Direkt zum Inhalt wechseln
Beitrag

Künstliche Intelligenz (KI) – Der AI Act ist da!

IT-Recht Künstliche Intelligenz

Die rasante Entwicklung der Künstlichen Intelligenz (KI) hat weitreichende Auswirkungen auf alle Lebensbereiche. Die Europäische Union (EU) hat erkannt, dass ein angemessener rechtlicher Rahmen notwendig ist, um den verantwortungsvollen Einsatz von KI zu gewährleisten und strebt für die EU sowohl hinsichtlich Vertrauenswürdigkeit als auch Innovationskraft eine Vorreiterrolle an. Aus diesem Grund wurde der AI Act (in Deutschland auch KI-Verordnung, KI-VO oder KI-Gesetz genannt) erlassen. Die Verordnung, die in den Mitgliedstaaten unmittelbare Wirkung entfaltet, legt klare Regeln und Standards für den Umgang mit KI-Modellen, KI-Systemen und KI-Inhalten fest.

Ziele und Inhalte der KI-Verordnung

Die KI-VO verfolgt mehrere Ziele, insbesondere:

  • Sie strebt den Schutz der Grundrechte und Grundfreiheiten der Bürgerinnen und Bürger an, um sicherzustellen, dass KI-Modelle und KI-Systeme die Würde, Privatsphäre und andere fundamentale Rechte der Einzelpersonen respektieren. Sie soll gewährleisten, dass KI nicht diskriminierend, manipulativ oder in anderer Weise schädlich agiert.
  • Sie zielt darauf ab, das Vertrauen der Bürgerinnen und Bürger in KI-Modelle und KI-Systeme zu stärken. Hierzu sollen Transparenz, Rechenschaftspflicht und Verständlichkeit gefördert werden. Dies bedeutet, dass KI-Systeme nachvollziehbar und erklärbar sein sollten.
  • Sie will Innovationen und die Wettbewerbsfähigkeit der europäischen Wirtschaft fördern. Indem ein einheitlicher Rechtsrahmen für den Einsatz von KI in der EU geschaffen wird, sollen Unternehmen dazu ermutigt werden, KI-Technologien zu entwickeln und zu nutzen.

Das KI-Gesetz unterscheidet hinsichtlich der Anforderungen  zwischen verschiedenen Verpflichtungen und Risikoklassen. Insbesondere wird der Fokus auf Hochrisiko-KI-Systeme gelegt. Hochrisiko-KI-Systeme sind solche, die erhebliche Risiken für die Gesundheit und Sicherheit oder die Grundrechte von Personen bergen. Beispiele für solche Systeme sind medizinische Diagnosesysteme, autonomes Fahren oder Systeme im Bereich der öffentlichen Sicherheit. Für solche Hochrisiko-KI-Systeme sieht der AI-Act strenge Vorschriften vor. Unternehmen, die solche Systeme entwickeln oder einsetzen, müssen eine umfassende Risikobewertung durchführen, die mögliche Auswirkungen auf die Sicherheit, Gesundheit, Privatsphäre und die Grundrechte von Personen berücksichtigt. Darüber hinaus sind Dokumentationspflichten und die Einhaltung bestimmter technischer Standards vorgesehen, um sicherzustellen, dass diese Systeme den gesetzlichen Anforderungen gerecht werden. Wichtig ist die Unterscheidung zwischen Anbieter und Betreiber. Je nach Einordnung gelten verschiedene rechtliche Vorgaben.

Das Gesetzgebungsverfahren: Der AI Act ist da!

Die Europäische Kommission hat im April 2021 einen ersten Entwurf zum AI Act vorgestellt und damit das Gesetzgebungsverfahren in Gang gebracht. Kurz darauf begannen der Rat der EU und das Europäische Parlament damit, den Vorschlag anzupassen. Der Rat der EU veröffentlichte seine Position im Dezember 2022, das Parlament einigte sich durch die federführenden Ausschüsse (IMCO und LIBE) im Juni 2023 auf eine Position. Der Vorschlag wurde von verschiedenen Interessengruppen wie der EZB, dem Wirtschafts- und dem Datenschutzausschuss diskutiert, um unterschiedliche Perspektiven und Anliegen zu berücksichtigen.

Das Parlament und der Rat befanden sich Anfang des Jahres im sogenannten Trilog, bei dem Vertreter:innen der beiden Organe unter Vermittlung der Kommission einen gemeinsamen Gesetzesvorschlag ausarbeiten, der dann anschließend noch vom Parlament und dem Rat verabschiedet und im Amtsblatt veröffentlicht werden muss. Sie gilt dabei ab dem angegebenen Zeitpunkt verbindlich in der gesamten EU. Eine Ratifizierung durch die nationalen Parlamente ist nicht nötig.

Nach langen Verhandlungen wurde der AI Act am 13. März 2024 durch das EU-Parlament genehmigt.

Am 12. Juli 2024 wurde die KI-Verordnung schließlich im Amtsblatt der EU veröffentlicht (hier finden Sie den Gesetzestext).

Next Steps: Inkrafttreten und Geltungsbeginn des AI Act

Gemäß Art. 113 tritt die KI-Verordnung 20 Tage nach der Veröffentlichung im Amtsblatt, also zum 1. August 2024 in Kraft und wird ihre Geltung in Phasen entfalten.

Hier haben wir einen kurzen Überblick über die relevanten Daten für Sie zusammengestellt:

  • Am 2. Februar 2025 (Art. 113 lit. a KI-VO) müssen die allgemeinen Vorschriften umgesetzt und verbotene Praktiken eingestellt sein, denn ab dann gelten die Kapitel I und II der KI-Verordnung. Das bedeutet insbesondere, dass alle Akteure, die KI-Tools verwenden oder anbieten, die gemäß Art. 4 KI-VO erforderliche KI-Kompetenz innehaben und nachweisen können (mehr dazu können Sie in unserem Beitrag zur KI-Kompetenz im Unternehmen nachlesen).
  • Am 2. August 2025 (Art. 113 lit. b KI-VO) beginnt unter anderem:
    • die Geltung der Regelungen zu KI-Systemen mit allgemeinem Verwendungszweck (General Purpose Artificial Intelligence) und
    • die Geltung und Umsetzung des im AI Act vorgesehenen Sanktionsmechanismus.
  • Am 2. August 2026 (Art. 113 KI-VO) beginnt die allgemeine Geltung der Verordnung.
  • Am 2. August 2027 (Art. 113 lit. c KI-VO) beginnt die Geltung der Umsetzungspflicht der Harmonisierungsvorschriften aus Anhang I, die in Kombination mit weiteren EU-Richtlinien neue Hochrisiko-Anwendungsgruppen entstehen lassen.

Unseren Mandantinnen und Mandanten raten wir daher, sich bereits jetzt mit der KI-Verordnung auseinanderzusetzen und möglichen Handlungsbedarf ausfindig zu machen. Denn die Verordnung wird zum Teil erhebliche Auswirkungen auf die Gestaltung von digitalen Geschäftsmodellen, die Vertragsgestaltung (z. B. bei SaaS-Leistungen mit KI-Elementen) und die Informationspflichten haben.

Mehr Informationen zum Thema Künstliche Intelligenz, Regulierungsansätzen und möglichen Schwächen der KI-Verordnung finden Sie in der Podcastfolge „Me, Myself and AI – Regulierung Künstlicher Intelligenz“ von härting.fm mit Dr. Martin Schirmbacher, Marlene Schreiber und ihrem Gast Prof. Dr. Philipp Hacker, der den Chair of Law and Ethics of the digital Society an der Europa-Universität Viadrina innehat.

Einen besonders intensiven Einblick in die praktische Anwendung erhalten Sie in „This is How We Do It- KI in der Praxis“, Folge 45 von härting.fm, aufgenommen an unserem KI-Tag 2023 mit Dominik Wojcik (evnxt), Viktor von Essen (Merantix, Libra), Dr. Ralph Hünermann(Odooscope) und Michael Neuber (Google).

Auch zu unserem KI-Tag 2024 haben wir zwei Podcastfolgen aufgenommen: In Folge 61 „Bridge Over Troubled Water – AI-Act und KI-Governance“ geht es um den Status Quo der KI-Entwicklung und die Frage, ob KI wirklich alle Probleme löst. Danach ist der Schwerpunkt die neue KI-Verordnung und unterschiedliche Ansätze von KI-Governance. Wir sprechen mit Dr. Maria Börner (Westernacher Solutions), Vitorio Dimov (HÄRTING), Rebekka Weiß (Microsoft), Fabio Vigliar (Merantix Momentum) und mit Marlene Schreiber (HÄRTING). In der zweiten Sonderfolge 62 „Take a Walk on the Wild Side – Datenschutz, Biases und Urheberrecht in der KI“ geht es um Datenschutz, (Kollektiv-)Arbeitsrecht, Biases und das Urheberrecht. Über Datenschutz sprechen wir mit dem Hamburgischen Datenschutzbeauftragte Thomas Fuchs, mit Stefan Brink, ehemaliger Datenschutzbeauftragter von Baden-Württemberg und mit unserer Kollegin Malini Nanda. Außerdem sind Martin Raasch, KI-Berater bei Brainosphere und – mit Schwerpunkt IP-Recht – Fabian Reinholz dabei.