Am 1. August 2024 trat die europäische Verordnung über künstliche Intelligenz (El Reglamento Europeo de Inteligencia Artificial – „RIA“) in Kraft. Ziel der RIA ist es, in allen Mitgliedstaaten der Europäischen Union (im Folgenden die „EU“) einen einheitlichen Rechtsrahmen zu schaffen, der die Entwicklung und Anwendung von künstlicher Intelligenz (im Folgenden „KI“) regelt und die mit ihrem Einsatz verbundenen Risiken abmildert.
Die EU war ein Vorreiter bei der Regulierung dieser Technologie. Der Regulierungsprozess begann im April 2021 mit dem Vorschlag der Europäischen Kommission für den ersten EU-Regulierungsrahmen und der Einigung von Rat und Parlament über dessen parlamentarische Verordnung (mehr zu diesem Thema finden Sie in unserem Artikel „NEUE EU-VEREINBARUNG ZUR REGULIERUNG DER KÜNSTLICHEN INTELLIGENZ“), der Vorschlag wurde schließlich im März 2024 mit der Verabschiedung der Europäischen Verordnung über künstliche Intelligenz durch das Europäische Parlament, ihrer Billigung durch den Rat im Mai 2024 und schließlich mit ihrem Inkrafttreten umgesetzt.
Im Folgenden werden der Anwendungsbereich der Verordnung, die wichtigsten rechtlichen Verpflichtungen, die sie den (öffentlichen und privaten) Unternehmen in der Europäischen Union auferlegt, die Bestimmungen, die seit ihrem Inkrafttreten gelten, sowie die Bestimmungen, die in den kommenden Monaten in Kraft treten werden, beschrieben.
Umfang der Anwendung
Wie die Allgemeine Datenschutzverordnung (DSGVO) hat der RIA einen extraterritorialen Anwendungsbereich, d. h. ihre Anwendung hängt nicht nur vom Standort der KI-Vermarkter ab, sondern auch von der Art des KI-Systems oder -Modells sowie vom Standort der durch das KI-System erzeugten Informationen oder Produkte.
Gemäß Artikel 2 gilt der RIA insbesondere für (i) Anbieter, die in der EU allgemein genutzte KI-Systeme oder KI-Modelle vermarkten oder in Betrieb nehmen, unabhängig davon, ob diese Anbieter in einem EU-Mitgliedstaat ansässig sind oder nicht; (ii) Implementierer von KI-Systemen, die in der EU niedergelassen oder ansässig sind; (iii) Anbieter und Implementierer von KI-Systemen, deren durch KI generiertes Produkt in der EU genutzt wird (unabhängig davon, ob sie in einem Drittland niedergelassen oder ansässig sind oder nicht); (iv) Importeure und Händler von KI-Systemen; (v) Hersteller, die ein KI-System zusammen mit ihrem Produkt unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringen oder in Betrieb nehmen; (vi) bevollmächtigte Vertreter von Anbietern von KI-Systemen, die nicht in einem EU-Mitgliedstaat niedergelassen sind; (iv) betroffene Personen, die sich in der EU befinden.
Risikoniveaus von KI-Systemen
Das Inkrafttreten des RIA bedeutet für öffentliche und private Einrichtungen die Einhaltung spezifischer Verpflichtungen, die hauptsächlich vom Risikoniveau des von ihnen verwalteten KI-Systems oder -Modells abhängen, mit entsprechenden Sanktionen, die hauptsächlich von der Größe des KI-Systemanbieters abhängen.
Der RIA definiert ein System der künstlichen Intelligenz zunächst als ein System mit einem gewissen Grad an Autonomie, das anhand von Daten und Eingaben, die von Menschen oder Maschinen bereitgestellt werden, ableitet, wie vorgeschlagene Ziele oder Reaktionen erreicht werden können. Dazu verwendet es Techniken, die auf maschinellem Lernen, Schlussfolgerungen oder Modellierung beruhen, und dies ist sein Hauptmerkmal, das es von einem bloßen Computerprogramm, einem Softwaresystem oder einem traditionellen Programmieransatz unterscheidet. Der RIA legt dann 3 Risikostufen fest, die von der Nutzung der KI durch das System abhängen, sowie eine vierte Kategorie für inakzeptable Risiken oder verbotene Praktiken. In diesem Artikel konzentrieren wir uns auf die Kategorie des inakzeptablen Risikos und auf Systeme mit hohem Risiko, da die letztgenannte Kategorie ihren „Anwendern“, d. h. der Person oder dem Unternehmen, die bzw. das diese Art von System zu beruflichen Zwecken einsetzt, mehr Verpflichtungen auferlegt.
Unannehmbare Risiken oder verbotene Praktiken
Des RIA verbietet alle KI-Systeme oder -Modelle mit „inakzeptablem Risiko“, einschließlich solcher Systeme, die unterschwellige, manipulative oder betrügerische Techniken anwenden, um das Verhalten einer Person oder Gruppe zu beeinflussen und ihr zu schaden, oder die die Schwächen einer bestimmten Gruppe oder eines bestimmten Personenkreises ausnutzen, um ihr Verhalten mit schädlichen Folgen zu verändern. Ausdrücklich verboten sind auch „Social Scoring“-Systeme, d. h. KI-Systeme, die Einzelpersonen oder Gruppen u. a. nach ihrem Sozialverhalten bewerten oder klassifizieren.
Hochriskante Systeme
Der RIA stuft ein KI-System als hochriskant ein, wenn sein Einsatz eine erhebliche Gefahr für die Gesundheit, die Sicherheit oder die Grundrechte darstellt. Außerdem wird zwischen zwei Unterkategorien von Systemen mit hohem Risiko unterschieden: (i) Systeme, die an harmonisierte Produktsicherheitsvorschriften gebunden sind und die aufgrund ihrer sektoralen Regulierung einer besonderen Bewertung unterzogen werden müssen (Anhang I des RIA), und (ii) Systeme, die aufgrund des Sektors, in dem sie eingesetzt werden, oder des spezifischen Verwendungszwecks, für den sie bestimmt sind, nach Ansicht des RIA ein hohes Risiko darstellen (Anhang III des RIA).
Unter diesen Systemen können wir aufgrund ihres Anwendungsbereichs (Anhang III der RIA) die KI-Systeme zur biometrischen Identifizierung, die KI-Systeme, die für die Sicherheit und das Management kritischer Infrastrukturen, die allgemeine und berufliche Bildung, die Verwaltung von Arbeitnehmern, wesentliche öffentliche und private Dienstleistungen, die Systeme im Zusammenhang mit der Strafverfolgung und der Rechtspflege und andere hervorheben.
Auch wenn ein bestimmter Fall unter ein Hochrisikosystem für KI fallen kann, z. B. die Verwendung biometrischer Identifikatoren, wird er nicht als Hochrisiko angesehen, wenn der Einsatz von KI kein erhebliches Risiko der Beeinträchtigung eines Grundrechts, der Gesundheit oder der Sicherheit mit sich bringt. Daher scheint es a priori, dass der RIA eine Reihe von Problemen bei der Bestimmung der Bedingungen aufwirft, unter denen ein echtes Risiko für die Verursachung von Schäden besteht. Im RIA wird zunächst vorgeschlagen, dass die Kommission eine erschöpfende Liste mit konkreten Beispielen für KI-Systeme mit hohem und niedrigem Risiko erstellen sollte, um die Einstufung von KI-Systemen zu erleichtern.
Verpflichtungen für Unternehmen, die hochriskante KI-Systeme einsetzen.
Zu den wichtigsten Verpflichtungen, die den RIA den Anbietern von KI-Systemen mit hohem Risiko auferlegt, gehören:
- Die Einführung eines Risikomanagementsystems, um Risiken in Bezug auf Gesundheit, Sicherheit und Grundrechte zu erkennen und zu mindern.
- Ordnungsgemäße Verwaltung von Schulungs- und Testdaten, um die Korrektheit, Relevanz und statistische Darstellung der Daten zu gewährleisten und Verzerrungen zu vermeiden, die sich negativ auf die Nutzer auswirken.
- Ein Mindestinhalt an aktualisierter technischer Dokumentation, die die Einhaltung der vom RIA geforderten Anforderungen nachweist, wobei der Mindestinhalt von der Europäischen Kommission festgelegt werden muss.
- Die Verpflichtung, die Nutzer über die Fähigkeiten des Systems, seine Genauigkeit, seinen Umfang und seine Anwendung zu informieren. Und im Falle der beruflichen Nutzung am Arbeitsplatz die Verpflichtung, die Arbeitnehmer und ihre gesetzlichen Vertreter über diese Tatsache zu informieren.
Die Informationspflicht umfasst die Pflicht des KI-Anbieters zur Transparenz gegenüber seinen Nutzern oder betroffenen Personen über den Betrieb und die Ergebnisse, die er erzeugt. Ein Beispiel hierfür ist die Pflicht, die betroffene Person zu informieren, wenn sie direkt mit einem KI-System und nicht mit einer realen Person interagiert, oder die Pflicht, (i) die Ausgabeergebnisse zu kennzeichnen, die künstlich erzeugten oder manipulierten Inhalten entsprechen, um sie von den nicht manipulierten zu unterscheiden, und (ii) die künstlich erzeugten oder manipulierten Inhalte zu informieren und zu veröffentlichen, wenn die erzeugten Inhalte realen Personen ähneln und eine Ultra-Imitation oder „Deep Fake“ darstellen könnten.
- Obligatorische Aufbewahrung aller vom KI-System erzeugten und von ihm kontrollierten Protokolldateien.
- Obligatorische menschliche Aufsicht über das KI-System, um dessen Risiken zu minimieren, z. B. durch Überprüfung des Ergebnisses oder der Ausgabe der vom KI-System erzeugten Daten durch eine oder mehrere natürliche Personen.
- Sicherstellung der Ausbildung und Eignung des für den Betrieb und die Nutzung von KI-Systemen zuständigen Personals.
- Genauigkeit und Cybersicherheit von KI-Systemen, um sicherzustellen, dass sie genau, robust und sicher sind, mit der Umsetzung spezifischer Maßnahmen gegen Datenmanipulation.
- Zusammenarbeit mit den Behörden bei der Mitteilung von festgestellten Verstößen oder Risiken sowie die Pflicht, alle von den Behörden angeforderten Informationen und Unterlagen bereitzustellen.
- Obligatorische Registrierung des KI-Systems in der EU-Datenbank, bevor es in Betrieb genommen oder auf den Markt gebracht wird, mit Ausnahme von KI-Systemen des öffentlichen Sektors für Grenzkontrollen, Einwanderung, öffentliche Ordnung oder Asylzwecke.
- Obligatorische Grundrechtsfolgenabschätzung für öffentlich-rechtliche Einrichtungen oder private Stellen, die öffentliche Dienstleistungen erbringen und KI-Systeme mit hohem Risiko einsetzen.
Der RIA legt auch fest, dass die Einhaltung dieser Verpflichtungen und Anforderungen durch Anbieter und Nutzer von KI-Systemen von einer von jedem Mitgliedstaat zu benennenden „notifizierenden Behörde“ überwacht wird, um ein ordnungsgemäßes Risikomanagement durch KI-Vermarkter sicherzustellen und zu überwachen. Darüber hinaus wird mit dem RIA eine neue Institution, der „Europäische Ausschuss für künstliche Intelligenz“, mit einem Vertreter aus jedem Mitgliedstaat geschaffen, um zusammenzuarbeiten und einen harmonisierten Rechtsrahmen für künstliche Intelligenz in der EU weiterzuentwickeln.
Inkrafttreten
Der RIA ist am 1. August in Kraft getreten, obwohl sie gemäß der jeweiligen Bestimmung erst 36 Monate nach ihrem Inkrafttreten voll anwendbar sein wird. Insbesondere das Verbot von KI-Systemen, die unannehmbare Risiken darstellen, gilt ab Anfang 2025, also sechs Monate nach Inkrafttreten des RIA, und die Pflichten und Anforderungen für Anbieter von KI-Systemen mit hohem Risiko gelten ab August 2027, also 36 Monate nach Inkrafttreten des RIA. Einige dieser Verpflichtungen, wie z. B. Berichterstattung und Transparenz, gelten jedoch erst ab August 2025, also 12 Monate nach Inkrafttreten des GFA.
Der RIA ist der Höhepunkt eines langsamen und kontroversen Regulierungsprozesses durch die europäischen Institutionen. Seine Auswirkungen werden jedoch von seiner Annahme durch die verschiedenen EU-Mitgliedstaaten abhängen, die bereits erste Unterschiede in der Auslegung des RIA aufweisen. Darüber hinaus ist anzumerken, dass der RIA nicht dazu gedacht ist, KI vollständig zu regulieren, sondern durch zwei andere Gesetzesinitiativen ergänzt wird, die noch in Vorbereitung sind: (i) der Vorschlag für eine Richtlinie über die zivilrechtliche Haftung für KI, deren Hauptziel darin besteht, die außervertragliche zivilrechtliche Haftung für durch KI-Systeme verursachte Schäden zu regeln, und (ii) der Vorschlag für eine Richtlinie über die Haftung für fehlerhafte Produkte.
Julio González
Vilá Abogados
Für weitere Informationen wenden Sie sich an:
23. August 2024