19.12.2023

Einheitliche Regelungen für die Nutzung Künstlicher Intelligenz: Die KI-Verordnung kommt!

Innovationsförderer oder -bremse? Nach der politischen Einigung am 8. Dezember über den voraussichtlichen Inhalt des sog. Artificial Intelligence Act (AIA) der EU stellt sich so mancher diese Frage. In Teilen ist die Rede von einer Startrampe für Start-ups. Andere sprechen von einer Gefahr für die Demokratie oder einem Hemmschuh des Fortschritts. Wirklich glücklich ist niemand außer den politischen Entscheidungsträgern.

Was ist passiert?

Nachdem der Europäische Rat im Dezember 2022 und das Europäische Parlament im Juni 2023 ihre finalen Positionen zum Entwurf des AIA veröffentlicht hatten, traten Rat, Parlament und Kommission in Verhandlungen über einen abschließenden Gesetzesvorschlag ein, sog. Trilog. In der Nacht auf den 9. Dezember einigten sich die gesetzgebenden Organe der EU nach einer 38 Stunden andauernden Verhandlung über die Inhalte des AIA. Damit verabschiedet die EU den ersten umfassenden Rechtsakt zur Regulierung von KI. Unklar ist, ob die politische Einigung auch den selbstgesteckten Zielen der EU entspricht: Innovationsförderung und Regulierung von Risiken. Die einen befürchten, dass der Mensch in der EU nun künftig mit einem digitalen Nummernschild herumläuft, überall erkannt und erfasst wird. Andere fürchten, dass Unternehmen und Entwickler bei der Einführung innovativer KI-Systeme ein weiterer Knüppel zwischen die Beine geworfen wird, indem eine übermäßige Regulierung(-swut) zu hohe Vorgaben an die Entwicklung und Verwendung von KI-Systemen stellt. Aussagen einzelner politischer Vertreter deuten zumindest auf strengere Regulierung hin. So äußerte Věra Jourová (Vizepräsidentin für Werte und Transparenz) etwa: „KI ist bereits ein echter Wandel, und wir, die Europäer, müssen eine rechtliche Möglichkeit haben, uns vor den schädlichsten Auswirkungen der KI zu schützen.

Welche Neuerungen bringt die politische Einigung für den AIA?

Dies lässt sich zum jetzigen Zeitpunkt noch nicht abschließend sagen, denn ein finaler Text des AIA liegt noch nicht vor. Vielmehr wurden in den Verhandlungen wohl Linien für die notwendigen Kompromisse vereinbart, die jetzt noch in einen Gesetzestext gegossen werden müssen. Deshalb können die Kompromisse aktuell nur aus den Pressemitteilungen der EU entnommen werden.

Nach jüngsten Veröffentlichungen des Europäischen Rates dürften die wesentlichen Grundstrukturen des AIA bestehen bleiben. Der Fokus der politischen Einigung liegt aber deutlich überwiegend auf der regulatorischen Seite: insoweit stehen der Gedanke des Schutzes vor Risiken durch KI-System und die Wahrung der Grundrechte klar im Vordergrund.

Im kommenden AIA wird die Liste sog. verbotener KI-Systeme erweitert werden. Hauptstreitpunkt war hierbei die biometrische Gesichtserkennung. Weiter ist eine Folgenabschätzung in Bezug auf die Grundrechte für Betreiber von Hochrisiko-KI-Systemen vereinbart worden. Weitere Regulierungsmaßnahmen betreffen sog. Basismodelle. Der Vorstoß von Frankreich, Deutschland und Italien die Basismodelle aus der Regulierung ganz herauszunehmen, ist damit gescheitert. War zuvor nur die Rede von Transparenzpflichten, so lassen sich zumindest für als „Basismodelle mit erheblichen Auswirkungen“ bzw. „systemisch riskante“ Basismodelle strengere Vorgaben (in Form von Test- und Berichtspflichten) erwarten. Entscheidend für das Vorliegen erheblicher Auswirkungen/systemischer Risiken ist wohl die Größe der Datenbank, mit der ein Basismodell trainiert wird. Gesteigerte Bedeutung dürfte daher in der Zukunft den Fragen rund um die Bestimmung systemischer Risiken/erheblicher Auswirkungen zukommen.

Eindeutig erfasst sein sollen nach Angaben der EU-Kommission die auf dem Sprachmodell GPT-4 aufsetzende Version zu ChatGPT von Open AI sowie Gemini von Google DeepMind. Unklar ist, welchen Einfluss es auf die Anwendung dieser Regelungen haben wird, dass Basismodelle „lernen“ und sich dadurch ständig selbst optimieren. Denn der Zeitpunkt, zudem die Risiken des Basismodells bewertet werden müssen, ist noch nicht klar. Insbesondere für Entwickler/Start-ups (etwa Aleph Alpha als Pendant zu ChatGPT) dürfte dieser Punkt von Interesse sein, um ggfls. das eigene Basismodell zunächst mit kleineren Datenmengen zu trainieren und dadurch dem erweiterten Pflichtenkatalog vorläufig zu entgehen.

Birgt die politische Einigung auch Innovationspotenzial?

Auf den ersten Blick, nein. Mit der politischen Einigung über strengere Vorgaben an KI-Systeme erschwert der Gesetzgeber es den Entwicklern und Unternehmen, neue KI-Systeme zu entwickeln und in den Markt zu bringen. Sofern die EU-Kommission darauf abstellt, dass die politische Einigung auch innovationsfreudige Übereinkünfte enthält, erweisen sich diese zumindest in Teilen als nicht überzeugend. Beispielhaft hierfür ist die Möglichkeit zu Testläufen von Hochrisiko-KI-Systemen in Echtzeit über einen Zeitraum von sechs Monaten. Die grundsätzliche Erlaubnis lässt sich als Schritt in die richtige Richtung sehen, jedoch lassen die anschließenden gesetzlichen Vorgaben diese Erlaubnis quasi ins Leere laufen. Für die Durchführung der Testläufe in Echtzeit setzt der AIA wohl unter anderem voraus, dass die vorherige informierte Einwilligung der Nutzer eingeholt wird und das die Testläufe keine negativen Auswirkungen auf die Nutzer haben. Die Einwilligung scheint vom Standpunkt der Grundrechte betrachtet ein probates Mittel zu sein, um die Rechte des Einzelnen zu wahren. In der Praxis zeigt sich aber, dass die Einwilligung nicht geeignet ist, Forschungsvorhaben zu stützen, weil die Vorgaben und der Aufwand zu hoch sind. Insoweit wäre es die Aufgabe des Gesetzgebers gewesen, durch eine Regelung mit klaren Voraussetzungen und Grenzen den Interessenausgleich herbeizuführen und diese Aufgabe gerade nicht auf die handelnden Akteure zu verlagern.

Umgekehrt muss der AIA allerdings keine Innovationsbremse sein. So beinhalten einzelne Beschränkungen auf den zweiten Blick innovations- und wettbewerbsfreundliche Aspekte. Dies gilt insbesondere bei der Entwicklung neuer Basismodelle. Regelmäßig werden diese im Gegensatz zu den etablierten Modellen wie ChatGPT nur den allgemeinen Transparenzpflichten unterfallen, da ihnen in Anbetracht der regelmäßig geringeren Rechenleistung das systemische Risiko fehlen wird. Auch beim Thema Sanktionen zeigt sich die innovationsfördernde Seite des AIA, indem KMUs weniger hohe Geldbußen auferlegt werden als größeren Unternehmen.

Wird der AIA tatsächlich noch mehr KI-Systeme uneingeschränkt verbieten als ursprünglich erwartet

Ein besonderes Reizthema vor der politischen Einigung waren die KI-Systeme mit unannehmbaren Risiken, die der AIA verbietet. Hierunter fällt etwa die Nutzung von KI-Systemen für Predictve-Policing, biometrische Gesichtserkennung und biometrischen Kategorisierung. Bürgerrechtler erhofften sich eine uneingeschränkte Untersagung, wohingegen manche Sicherheitsbehörde auf weitreichende Erlaubnisse hofften. Die politische Einigung sieht ausgehend von der Pressemitteilung des Parlaments weder ein uneingeschränktes Verbot noch weitläufige Erlaubnisse sämtlicher KI-Systeme mit unannehmbaren Risiken vor. Einzelne Anwendungen von KI-Systemen sind nach der politischen Einigung verboten, wie das ungezielte Auslesen von Gesichtsbildern, die Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen und die biometrische Kategorisierung. Andere hingegen sind im Einzelfall erlaubt (wie bestimmte Fälle des Predictive Policing). Zudem sind besondere Ausnahmen für die Strafverfolgungsbehörden nach der politischen Einigung vorgesehen, die im Notfall auch den Einsatz von grundsätzlich untersagten Hochrisiko-Instrumenten erlauben. Zwar scheiden sich auch hier die Geister, jedoch zeigt die politische Einigung einen klar erkennbaren Grundgedanken: Unannehmbare Risiken nur in Ausnahmefällen zum Schutz gewichtiger Rechtsgüter zuzulassen.

Wird die politische Einigung den ursprünglichen Zielen des AIA gerecht?

Mit dem AIA sollte ein Kompromiss aus Förderung der Innovationslust und Berücksichtigung berechtigter Befürchtungen gelingen. Das Ziel wird allerdings wohl nicht erreicht werden: während der AIA Risiken adressiert, sieht es bei der Innovationsförderung mau aus. Einen Stolperstein für innovative Modelle könnten insbesondere die strengen Vorgaben für Hochrisiko-KI-Systeme wie auch gesteigerten Vorgaben an Basismodelle bedeuten. Beide dürften für Entwickler umfangreichere Prüfungen und Dokumentationen bedeuten, bevor sie ihr KI-System in den Verkehr bringen.

Ob einzelne Ziele jedoch tatsächlich verfehlt wurden, bleibt bis zur Veröffentlichung des finalen Textes abzuwarten. Insbesondere die Ausarbeitung einzelner Detailfragen mag hier noch entscheidende Änderungen bedeuten.

Was bedeutet die politische Einigung für Entwickler und Anbieter?

Für eine abschließende Bewertung des AIA muss zunächst die Veröffentlichung des finalen Texts abgewartet werden. Diese soll wohl bis Mitte Februar 2024 ausgearbeitet werden.

Mag auch der Inhalt der gesetzlichen Bestimmungen noch bis zur Veröffentlichung im Amtsblatt unklar sein, so folgt aus der politischen Einigung eine zentrale Erkenntnis: Der AIA tritt voraussichtlich in absehbarer Zeit in Kraft und dürfte nach Ablauf einer zweijährigen Umsetzungsfrist umfassend innerhalb der EU gelten. Einzelne Regelungen treten allerdings schon sechs Monate nach Veröffentlichung in Kraft.

Insofern empfiehlt es sich für Unternehmen und öffentliche Hand, frühzeitig die Implikationen des AIA auf die eigene Tätigkeit zu prüfen. Schon die DSGVO hat gezeigt, dass eine vorgreifende Analyse bei der späteren Umsetzung gesetzlicher Vorgaben hilfreich sein kann. Sofern eine Relevanz des AIA für die eigene Geschäftstätigkeit besteht, empfiehlt es sich, nach Veröffentlichung im Amtsblatt mit der Umsetzung der neuen rechtlichen Vorgaben zu beginnen. Dabei gilt es zunächst

  • in einem ersten Schritt zu erfassen, welche Pflichten und Vorgaben für die eigene Geschäftstätigkeit relevant sind – zu erwarten sind konkrete Pflichten für die Compliance von (Hochrisiko) KI-Systemen,
  • die bestehenden Pflichten in einem weiteren Schritt tatsächlich innerhalb der Umsetzungsfrist umzusetzen sowie
  • anschließend einen Prozess für eine regelmäßige Überprüfung einzurichten.

Im Übrigen zeigen sich bereits jetzt erste praktische Folgen aus den gehegten Befürchtungen, indem in der EU nicht mehr jedes neue KI-System direkt veröffentlicht wird. So hat Google am 6. Dezember das KI-System Gemini in Google Bard integriert. Für Bürger in der EU ist Gemini vorerst nicht nutzbar, da Google zunächst die Vereinbarkeit mit den rechtlichen Vorgaben prüfen will.

Autor/in
Dr. Kuuya Josef Chibanguza, LL.B.

Dr. Kuuya Josef Chibanguza, LL.B.
Partner
Hannover
kuuya.chibanguza@luther-lawfirm.com
+49 511 5458 16837

Christian Kuß, LL.M.

Christian Kuß, LL.M.
Partner
Köln
christian.kuss@luther-lawfirm.com
+49 221 9937 25686

Alina Moers

Alina Moers
Associate
Köln
alina.moers@luther-lawfirm.com
+ 49221 9937 24679

Dennis Göbel