, das Ableiten von Emotionen (z.B. am Arbeitsplatz oder im Bildungswesen), das Scraping zur Gesichtsdatenbankerstellung, die Manipulation menschlichen Verhaltens sowie das Ausnutzen von menschlichen Schwächen (z.B. Alter, Behinderung, soziale oder wirtschaftliche Situation).
Das Parlament hatte in seiner Verhandlungsposition ein Verbot für KI-Systeme im öffentlichen Raum gefordert, die eine biometrische Identifikation ermöglichen (biometric identification systems, RBI) – sowohl generell für eine Identifikation in Echtzeit (real time), als auch mit weniges Ausnahmen im Nachhinein bei der Strafverfolgung (post remote). Die Einigung sieht nun vor, dass Identifizierungssysteme sowohl in Echtzeit als auch im Nachhinein im öffentlich zugänglichen Raum unter strengen Voraussetzungen zulässig sind und unter einem Richtervorbehalt stehen.
Der nachträgliche Einsatz von Identifizierungssystemen ist dabei auf die gezielte Suche nach einer wegen einer schweren Straftat verurteilten oder verdächtigen Person beschränkt. Echtzeit-Identifizierungssysteme sollen strengen Anforderungen unterliegen und dürfen nur örtlich und zeitlich beschränkt für die gezielte Suche nach Opfern von Entführungen, Menschenhandel oder sexueller Ausbeutung, zur Verhinderung bestimmter gegenwärtiger terroristischer Drohungen und das Auffinden oder die Identifizierung von Verdächtigen vorab definierter schwerer Straftaten eingesetzt werden.
Hochrisiko-KI-Systeme
Entsprechend der Verhandlungsposition des Parlamentes sollen KI-Systeme nur dann als Hochrisiko-KI-Systeme eingestuft werden, wenn sie bedeutende Auswirkungen auf Grundrechte haben. Zu konkreten Pflichten, die Anbieter von Hockrisiko-KI-Systemen künftig treffen werden, insbesondere zu den in der Praxis besonders relevanten Anforderungen an Daten und Daten-Governance (bislang: Artikel 10 KI-Verordnung), liegen nur wenige Informationen vor.
Der finale Wortlaut der Einigung und seine praktischen Auswirkungen auf die Entwicklung und das Training von KI-Systemen bleibt abzuwarten.
„General-purpose“ KI-Systeme (GPAI)
Die KI-Verordnung in ihrer finalen Fassung wird Regeln für „general-purpose“ KI-Systeme (GPAI) enthalten. Auch wenn diese KI-Systeme im gegenwärtigen technischen Entwicklungsstand noch weit davon entfernt sind, auf allen denkbaren Anwendungsfeldern ohne zusätzliches Training einsetzbar zu sein, adressiert die KI-Verordnung bereits jetzt die potentiellen Risiken, die von solche Systemen ausgehen können.
So werden für GPAI besondere Transparenzpflichten festgesetzt und Pflichten im Hinblick auf eine umfassende Dokumentation, Einhaltung des Urheberrechts und eine detaillierte Zusammenfassung der verwendeten Trainingsdaten eingeführt. Für GPAI-Systeme mit potentiell besonders gravierenden Auswirkungen (high impact) gelten zusätzliche Anforderungen, etwa im Hinblick auf Tests und Bewertungen, Berichtspflichten, Risikomanagement und Sicherheitsanforderungen.
Geringere Höhe der Bußgelder bei Verstößen
Verstöße gegen die KI-Verordnung können je nach Verstoß und Unternehmensgröße zu Geldbußen zwischen EUR 35 Mio. oder 7 % des weltweiten Umsatzes und EUR 7,5 Mio. oder 1,5 % des Umsatzes nach sich ziehen. Im Vergleich zu der Verhandlungsposition des Parlaments (EUR 40 Mio. oder 7 % des weltweiten Umsatzes und EUR 10 Mio. oder 2 % des Umsatzes) hat sich die Höhe der potentiellen Bußgelder damit leicht verringert.
Wie geht es weiter?
Die KI-Verordnung soll den Balanceakt schaffen, einen Ausgleich zu finden zwischen Innovationsförderung und einem KI-Standort Europa einerseits sowie Grundrechten, Demokratie und Nachhaltigkeit andererseits. Maßgebliche Bedeutung im Zusammenhang mit KI hat auch das neue EU-Datenrecht u.a. mit dem Data Act, der eine umfassende Datennutzung in Europa ermöglichen und einen florierenden Binnenmarkt für Daten fördern soll. Nach der politischen Einigung zur KI-Verordnung müssen sowohl der Rat als auch das Parlament den vereinbarten Text förmlich annehmen. In dem Ausschuss für Binnenmarkt und Verbraucherschutz sowie in dem Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments werden Abstimmungen stattfinden.
In unserem CMS-Blog halten wir Sie in unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend mit aktuellen Beiträgen zu diesen Themen auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Themen wie: Mithilfe Künstlicher Intelligenz plötzlich Urheber?; Robo Advisor als Zukunft der Geldanlage; Künstliche Intelligenz und der Journalismus der Zukunft; Wettbewerbsrechtliche Zulässigkeit von KI-gestützter Werbung. Sehen Sie zudem gern: Eigene KI-Sprachmodelle von Unternehmen (cms.law).
Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.
*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.