Die KI-Verordnung: Eckpunkte und Anwendungsbereich

Die EU plant mit der „Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz“ (KI-VO) die Nutzung von KI grundlegend zu regeln. Dieses Gesetzesvorhaben hat weitreichende Folgen für Unternehmen, besonders hinsichtlich ihrer Compliance- und Zertifizierungsprozesse. In dieser Folge meiner Artikelserie zum Thema KI stelle ich die Eckpunkte und den Anwendungsbereich der KI-Verordnung vor.

Der erste Entwurf der KI-Verordnung vom 21. April 2021 hat zu hitzigen Diskussionen geführt. Die Beteiligung vieler Interessengruppen verzögerte die Konsultation erheblich. Nach langen Verhandlungen einigten sich die EU-Institutionen am 8. Dezember 2023 politisch. Am 13. März 2024 verabschiedete das EU-Parlament die Verordnung, am 21. Mai 2024 erteilte der EU-Rat seine Zustimmung.

Das Gesetz wird 24 Monate nach seinem Inkrafttreten in vollem Umfang anwendbar sein, einige Teile jedoch schon früher. Unternehmen können als Anbieter oder Betreiber von der KI-VO betroffen sein. Sie haben bis zu 36 Monate Zeit, alle Anforderungen umzusetzen, müssen aber Verhaltenskodizes nach neun Monaten berücksichtigen und den Transparenzanforderungen nach 12 Monaten genügen. Ziel ist es, Grundrechte zu schützen, somit das Vertrauen in KI zu stärken und hierfür klare Vorgaben für die Einhaltung der Regelungen zu schaffen. Gleichzeitig sollen Innovationen auf dem Gebiet der KI-Entwicklung gefördert werden. Das bringt neue Herausforderungen beim Compliance-Management und den Zertifizierungsverfahren mit sich.

 

KI-Definition

Ein zentrales Merkmal der KI-Verordnung ist die in Artikel 3 Nr. 1 KI-VO enthaltene Definition von Künstlicher Intelligenz. Diese Definition ist maßgeblich für den Anwendungsbereich der Verordnung und stellt die Weichen für die konkreten Anforderungen bei der Entwicklung und beim Einsatz von KI-Systemen. Die Definition lehnt sich an die der OECD an und beschreibt KI-Systeme als maschinengestützte Systeme, die autonom operieren, anpassungsfähig sind und aus Eingaben ableiten, wie Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.

Kritiker bemängeln, dass auch diese im Rahmen des Gesetzgebungsverfahrens mehrfach geänderte Definition zu weit gefasst sei und herkömmliche Software umfassen könnte. Erwägungsgrund 12 stellt klar, dass keine Software vom KI-Begriff umfasst ist, die lediglich auf Grundlage von Menschen aufgestellten Regeln automatisch Aufgaben ausführt. Entscheidendes Merkmal für die Klassifizierung als KI ist die Fähigkeit zum eigenständigen Schlussfolgern.

Diese Fähigkeit deckt maschinelles Lernen ab, schließt jedoch einfache Softwaremodelle aus. Die Spannbreite der Autonomie, die von KI-Systemen gefordert wird, sorgt für Unsicherheit, ob und in welchem Maße komplexe Softwaremodelle in den Anwendungsbereich der Verordnung fallen.

Anwendungsbereich

Die KI-Verordnung hat einen Anwendungsbereich, der zeitlich, persönlich und räumlich breit gefasst ist. Aufgrund der digitalen Natur von KI-Systemen und ihrer fortwährenden Weiterentwicklung während des Betriebs ist es oft schwierig, eindeutige Grenzen hinsichtlich der Anwendbarkeit der KI-VO zu ziehen.

  • Zeitlicher Anwendungsbereich: Die Verordnung zielt darauf ab, KI-Systeme während ihres gesamten Lebenszyklus zu regulieren. Das bedeutet, dass die KI-VO nicht nur Anforderungen an die Entwicklung von KI-Systemen stellt, sondern auch zahlreiche Pflichten nach dem Inverkehrbringen vorsieht, einschließlich Überwachungspflichten. Diese Anforderungen sind im Produktsicherheits- und Produkthaftungsrecht nicht neu, jedoch können sie aufgrund der kontinuierlichen Weiterentwicklung und der verschiedenen Einsatzmöglichkeiten von KI-Systemen höher ausfallen.

  • Persönlicher Anwendungsbereich: Die Verordnung erfasst sowohl Anbieter (Provider) als auch Betreiber (Deployer) von KI-Systemen. Anbieter gemäß Artikel 3 Nr. 3 KI-VO sind natürliche oder juristische Personen, Behörden oder sonstige Stellen, die ein KI-System entwickeln oder entwickeln lassen und es unter ihrem eigenen Namen in Verkehr bringen oder in Betrieb nehmen. Dies umfasst auch Akteure, die eine KI anfertigen lassen und unter ihrem eigenen Namen vermarkten. Anbieter sind die Hauptadressaten der Verordnung, und insbesondere große Unternehmen, die Fremdentwicklungen betreiben, können als Anbieter gelten. Betreiber hingegen sind diejenigen, die ein KI-System in eigener Verantwortung verwenden, es sei denn, es wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit genutzt. Private, nicht berufsmäßige Anwendungen von KI-Systemen, wie die Nutzung von ChatGPT zu Hause, sind somit ausgenommen.

  • Räumlicher Anwendungsbereich: Die Verordnung umfasst Anbieter, die in der EU ein KI-System oder ein Modell mit allgemeinem Verwendungszweck in den Verkehr bringen oder in Betrieb nehmen, sowie Betreiber, die ihren Sitz in der EU haben. Neben dem Niederlassungsprinzip gilt auch das Marktortprinzip, wodurch die Verordnung auch Anbieter und Betreiber außerhalb der EU adressiert, deren KI-Systeme jedoch in der EU genutzt werden. Dies soll verhindern, dass Unternehmen in Drittstaaten die Anforderungen der KI-VO umgehen können.

Dies macht deutlich, dass die KI-Verordnung einen weitreichenden Anwendungsbereich hat, der darauf abzielt, den sicheren und verantwortungsvollen Einsatz von KI-Systemen in der EU zu gewährleisten. Unternehmen sind als Anbieter und Betreiber, aber auch als Nutzer von KI-Systemen von der Verordnung betroffen und sollten sich frühzeitig mit den regulatorischen Anforderungen beschäftigen.

Bisher zum Thema KI erschienen:

Dr. Daniel Kögel,
Fachanwalt für Urheber- und Medienrecht
koegel@web-partner.de