Das KI-Gesetz der EU tritt in Kraft – was Unternehmen nun beachten müssen

Die „Verordnung über Künstliche Intelligenz“ – kurz „KI-Gesetz“ – der Europäischen Union wurde am 13. Juni 2024 erlassen. Sie tritt 20 Tage nach der Veröffentlichung im Amtsblatt der EU in Kraft und die Vorschriften gelten – mit einigen wenigen Ausnahmen – nach einer Übergangsfrist von zwei Jahren.

Bedeutsam ist bereits die Definition der „KI-Systeme“, die durch das KI-Gesetz reguliert werden:

„KI-System“ bezeichnet „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.“

Das KI-Gesetz erfasst nicht nur Anbieter sondern auch Betreiber von KI-Systemen in der EU. „Betreiber“ sind u.a. Unternehmen, Behörden und Einrichtungen, die ein KI-System in eigener Verantwortung beruflich verwenden.

Das KI-Gesetz verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines Schadens für die Gesellschaft ist, desto strenger sind die Vorschriften.

– Das KI-Gesetz verbietet bestimmte KI-Praktiken bzw. KI-Systeme generell, etwa Systeme zur kognitiven Verhaltensmanipulation, Sozialkreditsysteme und KI-Systeme, die biometrische Daten nutzen, um auf die Rasse, Religion, politische Einstellung, Gewerkschaftszugehörigkeit oder sexuelle Ausrichtung einer Person zu schließen, da ihr Risiko als unannehmbar gilt.

Nicht verbotene KI-Systeme werden nach Risiken kategorisiert:

– Hochrisiko-KI-Systeme: Darunter fallen bspw. KI-Systeme, die beim Betrieb kritischer Infrastruktur, im Personalmanagement, zur Bonitätsbewertung oder von einem Gericht bei der Rechtsanwendung verwendet werden. Für diese müssen bestimmte Anforderungen eingehalten werden, wie etwa die Einrichtung eines Risikomanagementsystems. Trainings-, Validierungs- und Testdatensätze müssen bestimmten Qualitätskriterien entsprechen. Eine menschliche Aufsicht muss sichergestellt werden. Hochrisiko-KI-Systeme bedürfen einer Konformitätsbewertung und CE-Kennzeichnung und in bestimmten Fällen muss vor ihrer Inbetriebnahme eine Grundrechte-Folgenabschätzung erfolgen.

– KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck: Das KI-Gesetz regelt auch die Verwendung von KI-Systemen und KI-Modellen mit allgemeinem Verwendungszweck („general-purpose AI“ – GPAI), zu denen bekannte Large Language Modelle wie ChatGPT zählen. Anbieter von KI-Modellen mit allgemeinem Verwendungszweck müssen u.a. bestimmte Transparenzanforderungen erfüllen, das EU-Urheberrecht einhalten und eine Zusammenfassung der Trainingsdaten veröffentlichen. Für GPAI-Modelle mit systemischen Risiken gelten strengere Vorschriften.

– KI-Systeme mit begrenztem Risiko: Für diese bestehen je nach Verwendungszweck und Risiko Transparenzpflichten. Dies umfasst insbesondere eine Offenlegung, dass der Inhalt durch KI generiert wurde.

Die Geldbußen für Verstöße gegen das KI-Gesetz können bis zu 35 Millionen EUR oder – im Falle von Unternehmen – bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist.

Der Einsatz von KI-Systemen in Unternehmen hat in den letzten Monaten rapide zugenommen. Da das KI-Gesetz sowohl für Anbieter als auch für Betreiber von KI-Systemen gilt, sollten Unternehmen, die KI anbieten oder einsetzen, prüfen, ob sie sich rechtskonform verhalten und welchen Risiken sie ausgesetzt sind. Dies umfasst insbesondere:

– Kategorisierung des eingesetzten KI-Systems unter dem KI-Gesetz

– Je nach Kategorisierung Ermittlung und Einhaltung der Pflichten unter dem KI-Gesetz wie bspw. Transparenzanforderungen

– Einhaltung des Urheberrechts insbesondere in Bezug auf Trainingsdaten, den Input bzw. Prompt und den Output

– Einhaltung des Datenschutzrechts, wenn in KI-Systeme personenbezogene Daten eingegeben und durch diese verarbeitet werden

– Abschätzung der Haftungsrisiken beim Einsatz von KI-Systemen, etwa im Falle eines fehlerhaften Outputs, der durch das Unternehmen verwendet wird

– Prüfung der Vertragsbedingungen des Anbieters des KI-Systems