Einleitung
Die am 21.05.2024 verabschiedete KI-Verordnung (AI-Act) ist das weltweit erste Gesetz zur Regulierung von Künstlicher Intelligenz. Es wird erwartet, dass viele Branchen sich zukünftig intensiv mit dieser Verordnung auseinandersetzen müssen.
Geplant ist, dass die KI-Verordnung 20 Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft tritt. Die Veröffentlichung im Amtsblatt der Europäischen Union ist für Juni/Juli 2024 vorgesehen.
Anschließend wird ein gestaffeltes System an Übergangsfristen in Kraft treten. Zunächst werden 6 Monate nach Inkrafttreten die Vorschriften über verbotene KI-Systeme gelten, deren Nutzung eingestellt werden muss. 24 Monate nach Inkrafttreten werden die übrigen Vorgaben der KI-Verordnung, wie etwa die Transparenzpflichten für generative KI-Systeme, gelten. Eine Ausnahme bilden die Pflichten in Bezug auf Hochrisiko-KI-Systeme, für die eine Übergangsfrist von 36 Monaten nach Inkrafttreten vorgesehen ist.
Der Zweck der Verordnung ist, wie aus Art. 1 I KI-VO hervorgeht, die Stärkung des gesellschaftlichen Vertrauens in KI-Anwendungen. Aus diesem Grund werden Compliance-Anforderungen an die KI gestellt, die im Verhältnis zu den jeweiligen drohenden Grundrechtseingriffen stehen. Mit diesem risikobasierten Ansatz soll die KI-Verordnung flexibel auf zukünftige technische Entwicklungen reagieren können. Für betroffene Unternehmen dürften die Herausforderungen vor allem in der formellen Durchführung des Zertifizierungsverfahrens und der Implementierung des Compliance-Managementsystems liegen.
Überblick über wesentliche Inhalte
Ein Hauptaugenmerk verdient die in Art. 3 Nr. 1 KI-VO enthaltene Definition von Künstlicher Intelligenz, die maßgeblich für den sachlichen Anwendungsbereich ist und anhand derer die jeweiligen Anforderungen bei der Entwicklung und dem Einsatz der KI festgelegt werden.
Demnach ist ein KI-System ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren kann, nach dem Einsatz Anpassungsfähigkeit zeigt und explizite oder implizite Ziele aus den Eingaben ableitet, um Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen zu erzeugen, die physische oder virtuelle Umgebungen beeinflussen können.
Diese weitreichende Definition wird durch die Erwägungsgründe der KI-Verordnung genauer spezifiziert und eingeschränkt. So wird z.B. in Erwägungsgrund 12 ausdrücklich klargestellt, dass eine Anwendung nicht als KI im Sinne der Norm angesehen wird, wenn sie auf Grundlage von Menschen aufgestellten Regeln automatisch erfolgt. Vielmehr setzt eine KI ein eigenständiges Schlussfolgern voraus: „Ein wesentliches Merkmal von KI ist ihre Fähigkeit, abzuleiten.“
A) Anwendungsbereich
Aufgrund der digitalen Natur von KI-Systemen und der Möglichkeit der fortwährenden Weiterentwicklung während des Betriebs, ist das Ziehen von eindeutigen Grenzen hinsichtlich der Anwendbarkeit der KI-VO mitunter schwierig.
Zeitlicher Anwendungsbereich
In zeitlicher Hinsicht verfolgt die KI-VO das Ziel, KI während ihres gesamten Lebenszyklus zu regulieren. Dies bedeutet, dass die KI-VO nicht nur Anforderungen an die Entwicklung von KI aufstellt, sondern auch zahlreiche Pflichten nach dem Inverkehrbringen, beispielsweise Überwachungspflichten, vorsieht. Dies ist aus dem Blickwinkel des Produkthaftungsrechts nichts Neues. Die Pflicht, das jeweilige Produkt nach dem Inverkehrbringen zu überwachen, ist seit jeher ein fester Bestandteil des Produkthaftungsrechts.
Persönlicher Anwendungsbereich
Der persönliche Anwendungsbereich umfasst sowohl die Betreiber (Deployer) als auch die Anbieter (Provider). Gemäß Art. 3 Nr. 4 KI-VO ist der Betreiber die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System unter ihrer Aufsicht einsetzt, es sei denn, das KI-System wird im Rahmen einer persönlichen, nicht beruflichen Tätigkeit verwendet.
Gemäß Art. 3 Nr. 3 KI-VO ist der Anbieter die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht.
Örtlicher Anwendungsbereich
Der örtliche Anwendungsbereich erfasst gemäß Art. 2 I a) KI-VO Anbieter, die in der Union ein KI-System oder ein System mit allgemeinem Verwendungszweck in den Verkehr bringen oder es dort in Betrieb nehmen. Außerdem umfasst er Betreiber, die ihren Sitz in der Union haben. Neben dem Niederlassungsprinzip findet auch das Marktortsprinzip Anwendung.
Die KI-VO adressiert also auch Anbieter und Betreiber, die ihren Sitz in einem Drittstaat haben, deren KI-System aber in der Union wirkt. So soll verhindert werden, dass Unternehmen in Drittstaaten die Anforderungen der KI-VO nicht beachten müssen.
(wird in Überblick KI-Verordnung Teil 2 fortgeführt)