Am 9. Dezember 2023 haben sich die Verhandlungsführer des Europäischen Parlaments und die Ratspräsidentschaft auf die endgültige Version dessen geeinigt, was als weltweit erstes umfassendes rechtliches Rahmenwerk für Künstliche Intelligenz bezeichnet wird: die „Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung bestimmter Rechtsakte der Union" oder kurz „EU KI Verordnung.
Das Gesetz verbietet den Einsatz von KI-Systemen, die ein "unannehmbares Risiko" darstellen, in der Europäischen Union. In anderen Fällen legt es unterschiedliche Verpflichtungen für KI-Systeme fest, die als "hohes Risiko" oder "begrenztes Risiko" eingestuft werden.
Es wurde auch eine Einigung über die Regulierung sog. Grundmodelle erziehl, einschließlich Maßnahmen zur Einhaltung des europäischen Urheberrechts, Anforderungen zur Veröffentlichung ausführlicher Zusammenfassungen über den zur Schulung dieser Systeme verwendeten Inhalt und zur Erstellung technischer Dokumentation im Zusammenhang mit der Verwendung der Modelle.
Wer ist von der Verordnung betroffen?
Das Gesetz gilt sowohl für Anbieter als auch für Nutzer von KI-Systemen, die in der EU verwendet werden oder Auswirkungen auf die EU haben. Der Sitz des Anbieters spielt dabei keine Rolle. Entsprechen sind auch Anbieter oder Nutzer von KI-Systemen in Drittländern wie den Vereinigten Staaten von der EU KI-Verordnung betroffen, sofern die Ausgabe des Systems in der EU verwendet wird.
Welche KI-Systeme deckt das Gesetz ab?
Das Gesetz verwendet die Definition von KI-Systemen, die von der OECD vorgeschlagen wurde: "Ein KI-System ist ein maschinenbasiertes System, das aus den ihm zugeführten Eingaben ableitet, wie es Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert, die physische oder virtuelle Umgebungen beeinflussen können."
Das Gesetz gilt nicht für KI-System:
- die ausschließlich für militärische oder Verteidigungszwecke verwendet werden;
- die ausschließlich für Forschungs- und Innovationszwecke verwendet werden; und
- die von Personen aus nichtberuflichen Gründen verwendet werden.
Unter die EU KI-Verordnung fallen bestimmte Anwendungen, darunter KI-Systeme zur Emotionserkennung am Arbeitsplatz, zum Abgreifen von Gesichtsbildern aus dem Internet oder von CCTV-Aufnahmen zur Erstellung von Gesichtserkennungsdatenbanken. Der Einsatz von KI-Systemen zur Durchführung einer ferngesteuerten biometrischen Identifikation in der Öffentlichkeit wird nur dann erlaubt sein, wenn dies für Strafverfolgungszwecke erforderlich ist. Es müssen jedoch Sicherheitsvorkehrungen dahingehend getroffen werden, dass diese Systeme nur für die Suche nach Personen, die schwerwiegender Verbrechen verdächtigt werden, zum Einsatz kommen.
Welche Anforderungen stellt die Verordnung?
Die Prüfungs- und Sicherheitsanforderungen richten sich nach der Höhe des Risikos des KI-Systems für seine Nutzer und sonstige Betroffene des jeweiligen Systems. Während KI-Anwendungen, die unannehmbare Risiken aufweisen, verboten sind, unterliegen KI-Systeme mit begrenztem Risiko leichteren Transparenzverpflichtungen, wie der Benachrichtigung von Nutzern, dass der von ihnen genutzte Inhalt von KI generiert wurde.
Hochrisiko-KI-Systeme unterliegen hingegen strengeren Anforderungen und Verpflichtungen, wie der Durchführung einer obligatorischen Risikofolgenabschätzung, auch und insbesondere im Hinblick auf die Einhaltung der Grundrechte. Zudem unterlaufen Hoch-Risiko Systeme ein Zulassungsverfahren. Nutzer haben das Recht, Erklärungen über Entscheidungen auf der Grundlage von Hochrisiko-KI-Systemen zu erhalten, die ihre Rechte beeinflussen.
Welche Strafen drohen bei Nichtbeachtung?
Ähnlich wie bei der Berechnung von Geldstrafen gemäß der Europäischen Datenschutz-Grundverordnung werden Geldstrafen für Verstöße gegen das Gesetz als Prozentsatz des globalen Jahresumsatzes der haftenden Partei im vorherigen Geschäftsjahr oder als fester Betrag, je nachdem, welcher Betrag höher ist, berechnet:
- 35 Millionen Euro oder 7% für Verstöße, die die Verwendung verbotener KI-Anwendungen betreffen;
- 15 Millionen Euro oder 3% für Verstöße gegen die Verpflichtungen des Gesetzes; und
- 7,5 Millionen Euro oder 1,5% für die Bereitstellung falscher Informationen.
Es werden jedoch proportionale Obergrenzen für Geldstrafen gegen kleine und mittlere Unternehmen sowie Start-ups eingeführt. Bürger können Beschwerden über die Verwendung von KI-Systemen, die sie betreffen, einreichen.
Wann tritt die Verordnung in Kraft?
Es stehen nun technische Feinabstimmungen in Bezug auf die Verordnung an, die sodann den Vertretern der EU-Mitgliedstaaten zur Genehmigung vorgelegt wird. Grundsätzlich soll das Gesetz zwei Jahre nach Inkrafttreten zur Anwendung kommen, wobei einige Bestimmungen zu einem späteren Zeitpunkt in Kraft treten werden. Denn es stehen noch Detailfragen zur Klärung an, weshalb es durchaus wahrscheinlich ist, dass das Gesetz im Jahr 2026 in Kraft treten wird.
Die Autorin sowie Ihre gewohnten Ansprechpartner stehen Ihnen für Fragen gern zur Verfügung!
Micaela Schork, LL.M.
schork@tigges.legal
+49 211 8687 134
Sie suchen kompetente Beratung oder haben Fragen zu unserer Kanzlei?
Rufen Sie uns gerne unter der Nummer 0211 8687-0 an.
Sie suchen kompetente Beratung oder haben Fragen zu unserer Kanzlei?
Kontaktieren Sie uns gerne.
Kontaktformular