Die politische Einigung auf den AI Act zählt zweifellos zu den größten Meilensteinen der EU-Gesetzgebung. Wie die zähen Verhandlungen verdeutlicht haben, ist die Regulierung dynamischer Technologien kein leichtes Unterfangen. Die EU-Kommission hat aber mit dem vorgeschlagenen menschenzentrierten Ansatz den Nagel auf den Kopf getroffen. Wermutstropfen ist, dass die Regeln nicht international abgestimmt sind, sondern nur für die EU gelten.

Die Verordnung folgt einem risikobasierten Ansatz. KI wird darin abhängig vom Gefährdungspotenzial und den negativen Auswirkungen auf Grundrechte, Grundfreiheiten sowie demokratischen Werte in vier Risikoklassen unterteilt: KI-Systeme mit
(1) inakzeptablem,
(2) hohem,
(3) begrenztem und
(4) minimalem/keinem Risiko.

Je nach Klassifizierung ist die Nutzung von KI-Modellen verboten, nur unter Einhaltung strenger Sicherheits- und/oder Transparenzanforderungen oder ohne weitere Prüfung erlaubt. Das Herzstück des AI Act ist der umfassende Pflichtenkatalog für Hochrisikosysteme. Dieser bringt den größten Umsetzungsbedarf für die Praxis mit sich. Die Details werden erst nach Veröffentlichung des finalen Verordnungstextes bekannt sein.

Neuerungen

Dazu zählen unter anderem Dokumentations-, Governance- und Risikomanagementpflichten sowie die Sicherstellung einer menschlichen Kontrollinstanz. Hinzu kommen einige auf den letzten Metern beschlossene Neuerungen.

So wird etwa die Durchführung einer Grundrechtsfolgenabschätzung zwingend sein. Diese Pflicht ähnelt der Folgenabschätzung im Datenschutz und soll negative Auswirkungen auf Grundrechte durch den Einsatz von KI besser ermitteln, beurteilen und verhindern. Von KI-Systemen Betroffenen wird zudem ein gesetzliches Beschwerde- und Auskunftsrecht bei KI-basierten Entscheidungen eingeräumt. Letzteres scheint die datenschutzrechtlichen Auskunftspflichten bei automatisierter Entscheidungsfindung nach der Datenschutzgrundverordnung (DSGVO) zu ergänzen.

Änderung wegen ChatGPT

Durch den kometenhaften Erfolg von General-Purpose-AI (GPAI), insbesondere ChatGPT oder Bard, wurde dafür eine gesonderte Regulierung notwendig. Der Gesetzgeber war sich in den Verhandlungen aber über den notwendigen Regulierungsgrad lange uneinig. Schließlich wollte man den bekannten Risken wie Offenlegung von Geschäftsgeheimnissen oder personenbezogener Daten begegnen, das Korsett nicht zu eng schnüren, um Innovationen nicht zu erschweren.

Das Ergebnis ist nun ein Two-Tier-Approach: Für die erste Stufe sind vor allem Transparenzerfordernisse vorgesehen. GPAI-Modelle mit einem hohen systematischen Risiko müssen dagegen strengere Auflagen erfüllen. Dazu zählen beispielsweise Evaluierungen, die verpflichtende Minderung systemischer Risiken, Tests, höhere Anforderungen an Cybersecurity sowie Berichtspflichten bei schwerwiegenden Vorfällen und zur Energieeffizienz.

Verordnung gilt frühestens ab 2026

Als Kriterium wird dabei primär auf die Rechenleistung (FLOPS) abgestellt. Die User-Anzahl kann aber ebenfalls eine Rolle spielen. Um eine nachhaltige Regelung zu garantieren, sollen die Kriterien für die Einordnung von GPAI-Modellen an die Technologiesprünge angepasst werden können. Positiv hervorzuheben sind Ausnahmen für Open-Source-Initiativen. Das soll Innovationen fördern und einer Marktkonzentration entgegenwirken.

Die KI-Verordnung wird zwei Jahre nach ihrer offiziellen Verabschiedung und damit frühestens Anfang 2026 vollständig in Kraft treten. Teile werden aber schon nach sechs Monaten anwendbar sein, beginnend mit den Verboten und den einfachen Transparenzpflichten.

Eine frühe Auseinandersetzung mit den neuen Pflichten und eine zeitgerechte Umsetzung einer KI-Governance in Unternehmen macht angesichts der hohen Bußgelder jedenfalls Sinn.

Hohe Strafzahlungen

Bei Verstößen gegen den Verbotskatalog sind etwa Strafen bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr vorgesehen. Bei Verletzungen von sonstigen Regelungen belaufen sich die Geldbußen auf bis zu 15 Millionen Euro oder 3 Prozent bzw. bei Erteilung falscher Informationen 7,5 Millionen Euro bzw 1,5 Prozent des weltweiten Jahresumsatzes.

Die Konsequenzen werden um das neue KI-Haftungsregime ergänzt. Besonders relevant ist die geplante Neuerung der Produkthaftungsnovelle. Auch hier wurde in den letzten Tagen eine vorläufige Einigung erzielt. Zu den wesentlichen Neuerungen zählen die Erweiterung der Produktdefinition auf reine Software, der Ersatz immaterieller Schäden sowie von Datenschäden und die Verlängerung der Haftung auf 25 Jahre in besonderen Fällen.