Der AI-Act und seine praktischen Auswirkungen
In diesem Beitrag zum "Our Yearly Focus" geben Dr. Katharina Pabel und Paul Kerschbaummayr (beide WU Wien) einen Überblick zum AI-Act der EU. Behandelt werden die Definition von Künstlicher Intelligenz und ihr Regelungsbedarf, der Stand des AI-Acts und dessen wesentliche Regelungsinhalte. Wir wünschen viel Spaß beim Lesen!
I. Künstliche Intelligenz und ihr Regelungsbedarf
Spätestens seit Programme wie ChatGPT1, Copilot2 oder Gemini3 auf dem Markt sind, ist der Begriff der Künstlichen Intelligenz (KI) in aller Munde. Diese Programme können aus einfachen Eingaben verschiedenste Inhalte wie Texte, Bilder, Ton und bald wohl auch Videos4 erstellen. Der Anwendungsbereich von KI geht jedoch weit über diese Fälle hinaus. KI kommt beispielsweise in selbstfahrenden Autos, Systemen zur Gesichtserkennung, den Algorithmen sozialer Medien, bei der Erstellung personalisierter Ergebnisse durch Suchmaschinen oder zur Analyse großer Datenmengen in der Forschung oder auch der medizinischen Diagnostik zum Einsatz.5
Was zeichnet nun KI aus? Intelligenz wird definiert als die Fähigkeit, aus Erfahrung zu lernen und damit Probleme zu lösen.6 Eine KI zeichnet sich daher durch die Fähigkeit aus, sich (zumindest teilweise) selbst weiterzuentwickeln und auf neue Ereignisse reagieren zu können. So lernte etwa ChatGPT durch die Analyse einer riesigen Menge von Texten sich auszudrücken7 und kann dieses Wissen nutzen, um auf eingegebene Fragen neue Antworten zu formulieren. In verschiedenen anderen Einsatzbereichen funktioniert KI ähnlich, indem sie anhand großer Datensätze trainiert wird, um dann für Endnutzer in verschiedensten Szenarien Resultate zu generieren.
KI bringt erhebliche Vorteile mit sich: Durch sie können zahlreiche Arbeitstätigkeiten erleichtert und Arbeitsabläufe automatisiert werden.8 Sie birgt aber auch Risiken. So kann oft nicht nachvollzogen werden, wie eine KI von einer gewissen Eingabe zu einem konkreten Ergebnis kommt. Die Resultate einer KI sind vor allem stark von den für sie verwendeten Trainingsdaten abhängig. Diese geben aber die Realität oftmals nicht vollständig wieder, was zu Fehlern führen kann. Ein Extrembeispiel dafür ist der Chatbot Tay von Microsoft. Dieser sollte anhand von Twitter-Posts trainiert werden, selbst Beiträge zu verfassen. Jedoch musste er nach wenigen Stunden deaktiviert werden, weil er sich über die auf Twitter analysierten Daten radikalisiert und rassistische Propaganda verbreitet hatte.9 Ein weiteres Problem beim Training von KI anhand großer Datensätze ist, dass dabei Urheberrechte und andere Persönlichkeitsrechte, insbesondere das Recht auf Datenschutz, verletzt werden können, denn diese Datensätze enthalten häufig personenbezogene oder urheberrechtlich geschützte Daten. Besonders wenn KI in Systeme „eingebettet“ wird,10 die in der physischen Welt operieren (zB selbstfahrende Autos), stellen sich schließlich Haftungsfragen für mögliche daraus resultierende Schäden.
Die EU-Kommission hat beschlossen, auf diese und weitere Risiken zu reagieren und einen rechtlichen Rahmen für KI zu schaffen. Dafür wurde insbesondere der AI-Act11 und die KI-Haftungs-RL12 vorgeschlagen.13 Der AI-Act soll einen allgemeinen rechtlichen Rahmen für die Nutzung von KI im EU-Binnenmarkt liefern.14 Die KI-Haftungs-RL regelt vor allem Beweisprobleme in Zusammenhang mit deliktischen Schädigungen durch KI.15 Zusammen mit einer Novelle der Produkthaftungs-RL, welche eine Herstellerhaftung für Personen- und Sachschäden durch Softwareprodukte begründet,16 soll eine Haftung für Schädigungen durch KI-Produkte sichergestellt werden. Neben diesen speziellen Regelungen bleiben auch bereits bestehende Normen, wie insbesondere in den Bereichen Daten-, Arbeitnehmer‑, Urheberrechts- und Konsumentenschutz sowie Produktsicherheit, auf KI anwendbar.17 Zur Überwachung von KI wurde innerhalb der Kommission ein Europäisches Amt für KI eingerichtet.18
Der rechtliche Rahmen bestehend aus dem AI-Act, den RL und dem Europäischen Amt für KI, soll einerseits sicherstellen, dass im Bereich KI gewisse Sicherheits- und Grundrechtsstandards eingehalten werden, aber andererseits KI in der EU auch weiter erforscht und entwickelt werden kann.19 Diese teils gegenläufigen Interessen sollen in den zu erlassenden Rechtsakten miteinander in Einklang gebracht werden.
Der folgende Beitrag stellt die Regelungen des AI-Act kurz dar. Grundlage ist der Verordnungsentwurf, über den im Trilog20 bereits eine Einigung erzielt wurde und der am 14. 3. 2024 vom Parlament beschlossen wurde. Der Rat muss dem AI-Act noch zustimmen; der vom Parlament beschlossene Text soll für den Ratsbeschluss als Diskussionsgrundlage dienen.21
Der AI-Act soll als Verordnung verabschiedet werden und entfaltet als solche unmittelbare Rechtswirkung in den Mitgliedstaaten (MS). Eine Umsetzung durch den nationalen Gesetzgeber ist nicht erforderlich. Adressaten des AI-Act sind sowohl Privatpersonen und private Unternehmen als auch staatliche Organe und Einrichtungen. Die Bestimmungen differenzieren nicht zwischen hoheitlicher und nicht-hoheitlicher oder privater und öffentlicher Tätigkeit.
Der persönliche Anwendungsbereich des AI-Act knüpft primär an „Anbieter“ und „Betreiber“ von KI an. Anbieter ist, wer ein KI-System oder Modell entwickelt und in eigenem Namen in Verkehr bringt oder in Betrieb nimmt.22 Betreiber ist, wer ein KI-System in eigener Verantwortung verwendet, sofern die Verwendung nicht im Rahmen einer persönlichen, nicht beruflichen Nutzung erfolgt.23 Anwendbar ist der AI-Act auf alle Anbieter, die ein KI-System oder Modell in der EU in Verkehr bringen oder in Betrieb nehmen, Betreiber von KI-Systemen mit Sitz in der EU und Anbieter und Betreiber von KI-Systemen, deren Ergebnisse in der EU verwendet werden.24 Der persönliche Anwendungsbereich des AI-Act ist damit ein weiter. Aus dem sachlichen Anwendungsbereich ist KI ausgenommen, die für Zwecke der nationalen Sicherheit oder einzig für die wissenschaftliche Forschung und Entwicklung genutzt wird. Auch der Test von KI-Modellen, bevor diese in Verkehr gebracht werden, wird vom AI-Act nicht geregelt. Schließlich unterliegt die persönliche, nicht-berufliche Nutzung von KI nicht dem AI-Act.25
II. Regelungsinhalt des AI-Act
Der AI-Act verfolgt einen risikobasierten Regelungsansatz.26 Die Entwicklung und Nutzung von KI soll nicht umfassend, sondern nur punktuell bezogen auf bestimmte Bereiche geregelt werden, in denen ihre Anwendung besondere Risiken birgt. Daher verbietet der AI-Act zunächst einige KI-Praktiken aufgrund ihrer besonderen Schädlichkeit und ihrem Widerspruch zu den Werten der Union (1).27 KI-Systeme, die in bestimmten Risikobereichen zum Einsatz kommen, unterwirft der AI-Act einer relativ strikten Regulierung (2). Für KI-Modelle mit allgemeinem Verwendungszweck, die in vielen nachgelagerten KI-Systemen eingesetzt werden können, schreibt der AI-Act ein gewisses Maß an Transparenz vor (3)28. Schließlich werden Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme aufgestellt (4). Für KI-Systeme, die unter keinen der genannten Punkte fallen, trifft der AI-Act aber keine Regelungen. Sie unterliegen allenfalls allgemeinen Vorschriften, die nicht spezifisch für KI-Systeme sind, wie etwa dem Datenschutzregime.
1. Verbotene KI-Praktiken
Bestimmte Nutzungen (Praktiken) von KI sind nach dem AI-Act generell verboten.29 Dazu zählen:
1.) Die Nutzung von KI zur unterschwelligen Beeinflussung oder zur absichtlichen Manipulation einer Person mit dem Ziel, deren Entscheidungsverhalten so zu beeinflussen, dass dieser oder anderen Personen ein erheblicher Schaden zugefügt wird;
2.) das Ausnutzen einer Schwäche oder besonderen Schutzbedürftigkeit einer Person, ebenfalls mit dem Ziel der Verhaltensbeeinflussung zum Schaden dieser oder anderer Personen;
3.) die Einführung eines sozialen Bewertungssystems, mit dem das Verhalten von Personen analysiert wird und diese dann entweder in Situationen schlechter gestellt werden, die nicht in Zusammenhang mit dem analysierten Verhalten stehen, oder aufgrund des analysierten Verhaltens allgemein in unverhältnismäßiger Weise benachteiligt werden;
4.) die Erstellung eines Risikoprofils für die Wahrscheinlichkeit des Begehens einer Straftat auf Basis von Profiling;
5.) die Verwendung von KI, um Datenbanken zur Gesichtserkennung anhand von Gesichtsbildern aus dem Internet bzw Aufnahmen von Überwachungskameras zu erstellen bzw zu erweitern;
6.) Emotionserkennung mittels KI am Arbeitsplatz und in Bildungseinrichtungen;
7.) die Verwendung biometrischer Daten30 zur Kategorisierung von Personen anhand sensibler personenbezogener Daten wie etwa Rasse, politischer Einstellung oder religiösen Überzeugungen; und schließlich
8.) die Verwendung von Echtzeit-Fernidentifizierungssystemen zu Strafverfolgungszwecken.
Für viele dieser Bestimmungen sieht der AI-Act für den Bereich der Verfolgung bestimmter Strafdelikte allerdings Ausnahmen vor. So dürfen beispielsweise Echtzeit-Fernidentifizierungssysteme zur Suche nach Entführungsopfern, zur Abwehr eines Terroranschlags oder zum Aufspüren Verdächtigter bestimmter, schwerer Straftaten verwendet werden.31
Bei Verstoß gegen das Verbot zur Nutzung dieser KI-Systeme kann eine Geldbuße von bis zu 35 Millionen Euro bzw bei Unternehmen auch bis zu 7 % des gesamten weltweiten Jahresumsatzes, wenn dieser Betrag höher ist, als Strafe verhängt werden. In Hinblick auf das Bestimmtheitsgebot für Strafdelikte gem Art 49 Abs 1 GRC32 erscheint die Umschreibung der verbotenen KI-Praktiken zumindest teilweise problematisch. So lässt sich beispielsweise bezweifeln, dass das Verbot der „unterschwelligen“ Beeinflussung oder das Tatbestandsmerkmal der „unverhältnismäßigen Benachteiligung“ durch die Verwendung durch die Einführung sozialer Bewertungssysteme hinreichend determiniert sind.
Tipp für Anwender:
Die Nutzung verbotener KI-Praktiken steht unter einer hohen Strafdrohung. Vor der Nutzung eines KI-Systems in einer Weise, die in eine der Kategorien fallen könnte, sollte daher eine ausführliche Rechtsberatung eingeholt werden.
2. Hochrisiko-KI-Systeme
Die Verwendung von KI ist in bestimmten Bereichen besonders riskant. Werden KI-Systeme in solchen Bereichen verwendet, spricht der AI-Act von Hochrisiko-KI-Systemen. Diese kritischen Bereiche umfassen etwa Anwendungen in der kritischen Infrastruktur, Strafverfolgung, Migration, Rechtspflege, Bildung oder im Personalmanagement.33
Der AI-Act stellt zahlreiche Anforderungen an Hochrisiko-KI-Systeme auf. Sie müssen während des gesamten Lebenszyklus über ein Risikomanagementsystem verfügen34 und bestimmte Ereignisse automatisiert protokollieren.35 Die Systeme müssen so transparent sein, dass Betreiber ihre Ergebnisse angemessen interpretieren können.36 Werden die Hochrisikosysteme anhand von Datensets trainiert, müssen die Trainingsdaten gewissen Qualitätsstandards entsprechen. Insbesondere müssen verwendete Datensätze in Bezug auf ihre Zweckbestimmung relevant, repräsentativ und möglichst fehlerfrei und vollständig sein.37 Die Systeme müssen außerdem ein angemessenes Maß an Cybersicherheit vorweisen.38 Hochrisiko-KI-Systeme müssen außerdem so aufgebaut sein, dass sie einer menschlichen Aufsicht zugänglich sind;39 insbesondere soll bei Entscheidungen nicht automatisch auf die Ergebnisse der KI vertraut werden.40 Das erinnert an Art 22 DSGVO, wonach Personen, die von einer automatisierten Entscheidung betroffen sind, das Recht auf eine menschliche Überprüfung haben, wenn die Entscheidung rechtliche Auswirkungen auf sie hat.41 Schließlich ist eine technische Dokumentation über die Funktionsweise des Hochrisiko-KI-Systems zu erstellen, aus der hervorgehen muss, dass das System den eben genannten Anforderungen entspricht.42 Das dient insbesondere der Aufsicht über das KI-System durch die zuständigen Behörden.43
Zusätzlich regelt der AI-Act Pflichten von Anbietern und Betreibern von Hochrisiko-KI-Systemen. Anbieter müssen etwa die Konformität mit den genannten Anforderungen durch ein Qualitätsmanagementsystem sicherstellen.44 Zudem müssen die Anbieter sicherstellen, dass das System einer Konformitätsbewertung45 unterzogen wird und das System in der EU-Datenbank für Hochrisiko-KI-Systeme46 registriert wird.47 Außerdem müssen die Anbieter die wesentlichen technischen Dokumente sowie Protokolle, auf die sie Zugriff haben, für eine gewisse Zeit aufbewahren und mit den Aufsichtsbehörden zusammenarbeiten.48 Anbieter ohne Sitz in der EU müssen einen Bevollmächtigten für diese Pflichten namhaft machen.49
Die Betreiber von Hochrisiko-KI-Systemen müssen insbesondere sicherstellen, dass die in das KI-System eingespeisten Eingaben zweckentsprechend und ausreichend repräsentativ sind. Sie müssen dafür sorgen, dass ausreichend geschulte Personen den Betrieb des Systems überwachen und bei der Nutzung des Systems auftretende Probleme dem Anbieter melden. Besteht Grund zur Annahme, dass die Verwendung des Hochrisiko-KI-Systems eine Gefahr für die Gesundheit, Sicherheit oder die Grundrechte von Personen darstellt, muss die zuständige Marktüberwachungsbehörde informiert werden.50 Die Betreiber müssen außerdem ebenfalls Protokolle aufbewahren und mit den Aufsichtsbehörden kooperieren. Schließlich müssen vor der Inbetriebnahme eines Hochrisiko-KI-Systems am Arbeitsplatz die Arbeitnehmervertreter und die von der Systemnutzung betroffenen Arbeitnehmer über die geplante KI-Nutzung informiert werden.51
Einrichtungen des öffentlichen Rechts, private Unternehmen, die öffentliche Dienstleistungen erbringen, sowie Unternehmen, die KI-Systeme zur Prüfung der Kreditwürdigkeit oder für die Bewertung von Lebens- und Krankenversicherungsrisiken verwenden möchten, müssen außerdem eine Grundrechte-Folgenabschätzung für die Auswirkungen der KI-Nutzung durchführen.52
Tipp für Anwender:
Anhang III des AI-Act bestimmt gewisse Bereiche, in denen die Nutzung von KI-Systemen ein hohes Risiko birgt. Dazu zählen etwa KI-Systeme als Sicherheitskomponenten im Rahmen der kritischen Infrastruktur, zur Entscheidung über die Einstellung oder Beförderung von Personen oder zur Bewertung und Priorisierung von Notrufen. Werden KI-Systeme in einem solchen Hochrisikobereich genutzt, treffen nicht nur die Anbieter, sondern auch die Betreiber der KI bestimmte Pflichten. So muss etwa die Nutzung der KI von geschulten Personen überwacht werden und automatisch erstellte Protokolle zumindest sechs Monate aufbewahrt werden. Eingaben in das Hochrisiko-KI-System müssen stets repräsentativ sein, und Probleme bei der Nutzung dem Anbieter der KI und in schwerwiegenden Fällen auch der zuständigen Marktüberwachungsbehörde gemeldet werden. Eine Missachtung dieser und der weiteren Betreiberpflichten ist mit einer Geldstrafe von bis zu 15 Millionen Euro bzw bei Unternehmen alternativ 3 % des gesamten weltweiten Jahresumsatzes bedroht.
3. KI-Modelle mit allgemeinem Verwendungszweck
Der AI-Act definiert KI-Modelle mit allgemeinem Verwendungszweck als KI-Modelle, die in der Lage sind, ein breites Spektrum unterschiedlicher Aufgaben zu erfüllen.53 Dabei ist das KI-Modell vom KI-System zu unterscheiden. Das KI-Modell ist die Basis eines KI-Systems, das noch weiterer Komponenten wie insbesondere einer Benutzeroberfläche bedarf.54 So basiert etwa ChatGPT als KI-System auf dem großen Sprachmodell GPT 3.5 bzw GPT 4. Auf diesem Modell basiert bspw auch das KI-System Copilot von Microsoft. Erstellt man mit ChatGPT Bilder, so verwendet das System das KI-Modell DALL-E 3. Wenn ein KI-System auf einem KI-Modell mit allgemeinem Verwendungszweck basiert, und in der Lage ist, einer Vielzahl von Zwecken und der Integration in andere KI-Systeme zu dienen, dann spricht man von einem KI-System mit allgemeinem Verwendungszweck.55 Für diese Systeme trifft der AI-Act keinerlei gesonderte Regelungen. Je nach Anwendungsbereich können auf solche Systeme jedoch Regelungen zu Hochrisiko-KI-Systemen zur Anwendung kommen.56
Die Anbieter von KI-Modellen mit allgemeinem Verwendungszweck müssen zu ihren Modellen eine ausführliche (nicht-öffentliche) technische Dokumentation führen. Sie müssen außerdem Personen, die das Modell für ihr KI-System nutzen wollen, über die Fähigkeiten und Grenzen des Modells aufklären.57 Das gilt jedoch nicht für Modelle, die im Rahmen einer freien und offenen Lizenz verfügbar sind (Open Source Modelle). Auch Open Source Modelle müssen aber sicherstellen, dass die KI-generierten Ergebnisse mit dem Urheberrecht vereinbar sind,58 und eine Zusammenfassung der vom Modell verwendeten Trainingsdaten offenlegen.59
Stellen KI-Modelle mit allgemeinem Verwendungszweck ein systemisches Risiko dar, müssen sie darüber hinaus weitere Anforderungen erfüllen. Ein systemisches Risiko ergibt sich aus den besonders hohen Fähigkeiten eines Modells,60 von denen der AI-Act ab einem bestimmten Rechenaufwand für das Training des Modells ausgeht.61 Modelle mit systemischem Risiko müssen von ihren Anbietern mittels standardisierter Protokolle und Instrumente bewertet werden. Anbieter haben weiters Strategien aufzustellen, mit denen das Eintreten eines Systemrisikos verhindert werden kann. Außerdem müssen mögliche systemische Risiken auf Unionsebene identifiziert und gemindert werden. Ganz allgemein muss ein angemessenes Niveau an Cybersicherheit gewährleistet werden. Wenn schließlich ein schwerwiegender Vorfall eintritt, muss dieser unverzüglich dem Europäischen Amt für KI gemeldet werden.62
Tipp für Anwender:
Bei KI-Modellen mit allgemeinem Verwendungszweck haben vor allem deren Anbieter gewisse Transparenz- und Dokumentationspflichten zu beachten. Damit diese Modelle genutzt werden können, müssen sie außerdem zuerst in ein KI-System integriert werden. Betreiber eines KI-Systems sind daher regelmäßig nicht mit den Transparenz- und Dokumentationspflichten für KI-Modelle mit allgemeinem Verwendungszweck konfrontiert, sofern sie nicht gerade selbst an einem eigenen KI-Modell arbeiten.
4. Kennzeichnungs- und Informationspflichten für bestimmte KI-Systeme
Für KI-Systeme, die für bestimmte Zwecke verwendet werden, sieht Art 50 AI-Act Transparenzpflichten vor. Diese richten sich einerseits an den Anbieter eines KI-Systems und andererseits an dessen Betreiber. Der Anbieter eines KI-Systems, das mit natürlichen Personen interagiert, hat sicherzustellen, dass diese Personen darüber informiert sind, dass sie mit einer KI interagieren, es sei denn, dies ist für einen informierten Nutzer offensichtlich. So ist etwa bei den von Fluglinien angewendeten KI-unterstützten Service-Chatfunktionen davon auszugehen, dass der informierte Nutzer weiß, dass die Antworten nicht von einer natürlichen Person, sondern von einem KI-System produziert werden. Wenn ein KI-System verwendet wird, um Ton, Bilder, Videos oder Text zu generieren, muss der Anbieter sicherstellen, dass die KI-generierten Ergebnisse in einem maschinenlesbaren Format als solche gekennzeichnet werden.
Wer ein KI-System zur Emotionserkennung oder biometrischen Kategorisierung betreibt, muss die von der Maßnahme betroffenen Personen darüber informieren. Wenn ein Betreiber mittels KI einen Deepfake63 erstellt, dann muss er die Erstellung des Werks mittels KI offenlegen. Schließlich müssen Betreiber auch KI-erstellte oder manipulierte Texte, die zur Information der Öffentlichkeit über Themen von allgemeinem Interesse dienen, kennzeichnen.
Tipp für Anwender:
Für Betreiber von KI-Systemen ist in diesem Zusammenhang insbesondere die Pflicht zur Kennzeichnung von KI-generierten Inhalten von Bedeutung. Diese kommt zum Tragen, wenn entweder ein „Deepfake“ oder ein Informationstext über Angelegenheiten von öffentlichem Interesse erstellt wird. Die Nichteinhaltung dieser Pflichten ist mit Geldstrafen von bis zu 15 Millionen Euro bzw 3 % des jährlichen Gesamtumsatzes sanktioniert.
III. Maßnahmen zur Förderung von KI
Erklärtes Ziel des AI-Acts ist es, Innovationen im Bereich KI zu fördern und der EU eine Führungsrolle bei der Entwicklung von vertrauenswürdiger KI verschaffen.64 Der AI-Act beinhaltet daher auch einige Maßnahmen zur Förderung von KI. Dabei handelt es sich vor allem um die Einrichtung von KI-Reallaboren und gewisse Erleichterungen für kleine und mittlere Unternehmen (KMUs), zu denen auch Start-Ups zählen.
Bei den für die Aufsicht über KI-Systeme in den MS zuständigen Behörden sind KI-Reallabore einzurichten.65 Diese sollen es Entwicklern von KI-Systemen ermöglichen, innovative Systeme unter regulatorischer Aufsicht zu programmieren und zu testen.66 Ähnlich wurde auf europäischer Ebene etwa bereits die European Blockchain Regulatory Sandbox eingerichtet, die im Bereich Blockchain die Entwicklung verschiedener Projekte in Zusammenarbeit mit den dafür zuständigen Überwachungsbehörden fördern soll.67
Damit ein KI-System in ein Reallabor aufgenommen werden kann, muss es gewisse Kriterien erfüllen, die von der Kommission mittels Durchführungsrechtsakt aufgestellt werden.68 Wenn ein KI-System für ein Reallabor zugelassen wurde, kann dieses mit Unterstützung der Behörde entwickelt und getestet werden. Sobald ein System einen gewissen Entwicklungsstand erreicht hat, kann es auch unter Realbedingungen getestet werden. Handelt es sich um ein Hochrisiko-KI-System, kann ein solcher Test aber nur unter bestimmten Voraussetzungen durchgeführt werden, zu denen insbesondere die Erstellung eines Plans für einen Test unter realen Bedingungen zählt.69
Durch die Entwicklung von KI im Rahmen eines Reallabors soll einerseits sichergestellt werden, dass neu entwickelte Systeme von Anfang an den Anforderungen des AI-Acts und anderer relevanter Normen entsprechen, und damit auch Rechtssicherheit für Entwickler schaffen. Dafür sollen die Behörden unter anderem auf mögliche Risiken eines neuen KI-Systems hinweisen und hinsichtlich der zu berücksichtigenden Vorschriften informieren und beraten.70 Andererseits sollen auch die Behörden über neue Entwicklungen im Bereich KI informiert werden, um gegebenenfalls den rechtlichen Rahmen an neue Entwicklungen anpassen zu können.71 Die Reallabore sollen vor allem KMUs zugutekommen, die einen vorrangigen Zugang zu ihnen haben72 und für die Nutzung keine Gebühr zahlen sollen.73
Als weitere Erleichterungen für KMUs sieht der AI-Act vor, dass die MS Sensibilisierungs- und Schulungsmaßnahmen für die Anwendung des AI-Act setzen sollen. Außerdem sollen Kommunikationskanäle zu KMUs auf- und ausgebaut werden und die besonderen Bedürfnisse von KMUs etwa bei der Berechnung von Gebühren für die Konformitätsprüfung74 von KI-Systemen mit dem AI-Act berücksichtigt werden.75 Schließlich kann die Kommission für Kleinstunternehmen,76 die Hochrisiko-KI-Systeme anbieten, Leitlinien vorgeben, nach denen diese verringerte Anforderungen an ein Qualitätsmanagementsystem77 zu erfüllen haben.78
Tipp für Anwender:
Für Entwickler von KI-Systemen bieten die KI-Reallabore eine Chance, Systeme unter regulatorischer Aufsicht zu entwickeln. Das hat den Vorteil, dass die Konformität des KI-Systems mit dem AI-Act und anderen regulatorischen Vorgaben von Tag eins an sichergestellt ist. Es ist allerdings noch offen, wo und wie viele solcher Labore in Österreich eingerichtet werden.
Kurzzusammenfassung:
In den letzten Jahren hat KI massiv an Bedeutung gewonnen. Große Sprachmodelle wie ChatGPT, Copilot oder Gemini haben das Thema auch in der öffentlichen Wahrnehmung in den Fokus gerückt. Die EU hat mit dem AI-Act nun ein erstes umfassendes Regelwerk zur Nutzung von KI erstellt. Das Ziel der EU ist es, rechtliche Standards für KI-Systeme festzulegen, ohne dabei übermäßig in ihre Entwicklung zu intervenieren. Aus diesem Grund verfolgt der AI-Act bei der Regulierung von KI einen risikobasierten Ansatz: Grundsätzlich sollen KI-Systeme nur dann dem Regelungsrahmen unterfallen, wenn sie in bestimmten Risikobereichen eingesetzt werden. Außerdem werden bestimmte KI-Nutzungen generell verboten. Schließlich gibt der AI-Act auch für KI-Modelle mit allgemeinem Verwendungszweck Regelungen vor.
Allgemein zielen diese Regulierungen darauf ab, Transparenz in KI-Systemen herzustellen, wo dies für notwendig erachtet wird, und zu gewährleisten, dass durch KI keine Grundrechte oder andere wichtige Interessen der EU gefährdet werden.
Der AI-Act hat aber auch zum Ziel, die EU zur Vorreiterin bei der Entwicklung vertrauenswürdiger KI zu machen. Dazu besteht insbesondere die Möglichkeit, neue KI-Systeme in Kooperation mit Aufsichtsbehörden im Rahmen sogenannter KI-Reallabore zu testen. Besonders für KMUs ordnet der AI-Act außerdem an, dass Behörden die Entwicklung von KI-Systemen mit bestimmten Maßnahmen fördern sollen.
Autoren
- Dr. Katharina Pabel ist Universitätsprofessorin für Öffentliches Recht und Internationales Recht am Institut für Europarecht und Internationales Recht an der Wirtschaftsuniversität Wien
- Paul Kerschbaummayr ist Universitätsassistent an ihrem Lehrstuhl
Kontakt
-
Univ. Prof. Dr. Katharina Pabel: katharina.pabel@wu.ac.at
- Univ. Ass. Paul Kerschbaummayr, LL.M. BSc: paul.felix.kerschbaummayr@wu.ac.at
1 ChatGPT, https://openai.com/chatgpt.
2 Copilot, https://copilot.microsoft.com/.
3 Gemini, https://gemini.google.com/.
4 Bei OpenAI wird hierzu etwa das Modell Sora genutzt, vgl dazu Sora, https://openai.com/sora; dazu Hurtz, Das nächste große Ding nach ChatGPT, Süddeutsche Zeitung, https://www.sueddeutsche.de/wirtschaft/sora-openai-ki-videos-fake-chatgpt-1.6366183.
5 Vgl Europäisches Parlament, Was ist künstliche Intelligenz und wie wird sie genutzt? https://www.europarl.europa.eu/topics/de/article/20200827STO85804/was-ist-kunstliche-intelligenz-und-wie-wird-sie-genutzt.
6 Myers/DeWall, Psychologie4 (2023) 431.
7 Vgl Lund/Wang, Chatting about ChatGPT: how may AI and GPT impact academia and libraries? Library hi tech news 2023/3 26 (27).
8 Bücker, Wo Künstliche Intelligenz schon Alltag ist, tagesschau.de, https://www.tagesschau.de/wirtschaft/digitales/kuenstliche-intelligenz-arbeitsalltag-unternehmen-100.html.
9 Vgl Graff, Rassistischer Chat-Roboter: Mit falschen Werten bombardiert, Süddeutsche Zeitung, https://www.sueddeutsche.de/digital/microsoft-programm-tay-rassistischer-chat-roboter-mit-falschen-werten-bombardiert-1.2928421.
10 Zur eingebetteten KI: Europäisches Parlament, Was ist künstliche Intelligenz und wie wird sie genutzt? https://www.europarl.europa.eu/topics/de/article/20200827STO85804/was-ist-kunstliche-intelligenz-und-wie-wird-sie-genutzt.
11 COM(2021) 206 final; in der vom Parlament beschlossenen Fassung P9 TA(2024)0138.
12 COM(2022) 496 final.
13 Europäische Kommission, Liability Rules for Artificial Intelligence, https://commission.europa.eu/business-economy-euro/doing-business-eu/contract-rules/digital-contracts/liability-rules-artificial-intelligence_en.
14 ErwGr 1 AI-Act.
15 Art 1 Abs 1 KI-RL.
16 Art 4 Abs 1 iVm Art 5 Abs 1 COM(2022) 495 final.
17 Siehe etwa Art 2 Abs 9; ErwGr 9 f AI-Act.
18 C(2024) 390 final.
19 Art 1 Abs 1 AI-Act; ErwGr 5 KI-RL; vgl auch Europäische Kommission, European approach to artificial intelligence, https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence.
20 Beim Trilog handelt es sich um eine informelle Koordination von Vertretern der Kommission, des Rats und des Parlaments. Ziel ist es, vor der ersten Lesung im Parlament einen mehrheitsfähigen Vorschlag zu entwickeln, vgl Kluth in Calliess/Ruffert (Hrsg), EUV/AEUV6 (2022) Art 294 AEUV Rz 29; Streinz, Europarecht12 (2023) Rz 565.
21 COM(2021)0206 – C9-0146(2021) – 2021/0106(COD).
22 Art 3 Z 3 AI-Act.
23 Art 3 Z 4 AI-Act.
24 Zusätzlich auf Einführer, Händler, sowie Produkthersteller, die KI-Systeme in Verkehr bringen und außerdem Bevollmächtigte von nicht in der EU niedergelassenen Anbietern und betroffene Personen in der EU, vgl Art 2 Abs 1AI-Act.
25 Art 2 AI-Act.
26 ErwGr 26 AI-Act.
27 ErwGr 28 AI-Act.
28 ErwGr 101 AI-Act.
29 Art 5 AI-Act.
30 Daten und Informationen über die körperlichen Merkmale einer Person.
31 Art 5 Abs 1 lit h iVm Abs 2 AI-Act.
32 Dazu näher bei Blanke in Calliess/Ruffert, EUV/AEUV6 Art 49 GRC Rz 3 f.
33 Vgl für eine vollständige Auflistung inklusive Ausnahmen zu den hier genannten Bereichen Anhang III AI-Act; die Kommission kann mit delegiertem Rechtsakt weitere Hochrisikobereichen definieren, vgl Art 7 AI-Act.
34 Art 9 AI-Act.
35 Art 12 AI-Act.
36 Art 13 AI-Act.
37 Art 10 Abs 3 AI-Act.
38 Art 15 AI-Act.
39 Art 14 AI-Act.
40 Art 14 Abs 4 lit b AI-Act.
41 Vgl dazu Jahnel, DSGVO (2020) Art 22 Rz 1.
42 Art 11 AI-Act.
43 Wie beispielsweise das bei der Kommission eingerichtete Europäische Amt für Künstliche Intelligenz; die MS haben gemäß Art 28 AI-Act KI-Überwachungsbehörden einzurichten.
44 Dieses muss den Anforderungen des Art 17 AI-Act genügen.
45 Gem Art 43 AI-Act wird diese entweder vom Anbieter selbst oder von der zuständigen Behörde durchgeführt; eine Selbstbewertung ist insb dann möglich, wenn für die KI harmonisierte Normen iSd Art 40 AI-Act bestehen.
46 Diese wird gem Art 71 AI-Act von der Kommission errichtet.
47 Art 16 lit i iVm Art 49 AI-Act.
48 Art 18 ff AI-Act.
49 Art 22 AI-Act.
50 Gemäß Art 3 Z 48 AI-Act die gem Verordnung (EU) 2019/1020 für die Überwachung der Märkte und der Konformität von Produkten mit Unionsrecht zuständige, bei den MS eingerichtete Marktüberwachungsbehörde.
51 Art 26 AI-Act.
52 Art 27 AI-Act.
53 Art 3 Z 63 AI-Act.
54 Der Begriff KI-Modell ist im AI-Act interessanterweise aber nicht definiert, die genannte Abgrenzung lässt sich allerdings aus ErwGr 100 herleiten; so auch Bomhard/Siglmüller, AI-Act – das Trilogergebnis, RDi 2024, 45 (50).
55 Art 3 Z 66 AI-Act; ein Beispiel dafür wäre ChatGPT, ein KI-System, dass sowohl selbst einer Vielzahl von Zwecken dienen kann als auch in anderen KI-Systemen zum Einsatz kommt, so etwa der „AMS Berufsinfomat“, vgl AMS, AMS Berufsinfomat, https://www.ams.at/arbeitsuchende/aus-und-weiterbildung/berufsinformationen/berufsinformation/berufsinfomat.
56 So auch Bomhard/Siglmüller, RDi 2024, 52.
57 Diese Aufklärung muss zumindest die Angaben in Anhang VII beinhalten.
58 Insbesondere mit Art 4 Abs 3 RL 2019/790 (DSM-RL); dieser ermöglicht es, einen Vorbehalt gegenüber der Nutzung eines Texts im Wege von Data-Mining einzulegen; vgl näher Dreier in Dreier/Schulze (Hrsg), dUrhG7 (2022) § 44b Rz 1 ff.
59 Art 53 Abs 1 f AI-Act.
60 ErwGr 111 AI-Act.
61 Ab einem kumulativen Rechenaufwand, der gemessen in Gleitkommaoperatoren/Sekunde größer als 1025 ist.
62 Art 55 Abs 1 AI-Act.
63 ISd Art 3 Z 60 AI-Act: ein manipulierter Bild-, Ton-, oder Videoinhalt, der reale Personen, Gegenstände, Orte oder Ereignisse so zeigt, dass diese fälschlicherweise als echt erscheinen können.
64 ErwGr 2 AI-Act.
65 Art 57 Abs 1 AI-Act.
66 Art 3 Z 55 AI-Act.
67 Europäische Kommission, Launch of the European Blockchain Regulatory Sandbox, https://digital-strategy.ec.europa.eu/de/node/11533.
68 Der Durchführungsrechtsakt wurde noch nicht erlassen. Art 58 Abs 1 AI-Act; Abs 2 leg cit gibt für die Konkretisierung der Kriterien gewisse Anforderungen vor, etwa, dass diese fair und transparent sein müssen und einen möglichst weiten Zugang zu den Reallaboren erlauben sollen.
69 Art 60 Abs 1 und Abs 4 AI-Act.
70 Art 53 Abs 6 und 7 AI-Act.
71 Art 53 Abs 9 lit c AI-Act.
72 Art 62 Abs 1 lit a AI-Act.
73 Art 58 Abs 2 lit d AI-Act.
74 Bei bestimmten Hochrisiko-KI-Systemen ist eine Prüfung hinsichtlich der Einhaltung der Vorgaben im AI-Act durchzuführen, vgl Art 43 AI-Act.
75 Art 62 AI-Act.
76 Im Sinne des Art 2 Abs 3 Anhang zur Empfehlung der Kommission betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (2006/361/EC).
77 ISd Art 17 AI-Act.
78 Art 63 AI-Act.