Europäische KI-Verordnung vor Abschluss

Brüssel, 14.03.2024 – Die europäischen Gesetzgeber standen mit der Verordnung vor dem Drahtseilakt, den Gefahren von Künstlicher Intelligenz zu begegnen und zugleich die Technologieoffenheit und Wettbewerbsfähigkeit des Binnenmarktes zu gewährleisten. Hierfür haben sich Rat und Europäisches Parlament bereits früh für einen sogenannten „risikobasierten Ansatz“ entschieden: Der regulatorische Spielraum hängt hierbei vom Grad des Risikos ab, welcher der Verwendung eines KI-Systems zugrunde liegt. Die Unterscheidung erfolgt in vier Risikoklassen:

• Inakzeptables Risiko („unacceptable risk“)
• Hohes Risiko („high-risk“)
• Begrenztes Risiko („limited risk“)
• Minimales Risiko („minimal risk“)

Während KI-Systeme mit einem inakzeptablen Risiko (etwa biometrische Kategorisierungssysteme oder Gesichtserkennungssoftwares, die Emotionen am Arbeitsplatz ableiten) durch die Verordnung grundsätzlich verboten werden, bleiben Systeme im Bereich eines minimalen Risikos von den Pflichten unberührt. Der größte Teil des Gesetzestextes widmet sich Künstlicher Intelligenz, die mit einem hohen Risiko verbunden ist. Hierzu gehören beispielsweise Systeme im Bereich der Personaleinstellung oder KI-Softwares, die automatisiert Risikoanalysen und Preisgestaltungen für Versicherungen automatisieren oder Liquiditätsprüfungen im Finanzsektor durchführen.

Hersteller in der Pflicht

Wer die Befürchtung hat, durch die neue EU-Regulierung werde eine Nutzung von Künstlicher Intelligenz durch eine Fülle von Vorschriften erschwert, kann an dieser Stelle vorerst entwarnt werden: Das Gros der Pflichten trifft nicht Anwendende (also mittelständische Verbundgruppen und deren Anschlusshäuser), sondern Hersteller von KI-Programmen. Im Hochrisiko-Bereich müssen diese eine Reihe von Anforderungen – etwa die Einrichtung von Risikomanagementsystemen und Qualitätsmanagementsystemen – erfüllen, bevor das jeweilige Programm mittels CE-Zertifizierung für den europäischen Markt zugelassen wird. Im Bereich des begrenzten Risikos sind zumindest Transparenzpflichten einzuhalten, die sich vor allem auf die dem Programm zugrundeliegende Datenbasis beziehen.

Bei den Pflichten, die auf Anwendende (also Nutzende) von KI-Systemen zukommen, ist ebenfalls der Risikograd entscheidend. Beispielsweise müssen Unternehmen, die die Dienste einer „High-risk“-KI in Anspruch nehmen, geschultes Personal zur Überwachung des Programms abstellen. Auch ist es für den Zweck der KI häufig unerlässlich, selbst Datenbanken anzulegen und zu pflegen. Hier muss der Nachweis erbracht werden können, dass die verwendeten Daten repräsentativ und ausschließlich den Zwecken des KI-Programms dienen. Nicht zuletzt ist die Anwendung einer Hochrisiko-KI mit gewissen Dokumentationspflichten verbunden, weshalb etwa automatisch erzeugte Protokolle mindestens sechs Monate aufbewahrt werden müssen. Unabhängig vom Grad des Risikos müssen im Rahmen der Transparenzpflichten Endnutzende im Web oder aber betroffenes Personal im Unternehmen darauf hingewiesen werden, dass sie mit Künstlicher Intelligenz interagieren.

General Purpose AI

Die weitreichendsten Ergänzungen im Gesetzestext betreffen sogenannte General Purpose AI-Systeme (kurz GPAI). Diese zielen nicht auf einen spezifischen Verwendungszweck ab, sondern sind vielseitig einsetzbar und bilden das Fundament für die Entwicklung neuer KI-Software (auch generative KI-Modelle wie ChatGPT zählen hierzu). Diese „Basismodelle“ wurden nach den Trilog-Verhandlungen nun grundsätzlich in die Kategorie „begrenztes Risiko“ herabgestuft. Diese Änderung ist insbesondere von Bedeutung für Unternehmen, welche mit dem Gedanken spielen, selbst eine Künstliche Intelligenz anzubieten. Wer beispielsweise einen Chatbot in die hauseigene Webpage integrieren will, benötigt hierfür in den allermeisten Fällen ein geeignetes GPAI-Modell als Grundlage. Durch die Einstufung der GPAI in den Korb des „begrenzten Risikos“ wird der behördliche Aufwand für die Bereitstellung des Chatbots entsprechend den Herstellerpflichten (siehe oben) auf ein Minimum reduziert. Eine Ausnahme dieser Abstufung stellen allerdings GPAI mit „systemischem Risiko“ dar – dieses ist nach dem neuesten Gesetzestext gegeben, wenn die Rechenleistung der KI einen gewissen Schwellenwert übersteigt (der bislang jedoch lediglich von den fortschrittlichsten Modellen GPT-4 von Open AI und Gemini von Google erreicht wird).

Auch wurde im Zusammenhang mit GPAI die viel diskutierte Frage geklärt, ob und welche Informationen die Modelle für ihre Lernprozesse einbinden dürfen (Stichwort „data mining“). Trotz Einspruch großer KI-Hersteller gilt im Binnenmarkt das Urheberrecht. Für das Anlernen von GPAI-Modellen sind somit ohne ausdrückliche Zustimmung nur Daten zulässig, die nicht mit einem entsprechenden Vorbehalt des Rechteinhabers versehen wurden. Unternehmen, die solche Basismodelle entwickeln, werden somit zukünftig nicht um die Einrichtung eines Einwilligungsmanagements umhinkommen.

Trotz Verbesserungen weiterhin Unklarheiten

Gerade die Neuregelung im Umgang mit GPAI-Modellen lässt die Hoffnung zu, dass die Chancen, welche Künstliche Intelligenz für den Mittelstand birgt, nicht durch ein Dickicht an bürokratischen Hindernissen erstickt wird. Hierfür hatte sich DER MITTELSTANDSVERBUND bereits frühzeitig im politischen Entscheidungsfindungsprozess eingesetzt.

Begrüßenswert ist auch, dass durch die transparente Auflistung von KI mit hohem Verwendungsrisiko im Annex III des neuen Entwurfs nun Klarheit besteht, in welchen Bereichen die Verwendung von Künstlicher Intelligenz mit hohen Hürden versehen ist. Es sei jedoch darauf hingewiesen, dass sich die Kommission das Recht vorbehält, diese Liste jederzeit durch delegierte Rechtsakte zu erweitern oder zu kürzen. Hierdurch wird zwar dem Umstand Rechnung getragen, dass eine Risikoeinschätzung in der Verwendung von Künstlicher Intelligenz ohne praktische Vorerfahrung in den meisten Fällen unmöglich ist. Allerdings geht dies zulasten der Rechtssicherheit im Umgang mit KI –  DER MITTELSTANDSVERBUND jedenfalls informiert Sie frühzeitig im Falle von Veränderungen. Unklar ist auch, wann eine Veränderung von Künstlicher Intelligenz (durch etwa die Einspeisung eigener Daten) zu einer „grundsätzlichen Veränderung“ eines Systems führt. Hiervon hängt ab, ob ein Anwender einer KI selbst zu einem Hersteller wird – und damit, von welchen Pflichten er oder sie betroffen ist.

Diese beiden Beispiele zeigen, dass – trotz der richtigen Richtung, die der neue Gesetzestext durch seine bürokratiemindernden Veränderungen eingeschlagen hat – der Teufel letztlich im Detail liegt. Ob und inwieweit die neue EU-Regulierung zu Künstlicher Intelligenz praxistauglich ist, wird sich somit in den kommenden Monaten und Jahren zeigen.