EU KI-Verordnung

Die KI-Verordnung (COM(2021) 206 final, auch „KI-VO“, „Artificial Intelligence Act“ oder „AIA“) ist – soweit ersichtlich – weltweit die erste derart umfassende Regulierung von Künstlicher Intelligenz („KI“). Sie enthält Pflichten für Provider, Nutzer, Einführer, Distributoren und Operatoren von KI und gilt unabhängig vom Sitz des Anbieters (also weltweit). Die Regelungen gelten sowohl für Stand-Alone-Software als auch für embedded Software. Der Anwendungsbereich der KI-Verordnung bezieht sich auf das Inverkehrbringen, die Inbetriebnahme und die Nutzung jeglicher KI-Systeme.

Keine Ausnahmen zur DSGVO

Vorab sei bemerkt, dass die KI-Verordnung fast ausschließlich Einschränkungen und regulatorische Vorgaben beim Einsatz von KI enthält, z. B. das Erfordernis einer CE-Kennzeichnung.

Der große Wunsch an eine KI-Verordnung, nämlich eine Regelung zur umfassenden Nutzung von Daten zum Zwecke des KI-Trainings oder des maschinellen Lernens, wird über die KI-Verordnung nicht erfüllt. Derartige Freigaben fehlen fast vollständig. Lediglich für die Frage der Nutzung von besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) besteht eine gewisse Vereinfachung. Somit verbleibt es hinsichtlich der Frage, ob Daten für den Zweck des KI-Trainings verwendet werden dürfen bei den sonstigen Regelungen, insbesondere bei der DSGVO, sobald personenbezogene Daten vorliegen.

Definition von KI

Die Definition von „Künstlicher Intelligenz“ bzw. von „KI-System“ nach der Begrifflichkeit der KI-Verordnung ist gegenwärtig noch denkbar weit. Künstliche Intelligenz ist danach:

  • Software, die entwickelt wurde mit

    • Ansätzen des maschinellen Lernens und/oder

    • Logik und wissensbasierten Ansätzen und/oder

    • statistischen Ansätzen

  • und die für eine Reihe menschlich festgelegter Zielen

  • Ergebnisse hervorbringen kann (z. B. Vorhersagen, Empfehlungen oder Unterstützungen bei bestimmten Entscheidungsfindungen)

  • die das Umfeld beeinflussen.

Über eine derartige Definition besteht die Gefahr, dass auch „klassische Software“ erfasst wird, die keine Künstliche Intelligenz im eigentlichen Sinne (vgl. beispielsweise TensorFlow) ist. So könnte bereits ein bloßer Taschenrechner als logikbasiert im Sinne der vorstehenden Definition angesehen werden. Ähnliches gilt beispielsweise für „Decision Support Software“ im medizinischen Umfeld.

Aufgrund der umfassend geäußerten Kritik an der Definition ist zu erwarten, dass der Entwurf der KI-Verordnung an dieser Stelle noch angepasst wird; erste konkrete Überlegungen hierzu bestehen bereits.

Risikoklassen

In der KI-Verordnung werden drei Gruppen von Künstlichen Intelligenzen unterschieden:

  • verbotene KI

  • Hochrisiko KI

  • einfache KI

Verbotene KI ist insbesondere solche, bei der zur Anwendung kommen:

  • unterschwellige Techniken jenseits der menschlichen Wahrnehmung, die einer Person körperlichen oder psychischen Schaden zufügen können

  • Ausnutzung von Schwächen bestimmter Personengruppen aufgrund ihres Alters oder einer Behinderung

  • Bestimmung der Zuverlässigkeit natürlicher Personen durch eine Überwachung des Sozialverhaltens über eine bestimmte Zeit hinweg, wenn dies durch den Staat erfolgt

  • Echtzeitsysteme zur biometrischen Erkennung im öffentlichen Raum (abgesehen von bestimmten Bereichen der Strafverfolgung)

Hochrisiko-KI sind unter anderem Künstliche Intelligenzen im Bereich:

  • Medizinprodukte

  • kritische (Verkehrs-)Infrastruktur

  • Bewertungen von Beweismitteln, Zeugnissen oder Kreditwürdigkeit

  • Zugang zu Bildung oder Berufswegen, Bewerbungen, Personalmanagement, Sicherheitskomponenten von Produkten

Zahlreiche weitere als Hochrisiko-KI erfasste Bereiche ergeben sich über Anlagen zur KI-Verordnung.

„Einfache KI“ sind sämtliche sonstigen Künstlichen Intelligenzen, die nicht verboten oder Hochrisiko-KI sind.

Regulatorische Vorgaben

In der KI-Verordnung werden sodann in Abhängigkeit von der KI unterschiedliche Anforderungen geregelt:

Für sämtliche KI bestehen z. B. die folgenden Anforderungen:

  • Kennzeichnungs-/Informationspflicht (Bsp.: Chatbots)

  • Bereitstellung von „Sandboxes“ zum Prüfen von Abläufen durch Mitgliedsstaaten

Für Hochrisiko-KI gelten u. a. die folgenden Anforderungen:

  • Konformitätsbewertungsverfahren durch eine sog. Benannte Stelle

  • anschließende Anbringung der CE-Kennzeichnung

  • Registrierung in einer Datenbank der EU

  • Meldepflicht für erkannte Fehler

  • Post-Market-Monitoring und Market Surveillance

  • Qualitätsmanagementsystem, technischen Dokumentation, automatischen Protokollierung

  • Beachtung von Cybersecurityaspekten

  • menschliche Aufsicht über die KI

Sanktionen

Im Falle von Verstößen können u. a. Bußgelder in Höhe von bis zu 6 % des weltweiten Jahresumsatzes oder bis zu 30 Millionen EUR festgesetzt werden.

KI-Reallabore

Über die KI-Verordnung werden ferner sog. „KI-Reallabore“ eingeführt. In KI-Reallaboren können personenbezogene Daten zur Entwicklung und Erprobung eines KI-Systems verarbeitet werden, die rechtmäßig für andere Zwecke erhoben wurden, wenn zusätzlich insbesondere:

  • ein erhebliches öffentliches Interesse an der KI besteht (z. B. in der Gesundheitsforschung)

  • keine Verwendung anderer Datensätze möglich ist und keine Auswirkungen auf betroffene Personen besteht und ferner eine anschließende Löschung der personenbezogenen Daten erfolgt

  • eine funktional getrennte, isolierte Datenverarbeitungsumgebung vorliegt


Dieser Beitrag ist Teil des Überblicks über die aktuellen Änderungen anlässlich der EU-Datenstrategie und des New Legislative Frameworks. Es wird um Beachtung gebeten, dass es sich bei dem Gesetzgebungsvorhaben gegenwärtig um einen (allerdings als „final“ gekennzeichneten) Entwurf handelt. Es handelt sich somit noch nicht um geltendes Recht und es können sich noch Änderungen im Gesetzgebungsverfahren ergeben. Allerdings ist es wegen der überschaubaren „Übergangsfristen“ bereits jetzt erforderlich, das kommende Recht „in den Blick“ zu nehmen.

Stand: 2. Nov. 2022