Die EU-Kommission droht die Regulierungsschrauben für den Einsatz von Künstlicher Intelligenz zukünftig anzuziehen.
Die EU-Kommission (Kommission) hat am 21. April 2021 den weltweit ersten Vorschlag eines Rechtsrahmens für Künstliche Intelligenz (KI) vorgelegt. Bereits 2020 hatte die Kommission in ihrem Weißbuch zur KI eine klare Zielvorstellung für KI in Europa dargestellt: Einerseits will man die Entwicklung und Nutzung von KI fördern, um Europas Position als globales Zentrum für Exzellenz in der KI zu stärken. Andererseits sollen die mit der Technologie einhergehenden Gefahren eingedämmt und sichergestellt werden, dass nur vertrauenswürdige KI-Systeme zum Einsatz kommen.
Mit dem vorgelegten Entwurf einer Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-Verordnung) verfolgt die Kommission vor allem dieses zuletzt genannte Ziel. Zugleich will man vermeiden, dass durch übermäßig weitreichende Regularien der technische Fortschritt innerhalb Europas gehemmt und so die EU in ihrer Wettbewerbsfähigkeit geschwächt wird – wie es bei größeren regulatorischen Projekten in der Vergangenheit teils kritisiert wurde. Die neuen Vorschriften sollen deshalb
nur dort eingreifen, wo dies unbedingt notwendig ist, nämlich wenn die Sicherheit und die Grundrechte der EU-Bürger auf dem Spiel stehen,
wie Kommissions-Vizepräsidentin Margrethe Vestager betonte.
Der Entwurf versucht, diesen Spagat durch einen risikobasierten Ansatz zu erreichen. Er differenziert zwischen verschiedenen Risikostufen und setzt klassifizierte Vorgaben: Je höher die möglichen Gefahren sind, desto höher sollen auch die Anforderungen an das KI-System sein.
Vorgesehen sind im Einzelnen die folgenden Risikostufen:
Unannehmbares Risiko: Sicherheit der Menschen steht an höchster Stelle
KI-Systeme, die eine klare Bedrohung für die Sicherheit, die Lebensgrundlagen und die Rechte der Bürger darstellen, sollen verboten werden (Art. 5 KI-Verordnungsentwurf).
Darunter fällt eine geringe Zahl abschließend aufgezählter besonders schädlicher KI-Anwendungen wie z. B. die Bewertung des sozialen Verhaltens durch Behörden (Social Scoring), der Einsatz von Techniken zur unterschwelligen Beeinflussung (z. B. Spielzeug mit Sprachassistent, das Minderjährige zu gefährlichem Verhalten ermuntert) und biometrische Echtzeit-Fernidentifizierungssysteme (insbesondere Videoüberwachung mit automatisierter Gesichtserkennung), die zu Strafverfolgungszwecken im öffentlich zugänglichen Raum eingesetzt werden, sofern dies nicht unbedingt erforderlich ist.
Hohes Risiko: Einsatz von KI soll Grundreche wahren
Für KI-Systeme, deren Einsatz in bestimmten Bereichen ein hohes Risiko für die Gesundheit oder Sicherheit oder eine Beeinträchtigung der Grundrechte (Privatsphäre, Nichtdiskriminierung, Datenschutz etc.) mit sich führt, sollen strenge Vorgaben gelten, bevor sie eingesetzt werden können (Art. 8 ff. KI-Verordnungsentwurf).
Die Risikoeinstufung als „high risk AI system″ beruht auf der Zweckbestimmung des KI-Systems. Sie richtet sich nach Umfang und Zweck der Verwendung der KI-Anwendung, der Anzahl der potenziell betroffenen Personen, deren Abhängigkeit vom Ergebnis, der Unumkehrbarkeit etwaiger Schäden sowie danach, inwiefern das bestehende Unionsrecht wirksame Maßnahmen zur Beseitigung oder wesentlichen Verringerung dieser Risiken vorsieht. Als Sektorenbeispiele nennt die Kommission u. a. die folgenden Bereiche:
- kritische Infrastrukturen (z.B. Verkehr), in denen das Leben und die Gesundheit der Bürger gefährdet werden könnten;
- Sicherheitskomponenten von Produkten (z.B. eine KI-Anwendung für die roboterassistierte Chirurgie);
- Beschäftigung, Personalmanagement und Zugang zu selbständiger Tätigkeit (z.B. Software zur Auswertung von Lebensläufen für Einstellungsverfahren);
- wichtige private und öffentliche Dienstleistungen (z.B. Bewertung der Kreditwürdigkeit, wodurch Bürgern die Möglichkeit verwehrt wird, ein Darlehen zu erhalten)
- Strafverfolgung, die in die Grundrechte der Menschen eingreifen könnte (z. B. Bewertung der Verlässlichkeit von Beweismitteln);
- Rechtspflege und demokratische Prozesse (z.B. Anwendung der Rechtsvorschriften auf konkrete Sachverhalte).
Bevor KI-Systeme, die mit hohem Risiko behaftet sind, in der EU in Verkehr gebracht oder anderweitig in Betrieb genommen werden dürfen, müssen sich die jeweiligen Anbieter einer Konformitätsbewertung unterziehen. Die Anbieter haben nachzuweisen, dass ihr System den verbindlichen Anforderungen an vertrauenswürdige KI entspricht (z. B. in Bezug auf Datenqualität, Dokumentation, Transparenz und menschliche Aufsicht). Außerdem müssen sie – auch nachdem ein Produkt bereits in Verkehr gebracht wurde – Qualitäts- und Risikomanagementsysteme einführen, um die Einhaltung der neuen Anforderungen dauerhaft sicherzustellen und die Risiken für Nutzer und betroffene Personen zu minimieren.
Geringes Risiko: KI soll sich offenbaren
Für KI-Systeme mit geringem Risiko für die Rechte oder Sicherheit der Bürger sollen Transparenzvorschriften gelten, die es ihren Nutzern ermöglichen sollen, fundierte Entscheidungen zu treffen.
So sollen insbesondere KI-Systeme, die mit Menschen interagieren (z.B. Chatbots) oder Inhalte generieren bzw. manipulieren (z.B. Deep Fakes), künftig kenntlich machen, dass es sich dabei um KI handelt, damit Nutzer dann bewusst entscheiden können, ob sie die Anwendung weiter nutzen wollen oder nicht.
KI mit minimalem Risiko für Rechte oder Sicherheit der Bürger von KI-Verordnung nicht erfasst
Die große Mehrheit der KI-Systeme stellt jedoch nur ein minimales oder gar kein Risiko für die Rechte oder Sicherheit der Bürger dar (z. B. KI-gestützte Videospiele oder Spamfilter). Diese Systeme sind von der KI-Verordnung nicht erfasst und sollen – unter Einhaltung des allgemein geltenden Rechts – weiterhin entwickelt und verwendet werden können.
Nationale Marktüberwachungsbehörden und Europäischer Ausschuss für künstliche Intelligenz sollen Verordnung durchsetzen und Verstöße sanktionieren dürfen
Die Anwendung und Umsetzung der neuen Vorschriften soll laut Vorschlag der Kommission von den zuständigen nationalen Marktüberwachungsbehörden beaufsichtigt werden. Ergänzend ist die Einrichtung eines Europäischen Ausschusses für künstliche Intelligenz (European Artificial Intelligence Board) vorgesehen, der sich aus Vertretern der Mitgliedstaaten und der Kommission zusammensetzt und der die Umsetzung begleiten sowie die Ausarbeitung von Normen auf dem Gebiet der KI vorantreiben soll.
Bei Verstößen sieht der Entwurf drei Sanktionsstufen mit Bußgeldern von bis zu EUR 30 Mio. bzw. 6 % des gesamten weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Die Höhe der angedrohten Sanktionen geht damit sogar über die in der Datenschutzgrundverordnung (DSGVO) vorgesehenen Bußgelder hinaus.
Unternehmen müssen bei der Entwicklung und dem Einsatz von KI zukünftig die durch die Verordnung vorgegebenen Anforderungen berücksichtigen
Auch wenn bis zur endgültigen Verabschiedung der Verordnung noch einige Zeit ins Land gehen wird, sind Unternehmen daher nicht zuletzt im Hinblick auf die hohen Sanktionsandrohungen und die fortschreitende Verbreitung von KI gut beraten, sich frühzeitig mit dem europäischen Verordnungsentwurf zum Einsatz von KI auseinanderzusetzen und sich mit den geplanten rechtlichen und technischen Herausforderungen des neuen Rechtsrahmens zu befassen.
Der Vorschlag muss nun im Rahmen des Gesetzgebungsverfahrens vom Europäischen Parlament und dem Rat der Europäischen Union angenommen werden. Es ist davon auszugehen, dass der Entwurf dabei voraussichtlich noch einige Änderungen erfahren wird. Die Verordnung soll dann eines Tages 24 Monate nach ihrem Inkrafttreten unmittelbar in der gesamten EU gelten.
Mit der Einführung von verschiedenen Regelwerken in Deutschland und der EU wird der gesamte Bereich der digitalen Dienste grundlegend reformiert. Vom neuen Rechtsrahmen werden beinahe sämtliche Anbieter von digitalen Diensten erfasst, Adressaten sind insbesondere Plattformen wie Media Platforms, User Interface Provider und Media Intermediaries als auch Market Places. Eine Übersicht über unser Beratungsangebot zum Bereich „Digital Regulation“ finden Sie hier.