Aktuelles zur KI-VO: Logbuch zur geplanten Verordnung
Für die hinreichende Vorbereitung auf die kommende KI-VO empfiehlt es sich, aktuelles rund um die Verordnung im Blick zu behalten. Dafür werden an dieser Stelle stets die wichtigsten Entwicklungen im Gesetzgebungsprozess dargestellt. Der jeweils neueste Beitrag ist dabei an oberster Stelle zu finden.
Die Arbeiten an der kommenden KI-Verordnung (KI-VO) der EU sind in vollem Gange. Nach seinem In-Kraft-Treten wird das Gesetz die Entwicklung und Verwendung von KI in der gesamten EU regeln. Da es sich um eine Verordnung handelt, werden die Regelungen unmittelbar in den Mitgliedsstaaten wirksam sein. Eines Umsetzungsaktes in nationales Recht bedarf es nicht. Der Entwurf zur Verordnung war im April 2021 von der EU-Kommission vorgelegt worden. Vorrangig geht es darum, einen europäischen Rechtsrahmen für KI zu schaffen. Darüber hinaus soll jedoch ein weltweiter Standard für den ethischen Einsatz und die Entwicklung der Technologie entstehen.
Viele der künftigen Vorgaben werden sich voraussichtlich nicht mehr erheblich ändern. Das grundlegende Regelungsgerüst ist daher schon jetzt abzusehen und Unternehmen können sich darauf vorbereiten. Als Leitfaden kann dafür unser Whitepaper zur kommenden Verordnung genutzt werden.

Derzeit findet der offizielle Trilog zwischen den EU-Gesetzgebungsorganen statt. EU-Parlament und EU-Ministerrat haben ihre Kompromissversionen zum KI-VO-Entwurf vorgelegt, die als Grundlage dessen dienen. Wann das Gesetz in Kraft treten wird, lässt sich noch nicht mit Sicherheit sagen. Es ist zwar denkbar, dass dieses schon 2023 geschehen wird, wahrscheinlicher ist jedoch, dass es noch in diesem Jahr eine politische Einigung geben wird, die Verordnung aber erst in der ersten Hälfte 2024 in Kraft treten wird. Im Anschluss wird es für Unternehmen eine Umsetzungsfrist von voraussichtlich zwei Jahren geben.
Informieren Sie sich hier für alle News und Updates rund um die geplante KI-Verordnung.
Die Verhandlungen im EU-Parlament waren zuletzt ins Stocken geraten und die zuvor erzielte politische Einigung zwischen den Fraktionen galt als gescheitert. In der heutigen finalen Abstimmung wurden deshalb teilweise neue Anträge von Fraktionen des EU-Parlaments gestellt. Keiner dieser neuen Anträge war jedoch erfolgreich. Laut einem Parlamentarier war es vor allem auch darum gegangen zu signalisieren, dass es keine hundertprozentige Einigkeit im Parlament über die KI-Verordnung gibt. Im Ergebnis kam es heute somit nicht mehr zu Änderungen.
Ein wichtiger Aspekt, der den Kompromissvorschlag des Parlaments von der ursprünglichen Kommissionsversion unterscheidet, ist die geplante Regulierung von General Purpose AI. Diese verfolgt keinen konkreten Zweck, sondern kann als Grundlage für spezifische unterschiedlichen Zwecke genutzt werden. Hier relevant sind insbesondere sogenannte Basismodelle, große Sprachmodelle, auf denen andere KI aufgebaut werden kann. Ein prominentes Beispiel dafür ist ChatGPT. Laut dem EU-Parlament soll für solche System eine besondere Kennzeichnungspflicht für die erzeugten Inhalte und eine Offenlegungspflicht für die Trainingsdaten bestehen. Wichtig ist auch, dass das Parlament die geplante zweijährige Umsetzungspflicht für derartige KI verkürzen möchte, da sie schon jetzt nachteilige Auswirkung habe.
Weitere wichtige Änderungen des Parlaments betreffen die Definition von KI, eine Ausweitung der verbotenen Systeme und Hochrisiko-KI, eine zusätzliche Ebene für die Qualifizierung als Hochrisiko-KI und schärfere Pflichten für diese. Zudem wird die Einrichtung eines europäischen „KI-Büros“ vorgeschlagen, das bei der grenzüberschreitenden Umsetzung der KI-Verordnung helfen soll. Langfristig soll dieses Büro in eine umfassende EU-Agentur für Digitales ausgebaut werden.
Bezüglich der bereits im Entwurf enthaltenen Verbote schlagen die Berichterstatter eine Ausweitung der verbotenen Social-Scoring-Systeme vor. Danach soll sich das Verbot nicht mehr nur auf Einzelpersonen, sondern auf ganze Gruppen erstrecken, wenn es durch das Social-Scoring zu Rückschlüssen auf persönliche Merkmale und zu Benachteiligungen kommt. Neu auf die Verbotsliste sollen solche KI gesetzt werden, die unterschwellig Techniken jenseits der Wahrnehmungsfähigkeit einer Person benutzen, es sei denn, dies geschehe zu therapeutischen Zwecken oder mit ausdrücklicher Einwilligung. Zudem soll KI verboten werden, die absichtlich manipulativ ist oder die Vulnerabilität einer Person ausnutzt, das Verhalten der Person dadurch beeinflussen und so zu erheblichem physischen oder psychischem Schaden führt.
Der Umfang der Systeme, die als hochrisikoreich klassifiziert werden soll, wird von dem Vorschlag deutlich ausgedehnt. Von den vorgeschlagenen Ausweitungen ist unter anderem der Bereich der biometrischen Identifizierung betroffen. Biometrische Live-Identifizierung in öffentlichen Räumen soll danach gänzlich verboten werden, sodass sich die Risikogruppe in diesen Bereichen nur noch auf Systeme zur nachträglichen Identifizierung beziehen soll. Von den Anwendungsfällen sollen jedoch nun auch Systeme zur Erkennung von Emotionen umfasst sein. Darüber hinaus wird vorgeschlagen für privat zugängliche Räume sowohl die Live- als auch die Ex-post-Identifizierung in die Liste aufgenommen.
Ebenfalls soll der Bereich der kritischen Infrastruktur erweitert werden. Dieser soll nach dem Vorschlag jegliche Sicherheitskomponenten für den Straßen-, Schienen- und Straßenverkehr einschließen.
Auch für die Hochrisikokategorie der Beschäftigung sieht der Vorschlag eine Ausweitung vor. So sollen solche Systeme umfasst sein, die Entscheidungen im Zusammenhang mit der Anbahnung, Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses treffen oder unterstützen, insbesondere bei der Zuweisung personalisierter Aufgaben oder der Überwachung der Einhaltung von Vorschriften am Arbeitsplatz.
Weitere Bereiche, für die Ausweitungen vorgesehen sind, sind die Bildung und der Zugang zu öffentlichen Leistungen.
Wie schon in der Ministerratsversion ist auch im Parlamentsvorschlag die Hochrisikokategorie der KI-Systeme in der Versicherungsbranche enthalten. Von dem ursprünglichen Kommissionsentwurf waren diese noch nicht umfasst.
Zudem wurden gänzliche neue Hochrisiko-Bereiche vorgeschlagen. So sollen nun Systeme umfasst sein, die von vulnerablen Gruppen genutzt werden, insbesondere solche, die die Entwicklung von Minderjährigen beeinflussen könnten. Es ist gut denkbar, dass darunter Empfehlungsalgorithmen in sozialen Netzwerken fallen würden.
Darüber hinaus sollen solche Systeme umfasst sein, die das Wahlverhalten von Personen beeinflussen könnten oder in demokratische Prozesse wie die Stimmenzählung eingebunden sind.
Schließlich sollen generative KI-Systeme in die Kategorie der Hochrisiko-KI aufgenommen werden, die etwa Texte erzeugen, die fälschlicherweise für menschengemacht gehalten werden könnten oder audiovisuelle Ergebnisse hervorbringen, die etwas aussagen, das nie stattgefunden hat. Für Texte soll dies nicht gelten, wenn sie von einem Menschen überprüft wurden oder eine Person dafür rechtlich verantwortlich ist; insofern weist der Vorschlag Ähnlichkeiten zur Regelung des Art. 22 DSGVO auf. Audiovisuelle Inhalte sollen dann ausgenommen sein, wenn es sich offensichtlich um ein Kunstwerk handelt. In die Hochrisikokategorie würden populäre Tools wie ChatGPT oder Dall-E fallen. Nach den bisherigen Entwürfen wären Chat-Bots wie ChatGPT dem Bereich der KI mit geringem Risiko zuzuordnen und unterlägen damit nur Transparenzverpflichtungen.
Laut Euractiv sind die beiden verantwortlichen Berichterstatter bestrebt, die Verhandlungen über den Parlamentsvorschlag zur KI-VO innerhalb der nächsten Tage abzuschließen.
Der heute abgesegnete Ratsvorschlag enthält inhaltlich keine Änderungen mehr, sondern ist das Ergebnis der vorangegangenen Kompromissvorschläge des Ministerrats. Im Vergleich zum ursprünglichen Vorschlag der Kommission hat der Ministerrat einige maßgebliche Anpassungen vorgenommen. So wurden unter anderem die Definition des KI-Begriffes enger gefasst, der Vorschlag enthält Regelungen für sogenannte Allzweck-KI (General Purpose AI) und die Voraussetzungen und Verpflichtungen für Hochrisiko-KI wurden modifiziert. Welche Änderungen final in dem Verordnungstext enthalten sein werden, wird sich erst in den offiziellen Gesetzgebungsverhandlungen herausstellen. Viele der Vorschläge sind sinnvoll und es ist zu erwarten, dass sie so, oder so ähnlich, zu Gesetzeswortlaut werden.
Die Änderungen, die dabei gegenüber früheren Vorschlägen vorgenommen wurden, sind nur sehr geringfügig. Es wurde bestätigt, dass „General Purpose AI“ unter das Regime der KI-VO fallen soll und dass die konkreten Anforderungen an diese KI-Systeme durch einen separaten Implementierungsakt von der EU-Kommission festgelegt werden. Ferner wurden die Ausnahmeregelungen für Strafverfolgungsbehörden in Details angepasst. Diese dürfen unter bestimmten Voraussetzungen Hochrisiko-KI-Systeme in Betrieb nehmen, die das vorgesehene Konformitätsbewertungsverfahren nicht bestanden haben. Verweigert die zuständige Marktaufsichtsbehörde aber im Nachhinein die Ausnahmegenehmigung dafür, müssen nach dem neuen Änderungsvorschlag alle aus dem System stammenden Ergebnisse und Ausgaben gelöscht werden.
Darüber hinaus stellt Erwägungsgrund 37 nun ausdrücklich klar, dass KI-Systeme, die Ansprüche auf öffentliche Unterstützungs- und Dienstleistungen prüfen, als Hochrisiko-KI-System einzustufen sind. Diese Änderung ist lediglich deklarativer Natur, da dieses bereits in Anhang III zur Verordnung geregelt ist. Zudem wurde der Text des Erwägungsgrundes dahingehend angepasst, dass er die vorangegangene Aufnahme bestimmter Versicherungsdienstleistungen in den Anhang III widerspiegelt.
Hinsichtlich der Transparenzverpflichtungen aus dem Verordnungsentwurf bestimmt der jüngste Vorschlag in Erwägungsgrund 70, dass solche Gruppen besonders berücksichtigt werden sollen, die aufgrund ihres Alters oder wegen Behinderung schutzbedürftig sind. Wie genau dieses aussehen soll, spezifiziert der Vorschlag jedoch nicht.
Eine kleine, aber sinnvolle Änderung erfuhr die Definition des KI-Begriffes in der aktuellen Ministerratsfassung. In dem Entwurf der Kommission sollten bisher KI-Systeme umfasst sein, die „mit einem gewissen Grad an Autonomie arbeiten“. Die Passage wurde in dem aktuellen Kompromissvorschlag modifiziert, sodass die Definition nunmehr solche KI-Systeme einschließt, die „mit autonomen Elementen arbeiten“. Diese Änderung ist zu begrüßen, da zuvor nicht ersichtlich war, welche Anforderungen an einen „gewissen Grad“ zu stellen sein sollten.
Weitere wichtige Änderungen betreffen unter anderem die verbotenen KI-Systeme. So sind nun wieder nur biometrische Identifizierungssysteme umfasst, die aus der Ferne verwendet werden. In einem vorherigen Kompromissvorschlag war der Begriff „Fern-“ gestrichen worden, wodurch das Verbot erheblich ausgeweitet wurde.
Einige Neuerungen wurden zudem im Bereich der Hochrisiko-KI vorgenommen. Unter anderem wurde für Anbieter derartiger KI-Systeme die Transparenzverpflichtung hinzugefügt, die erwarteten Ergebnisse für den Einsatz der KI in die KI-Gebrauchsanweisung aufzunehmen. Ferner wurde der Anhang III der KI-VO angepasst, in dem KI-Systeme aufgeführt sind, die als Hochrisiko-KI gelten sollen. So wurden beispielsweise KI-Systeme wieder aufgenommen, die für die Risikobewertung und Preisgestaltung für Versicherungsprodukte, einschließlich Lebens- und Krankenversicherung, eingesetzt werden sollen.
Weitere Aspekte des Änderungsvorschlags betreffen etwa die Transparenzverpflichtungen für KI-Systeme mit geringem Risiko oder die Sanktionen bei Verstößen gegen die Verordnung.
Darüber hinaus soll eine Richtlinie über KI-Haftung eingeführt werden. Diese soll erstmals spezifische Vorschriften für Schäden enthalten, die von KI verursacht werden. Der Vorschlag enthält vor allem zwei wesentliche Punkte. Zum einen wird eine Kausalitätsvermutung formuliert: Wenn ein Geschädigter nachweisen kann, dass eine Verpflichtung nicht eingehalten wurde, die für den Schaden relevant ist und dass ein ursächlicher Zusammenhang mit der Leistung der KI nach vernünftigem Ermessen wahrscheinlich ist, dann soll davon auszugehen sein, dass die Nichteinhaltung der Pflicht den Schaden verursacht hat. Die haftbare Person kann diese Vermutung jedoch widerlegen, indem sie nachweist, dass der Schaden eine andere Ursache hatte.
Zum anderen soll Geschädigten der Zugang zu Beweismitteln erleichtert werden. So sollen sie bei einem Schaden, der durch Hochrisiko-KI verursacht wurde, bei Gericht die Anordnung der Offenlegung von Informationen über das KI-System beantragen können. Die Geschädigten sollen so die Personen identifizieren, die haftbar gemacht werden könnten und herausfinden, was konkret zu dem eingetretenen Schaden geführt hat. Insgesamt soll die Richtlinie für alle Schäden gelten, die durch KI verursacht werden, unabhängig davon, ob es sich dabei um Hochrisiko-KI handelt oder um KI-Systeme ohne ein hohes Risiko.
Laut der EU-Kommission soll das Paket zur KI-Haftung die geplante KI-VO flankieren, indem es einen neuen Standard für Vertrauen und Wiedergutmachung rund um KI einführt. Damit soll Rechtssicherheit geschaffen werden, die Unternehmen dazu ermutigt, in künstliche Intelligenz zu investieren.
Ein weiterer wichtiger Aspekt des Ratsvorschlages ist die Regulierung von sog. „General Purpose AI“. Diese Klassifizierung für KI-Systeme ist im Entwurf der Kommission nicht vorgesehen. Erstmals war sie in dem Kompromissvorschlag enthalten, den der Ministerrat im November 2021 unter slowenischer Präsidentschaft vorgelegt hat. Es handelt sich dabei um KI-Systeme, die nicht für einzelne spezifische Anwendungsfelder entwickelt werden, sondern ein breites Spektrum an Nutzungsmöglichkeiten bieten. Dadurch können sie für eine Vielzahl von Aufgaben in unterschiedlichen Bereichen eingesetzt werden. Insbesondere können derartige allgemeine Algorithmen als Grundlage für spezialisierte KI-Systeme dienen. Beispielsweise kann eine einzige „General Purpose AI“ zur allgemeinen Sprachverarbeitung für eine Fülle von speziellen Anwendungen, wie etwa Chatbots, Systeme zur Generierung von Werbeanzeigen oder für Entscheidungsprozesse genutzt werden. In vielen Fällen wissen die Entwickler der allgemeinen KI selbst noch gar nicht, wofür diese später einmal eingesetzt werden wird. Sollen derartige Algorithmen als Hochrisiko-KI oder als Bestandteil einer solchen genutzt werden, sind nach dem nun vorliegenden Ratsvorschlag auch die meisten der entsprechenden Verpflichtungen an „Anbieter“ von KI-Systemen damit verbunden. Davon ausgenommen sein sollen jedoch kleine und mittlere Unternehmen, sofern diese nicht Partner von größeren Unternehmen sind oder mit solchen verbunden sind. Welche spezifischen Anforderungen an die General-Purpose-KI-Systeme selbst gestellt werden sollen, soll nach dem Ratsvorschlag durch einen separaten Implementierungsakt durch die Kommission innerhalb von eineinhalb Jahren nach In-Kraft-Treten der KI-VO festgelegt werden.
Weitere Bereiche, in denen der Ministerrat, teilweise eher marginale, Änderungen vorgeschlagen hat, sind die Transparenzverpflichtungen, innovationsfördernde Maßnahmen, Aufsicht und Sanktionen bei Verstößen.
Newsletter
Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.
Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.