Your subscription could not be saved. Please try again.
Zum Newsletter anmelden
Your subscription has been successful.
caralegal logo

KI-Verordnung der EU: Wie Anbieter jetzt handeln müssen

Künstliche Intelligenz und auch ihr rechtliches Rahmenwerk, die KI-Verordnung, hat im Jahr 2023 bereits für viel Furore gesorgt. Wir befinden uns erst am Anfang einer umfassenden technologischen Transformation. Durch ein hohes öffentliches Interesse hat sich der Innovationswettbewerb auf diesem Gebiet verschärft. Um die Entwicklung in die richtigen Bahnen zu lenken und Anbietern von Technologien auf Basis Künstlicher Intelligenz Rechtssicherheit zu bieten, hat die Europäische Union nun die Künstliche-Intelligenz-Verordnung (KI-Verordnung oder nur KI-VO) verabschiedet. Die KI-Verordnung, auch als EU AI Act bekannt, stellt Anbieter vor neue bürokratische Herausforderungen, gibt ihnen aber ebenso mehr Rechtssicherheit. Hier erfährst du, was es damit auf sich hat und wie du am besten auf die Beschlüsse zur KI-Verordnung reagierst.

Hinweis: dieser Artikel wurde am 8.1.2024 aktualisiert.

28. November 2023
 | 
Die KI-Verordnung der EU schafft einen Rahmen für KI-Innovation.

Was ist die KI-Verordnung? 

Die KI-Verordnung ist die regulatorische Antwort der EU auf die rasanten Fortschritte im Bereich der Künstlichen Intelligenz. Die darin enthaltenen Vorgaben orientieren sich zum einen daran, in welchem Sektor die KI eingesetzt wird. Zum anderen werden die Auswirkungen auf Menschen in den Fokus genommen – ähnlich wie bereits bei der DSGVO, die den Umgang mit personenbezogenen Daten reguliert. Zudem hängen die vorgeschriebenen Maßnahmen von dem Risiko ab, das von einem KI-System ausgeht.

Was ist ein KI-System?

Die KI-Verordnung arbeitet mit einer recht weiten Definition von Künstlicher Intelligenz. KI-Systeme sind laut Definition des EU-Parlaments „maschinenbasierte Systeme, die so konzipiert sind, dass sie mit unterschiedlichen Autonomiegraden arbeiten und Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen können, die physische oder virtuelle Umgebungen beeinflussen.“ Zusammenfassend lässt sich sagen, dass KI-Systeme nach der EU-Definition adaptiv und autonom sind.

Welche Ziele verfolgt die EU mit der KI-VO?

Künstliche Intelligenz hat bewiesen, dass sie ein sehr großes disruptives Potenzial besitzt. KI-Anwendungen können unser Arbeits- und gesellschaftliches Leben verändern. An dieser Stelle setzt die EU an und schafft einen Rahmen und zieht rote Linien, die nicht überschritten werden dürfen. Es ist das Ziel der EU, mit der Künstliche-Intelligenz-Verordnung Anbieter dazu zu befähigen, die Wettbewerbsvorteile der KI-Technologie zu nutzen. Dadurch möchte sie zudem die Wirtschaft des EU-Binnenmarkts ankurbeln. Der Ansatz der Europäischen Union zielt darauf ab, die (Weiter-)Entwicklung der Technologie zu ermöglichen und aktiv zu fördern. Gleichzeitig sollen die Rechte der Bürger:innen geschützt werden.

Wie ist der aktuelle Stand der KI-VO und wie ist sie international einzuordnen?

Bei der Regulierung von Künstlicher Intelligenz nimmt die Europäische Union eine Vorreiterrolle ein. Die KI-Verordnung ist ein Prestigeprojekt der EU. Sie soll global zu einem Vorbild für KI-Regulierung werden, wie es schon die DSGVO war. Die EU erhofft sich zahlreiche Nachahmer für einen kontrollierten Einsatz von KI.

Nach einem offiziellen Trilog zwischen dem EU-Parlament, dem EU-Ministerrat und der EU-Kommission wurde Anfang Dezember 2023 ein Kompromiss erzielt und die KI-Verordnung verabschiedet. Dadurch kann das Gesetz in absehbarer Zeit in Kraft treten.

Wann wird die europäische KI-Verordnung in Kraft treten?

Viele Anbieter fragen sich mit Bezug auf die KI-Verordnung, wann ihr Inkrafttreten terminiert wird. Nach der politischen Einigung von EU-Parlament, Ministerrat und Kommission geht es voraussichtlich sehr schnell. Die Zustimmung durch das Europaparlament und die Mitgliedsstaaten wird als reine Formalität angesehen. Die KI-Verordnung wird wahrscheinlich bereits Anfang 2024 in Kraft treten. Im Anschluss werden Anbieter eine Umsetzungsfrist von voraussichtlich zwei Jahren erhalten. Dementsprechend wird die EU-KI-Verordnung wohl Anfang des Jahres 2026 in vollem Umfang gelten.

Was sind die wichtigsten Inhalte der KI-Verordnung?

Für konventionelle bzw. nicht „wirkmächtige“ General Purpose AI (GPAI-Modelle) gelten Transparenzanforderungen. Dazu gehören die Erstellung einer technischen Dokumentation, die Einhaltung des EU-Urheberrechts und die Zusammenfassung der für das Training verwendeten Daten.

Für GPAI-Modelle mit „systemischen Risiken“ werden zusätzliche Verpflichtungen in Bezug auf Risikomanagement und Cybersicherheit eingeführt. Auch müssen Angaben zur Energieeffizienz gemacht werden.

Die Grenze zwischen nicht wirkmächtigen GPAI-Modellen und solchen mit systemischen Risiken soll bei einer Rechenleistung von 10^25 Floating Point Operations Per Second liegen.

Ausnahmen existieren für KMUs und Open-Source-Modelle, die nicht mit zu viel bürokratischem Aufwand belastet werden sollen. Open-Source-Modelle müssen noch nicht einmal Transparenzpflichten erfüllen.

Welche Rolle spielen die KI-Anwendungsbereiche für Anbieter?

In der KI-Verordnung spielen unterschiedliche Anwendungsbereiche für Künstliche Intelligenz eine große Rolle. Anbieter können sich an der Kategorisierung der deutschen Datenethikkommission von 2019 orientieren, um sich einen Überblick zu diesen Bereichen zu verschaffen (siehe Schaubild; die Quelle dazu findest du hier). Dabei wird mit unterschiedlichen Kritikalitätsgraden gearbeitet. Diese gehen laut der KI-VO jeweils mit eigenen Regulierungen und Anforderungen einher. Das sollten Anbieter berücksichtigen, wenn sie KI-Produkte entwickeln, und ihre Dokumentation dementsprechend anpassen.

Interessanter Fakt: Nach aktuellem Stand gehören moderne Hörgeräte der Kategorie der Hochrisikosysteme an. Das liegt daran, dass es medizinische Produkte sind, die unter eine Konformitätsprüfung fallen. Durch die Einstufung als Hochrisiko-KI soll bei medizinischen Produkten die Sicherheit der Patient:innen garantiert sein.

Welche Schnittstellen existieren zwischen KI-VO und DSGVO?

Die KI-Verordnung der EU und die DSGVO werden planmäßig nebeneinander existieren. Es werden sich jedoch Schnittstellen ergeben, an denen beide Verordnungen greifen. Das wird vor allem in zwei Anwendungsbereichen der Fall sein, nämlich:

1.

wenn bei der Entwicklung eines KI-Systems personenbezogene Daten genutzt werden, um es zu trainieren oder zu testen,

2.

wenn beim Einsatz der Künstlichen Intelligenz personenbezogene Daten verarbeitet werden.

In diesen Fällen müssen Anbieter besonders genau darauf achten, beide Verordnungen zu berücksichtigen.

Was müssen Anbieter bezüglich der KI-Verordnung jetzt beachten?

Du denkst dir vielleicht: Über die Anwendung der KI-Verordnung mache ich mir erst in zwei Jahren Gedanken, wenn die Übergangsfrist im Jahr 2026 abläuft und ich für meine Produkte und/oder Dienstleistungen Compliance sicherstellen muss. Doch das wäre ein Fehler. Denn Compliance zur KI-VO bedeutet, dass alle KI-Systeme, die nach dem Ablauf der Übergangsfrist betrieben werden, die Vorgaben der Verordnung einhalten müssen. Daher sollten Anbieter bereits jetzt mit der Dokumentation beginnen. Sonst wird es nahezu unmöglich, die Prozesse bis 2026 bei allen Produkten und Dienstleistungen vollständig umzustellen.

Zwar existiert ein Rückwirkungsverbot für Gesetze, das zur Folge hat, dass die Regulierungen von 2026 nicht auf das Jahr 2023 angewendet werden dürfen. Allerdings wird eine KI-Anwendung, die vor Inkrafttreten der Verordnung entwickelt und im Jahr 2026 aktualisiert wird, unter die KI-VO fallen, sofern sie durch das Update wesentlich geändert wird.

Für Anbieter heißt das: Sie sollten bereits jetzt dem Entwurf der KI-VO folgen, um in Zukunft die Freiheit zu besitzen, ihre Produkte zu verändern, ohne sie erst an die Standards der Verordnung anzupassen. Sie sollten Prozesse etablieren, die die Anforderungen der KI-Verordnung und der DSGVO erfüllen. Für den Einsatz von Hochrisiko-KI heißt das beispielsweise, dass sie nach Art. 9 der KI-VO ein umfassendes Risikomanagementsystem implementieren müssen. Dies kann durchaus mit den bereits bestehenden Datenschutz-Prozessen kombiniert werden. Mit der Verbindung von KI-VO und DSGVO halten Anbieter den Schlüssel in der Hand, um rechtssicher und damit effektiv zu handeln, ohne durch Verstöße zurückgeworfen zu werden.

KI-Verordnung und DSGVO gemeinsam denken

Die KI-Verordnung der EU schafft einen regulatorischen Rahmen, um Anbieter in Bezug auf KI-Produkte mehr Rechtssicherheit zu geben und produktive Innovationen zu ermöglichen. Damit einher gehen jedoch Maßnahmen, die einen gewissen bürokratischen Aufwand für Anbieter mit sich bringen. Bei ihrer Implementierung können Anbieter daher schon jetzt auf bereits existierende datenschutzrechtliche Prozesse aus der DSGVO setzen. Ein ganzheitliches Datenschutz­management­system mit integriertem Risikomanagement ist eine solide Vorbereitung auf die Einhaltung beider Verordnungen.

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:

Die 7 Gewährleistungsziele des SDM helfen dabei, effektiven Datenschutz zu betreiben.

7 SDM-Gewährleistungsziele

Mehr erfahren
Schwellwertanalyse: Symbolbild aus dem Datenschutzrecht

Auf einen Blick: Schwellwertanalyse

Mehr erfahren
Guide zum Standard-Datenschutzmodell mit Illustrationen und und praxisnahen Tipps

Standard-Datenschutzmodell - ein Praxis-Guide

Mehr erfahren