Aktuelles zur KI-VO: Logbuch zur geplanten Verordnung

Für die hinreichende Vorbereitung auf die kommende KI-VO empfiehlt es sich, aktuelles rund um die Verordnung im Blick zu behalten. Dafür werden an dieser Stelle stets die wichtigsten Entwicklungen im Gesetzgebungsprozess dargestellt. Der jeweils neueste Beitrag ist dabei an oberster Stelle zu finden.

Die Arbeiten an der kommenden KI-Verordnung (KI-VO) der EU sind in vollem Gange. Nach seinem In-Kraft-Treten wird das Gesetz die Entwicklung und Verwendung von KI in der gesamten EU regeln. Da es sich um eine Verordnung handelt, werden die Regelungen unmittelbar in den Mitgliedsstaaten wirksam sein. Eines Umsetzungsaktes in nationales Recht bedarf es nicht. Der Entwurf zur Verordnung war im April 2021 von der EU-Kommission vorgelegt worden. Vorrangig geht es darum, einen europäischen Rechtsrahmen für KI zu schaffen. Darüber hinaus soll jedoch ein weltweiter Standard für den ethischen Einsatz und die Entwicklung der Technologie entstehen.

Viele der künftigen Vorgaben werden sich voraussichtlich nicht mehr erheblich ändern. Das grundlegende Regelungsgerüst ist daher schon jetzt abzusehen und Unternehmen können sich darauf vorbereiten. Als Leitfaden kann dafür unser Whitepaper zur kommenden Verordnung genutzt werden.

Whitepaper zur KI Verordnung

Der Trilog zwischen den EU-Gesetzgebungsorganen ist abgeschlossen. EU-Parlament und EU-Ministerrat haben ihre Kompromissversionen zum KI-VO-Entwurf ausgearbeitet und sich auf die zentralen Inhalte geeinigt. Das EU-Parlament hat bereits positiv über die Verabschiedung der Verordnung abgestimmt. Feinheiten werden noch in der nächsten Zeit abgerundet und der Prozess findet seinen Abschluss mit einem formellen Abstimmungstermin beim Ministerrat. Mit dem finalen Inkrafttreten der Verordnung ist im zweiten Quartal 2024 zu rechnen. Im Anschluss wird es für Unternehmen eine Umsetzungsfrist von grundsätzlich zwei Jahren geben, wobei jedoch die ersten Verbote zu besonders wichtigen Regelungsgebieten bereits 6 Monate nach Inkrafttreten greifen.

Informieren Sie sich hier für alle News und Updates rund um die geplante KI-Verordnung

Veröffentlichung im Amtsblatt der EU, 12.07.2024

Der AI Act wurde heute offiziell im Amtsblatt der Europäischen Union verkündet. Der über 400 Seiten umfassende Rechtsakt tritt gemäß Art. 113 AI Act am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt in Kraft, also am 01.08.2024.

Danach gelten gestaffelte Anwendungsfristen, die je nach KI-System, Risikostufe und Anwendungsfall zu beachten sind. Hier ein kurzer Überblick über die Fristen:

Nach 6 Monaten:

  • Allgemeine Vorschriften nach Kapitel II
  • verbotene Praktiken nach Kapitel III

Nach 12 Monaten:

  • Vorschriften zu notifizierenden Behörden und Stellen nach Kapitel III Abschn. 4
  • GPAI nach Kapitel V
  • Governance nach Kapitel VII
  • Sanktionen, ausgenommen Geldbußen für Anbieter von GPAI nach Kapitel XII

Nach 24 Monaten:

  • Allgemeine Geltung, insbesondere Hochrisiko-KI-Systeme gemäß Art. 6 Abs. 1 iVm Annex III

Nach 36 Monaten:

  • Vorschriften zur Einstufung von Hochrisiko-KI gemäß Art. 6 Abs. 1 iVm Annex I

Angesichts der umfangreichen neuen Compliance-Pflichten für Unternehmen und des weiten extraterritorialen Anwendungsbereichs der KI-Verordnung sollten sich Unternehmen aller Branchen schnellstmöglich auf den AI Act vorbereiten.

Verabschiedung im EU-Parlament, 13.3.2024

Nach langer gesetzgeberischer Reise hat die KI-VO am 13. März 2024 endlich den Meilenstein der erfolgreichen Verabschiedung im Europäischen Parlament überschritten.

Zwar steht noch eine abschließende Prüfung und förmliche Abstimmung durch den Ministerrat aus, dieser hat jedoch bereits die Billigung der Parlamentsversion zugesagt. Es erfolgt voraussichtlich lediglich ein letzter Feinschliff, die Kerninhalte stehen jedoch. Eine der auffälligsten Änderungen der Fassung des 13.3 im Vergleich zu der bis dato letzten Version der KI-VO ist eine Anpassung der Artikelnummerierung. Die zuletzt stark vertretenen Buchstaben-Artikel wurden von einer einheitlichen Zahlengliederung ersetzt, wodurch sich jedoch lediglich die Nummerierung verschoben hat. Auch wurde eine aktuelle deutsche Fassung des Verordnungstextes vom EU-Parlament veröffentlicht. Inhaltlich kam es nur zur Anpassung von Feinheiten.

Das finale Inkrafttreten der Verordnung ist für den 20. Tag nach Veröffentlichung im Amtsblatt geplant. Somit zeichnet sich Ende Mai als Zeitpunkt des Inkrafttretens ab.

Es bleibt bei der geplanten Staffelung der Umsetzungspunkte der unterschiedlichen Pflichtenregime der KI-VO. Die allgemeinen Vorschriften und verbotenen Praktiken müssen bereits 6 Monate nach Inkrafttreten umgesetzt werden. Die Einrichtung der zu schaffenden Behörden und Stellen samt der einhergehenden Governance-Regelungen soll bis 12 Monate nach Inkrafttreten der KI-VO abgeschlossen sein. Ab diesem Zeitpunkt werden auch die Regelungen zu KI-Modellen und KI-Systemen mit allgemeinem Verwendungszweck (GPAI) ihre Wirkung entfalten. In einer weiteren Etappe werden nach 24 Monaten die zentralen Pflichten für Hochrisiko-Anwendungsgruppen aus Anhang III umzusetzen sein. Den Abschluss bildet nach 36 Monaten der Umsetzungsbeginn der Harmonisierungsvorschriften aus Anhang I (vormals Anhang II), die in Kombination mit weiteren EU-Richtlinien neue Hochrisiko-Anwendungsgruppen entstehen lassen.

Zuständige Ausschüsse im EU-Parlament stimmen der KI-VO zu, 13.02.24

Am 13. Februar 2024 haben der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) und der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE), die im EU-Parlament federführend für die KI-VO zuständig sind, über die finale Fassung der Verordnung abgestimmt. Dabei wurde das Gesetz mit großer Mehrheit angenommen (71 Zustimmungen, 8 Ablehnungen, 7 Enthaltungen). Die KI-VO ist damit erneut einen großen Schritt auf die Verabschiedung zugegangen. Anfang Februar 2024 hatte bereits der Ausschuss der Ständigen Vertreter der Mitgliedstaaten (COREPER) unter Vorsitz der belgischen Ratspräsidentschaft den im Dezember 2023 erreichten Kompromiss angenommen. Im April 2024 wird das EU-Parlament im Plenum über die Verordnung abstimmen. Dass es dabei zu Überraschungen kommen wird, gilt als unwahrscheinlich. Anschließend wird der EU-Ministerrat formell und final über die KI-VO abstimmen. Seitens des Rates wurde jedoch bereits zugesichert, dass die KI-VO in der Parlamentsversion gebilligt werden solle, sofern sich dieses in erster Lesung einigen könne.

Die KI-VO steht damit kurz vor dem Inkrafttreten. Wahrscheinlich noch vor den Europawahlen im Juni 2024 wird die Verordnung verabschiedet werden. Für Unternehmen bedeutet das, dass sie jetzt mit der Vorbereitung auf das Gesetz beginnen sollten.

Finale Fassung der KI-VO geleakt, 24.01.24

Der Abschluss der Trilogverhandlungen hat Früchte getragen. Am 22.1.24 wurde eine aus Kommissions-, Rats- und Parlamentsentwurf konsolidierte Fassung der KI-VO durch eine journalistische Quelle geleakt. Der Neuentwurf beinhaltet Ansätze aus allen bisherigen Fassungen, mit einem Schwerpunkt auf dem Kommissionsentwurf. Ihre Formulierungsgrundlage findet die Neufassung zu 47 % ihrer Artikel im Kommissionsentwurf, während weitere 25 % auf dem Parlamentsentwurf und die restlichen 28 % auf dem Ratsentwurf basieren. Es finden sich dennoch weitreichende Änderungen innerhalb der Formulierungen der neuen Artikel, sodass nicht lediglich ein zusammengesetztes Stückwerk entstanden ist, sondern ein gänzlich eigener Entwurf. Dieser soll in einer Abstimmung des zuständigen Gremiums am 2.2.24 als finales Vorlagedokument bestätigt werden. Im Fall einer positiven Abstimmung über das Dokument wird das Europäische Parlament im Anschluss seine schlussendliche Entscheidung treffen. Das Ende des Gesetzgebungsprozesses und das Inkrafttreten der KI-VO zeichnen sich damit schon in naher Zukunft ab. Denkbar wäre als möglicher Zeitpunkt dafür bereits im Februar.

Der neue Entwurf enthält die bereits nach dem Abschluss des Trilogs angekündigten neuen Regelungen zum Themenfeld General Purpose AI (mit oder ohne systemischem Risiko) und den zugrundeliegenden Basismodellen (GPAI Modells) innerhalb der Art. 52, 52 a) – 52 e) KI-VO-E.

Auch die heiß diskutierten Regelungen zur biometrischen Echtzeiterkennung wurden im finalen Entwurf umgesetzt. Jedoch kommt derzeit erneut Kritik auf, da eine Nutzung der biometrischen Erkennungssoftware auf zuvor angefertigten Aufnahmen (nicht in Echtzeit) in besonders gerechtfertigten Situationen sogar ohne Richtervorbehalt erfolgen kann, sofern eine Beantragung der Anordnung innerhalb von 24h nachgeholt wird. Kritisiert wird diese Regelung insbesondere, weil die ursprünglich ausgehandelten wenigen Ausnahmefälle auf diese Weise aufgeweicht werden könnten.

Durch die Mischung der Ansätze der verschiedenen Entwurfsversionen und den nachfolgenden Formulierungsanpassungen hat sich auch das Hauptregelungsgebiet der Hochrisiko-KI weiter fortentwickelt. So kam es unter anderem dazu, dass KI mit Anwendungsbereich im Feld der Risikobewertung und Bepreisung für Kranken- und Lebensversicherungen im derzeitigen Entwurf als Hochrisiko-KI erfasst werden, obwohl dies in früheren Fassungen teilweise nicht mehr der Fall war. Das Pflichtenprogramm wurde insofern angepasst und ausgeweitet.

Es bleibt abzuwarten, ob alle derzeitigen Inhalte des Verordnungsentwurfs übernommen werden. Denn vereinzelt werben Mitgliedsstaaten, wie etwa Frankreich, bereits für ein „Nein“ innerhalb der binären Vorlageentscheidung bezüglich der nun vorliegenden Entwurfsfassung, um weiter Einfluss auf die Inhalte nehmen zu können. Dies ist darin begründet, dass innerhalb der Vorentscheidung über die Vorlage gegenüber dem Parlament in diesem fortgeschrittenen Stadium keine Anpassungswünsche mehr in der Abstimmung berücksichtigt werden, sondern nur noch mit Zustimmung oder Ablehnung zur derzeitigen Version gestimmt werden kann.

Dennoch werden mit der neuen Entwurfsversion erneut wichtige Schritte auf der Zielgeraden des Gesetzgebungsprozesses gegangen.

Die EU Co-Gesetzgeber haben sich auf finale Version der KI-VO geeinigt, 11.12.23

Nach der finalen Trilogverhandlung, die am Mittwoch, dem 06.12.2023 begann, ist dem EU-Parlament, der Kommission und dem Ministerrat nun endlich eine Einigung über die kommende KI-VO gelungen. In ihrer Länge war die Verhandlung rekordverdächtig. Anfänglich nur für den Mittwoch angedacht, mussten die Gesetzgeber:innen nach 22 Stunden zäher Verhandlung eine Pause anberaumen und kamen schließlich am späten Freitagabend, dem 08.12.2023, über die finale Fassung der KI-VO überein.

Wichtiges Ziel war es dabei eine Balance zwischen Innovationsfreundlichkeit und Grundrechtsschutz zu finden. Nach Aussage der Beteiligten ist dies jetzt gelungen. In ihrer Grundstruktur ist die Verordnung ihrem ersten Entwurf treu geblieben. So gilt nach wie vor der risikobasierte Ansatz mit einem Fokus auf Hochrisiko-KI. Viele Details haben sich jedoch im Verglich zur ursprünglichen Kommissionsversion geändert. Zu den Punkten, die in der letzten Verhandlung am stärksten umstritten waren, gehörten die Regulierung von General Purpose AI und das Verbot biometrischer Echtzeitidentifizierung.

Biometrische Echtzeiterkennung wird im Ergebnis von der KI-VO grundsätzlich verboten. Dabei gelten jedoch drei Ausnahmen: die Technologie soll gestattet sein, um terroristische Angriffe zu erkennen und vorzubeugen, auf der Suche nach Opfern und bei der Verfolgung schwerer Verbrechen. Dass die Staaten diesen engen Anwendungsbereich einhalten, soll durch unabhängige Institutionen überwacht werden.

Die Regulierung von General Purpose AI (GPAI), also KI, die für eine Vielzahl von Zwecken verwendet werden kann, war schon seit geraumer Zeit ein kontrovers diskutierter Punkt der KI-VO. Zuletzt stand sogar die Möglichkeit im Raum, das Streitthema könne die Verordnung gänzlich zu Fall bringen. Dazu kam es jedoch letztendlich nicht. Final einigte man sich am Freitag auf einen zweistufigen Ansatz. Entwickler:innen aller GPAI-Modelle, also der ersten Stufe, sollen bestimmte Transparenzpflichten erfüllen. GPAI der zweiten Stufe ist solche, die besonders leistungsfähig ist und von der ein besonders hohes Risiko ausgeht. Darunter fällt z.B. die aktuelle Version des Sprachmodells ChatGPT. Für sie wird es gelten bestimmte Risiko-Assessment und Management Anforderungen zu erfüllen. Werden die Systeme im Bereich der Hochrisiko-KI eingesetzt, gelten für sie freilich zudem die entsprechenden Vorgaben.

Was die Einstufung als Hochrisiko-KI betrifft und welche Regelungen genau zu beachten sein werden, hat sich ebenfalls seit dem Ursprungsentwurf stark verändert. Grundsätzlich lässt sich sagen, dass der Anwendungsbereich sowie das Pflichtprogramm ausgeweitet wurden. Lesen Sie dazu in Kürze ausführlich in unserem aktualisierten Whitepaper.

Der finale Text der KI-VO liegt bisher noch nicht vor. Zunächst soll das Finetuning an den Formulierungen erfolgen, anschließend werden EU-Parlament und Ministerrat noch formell über die Verordnung abstimmen müssen. Änderungen soll es jedoch keine mehr geben. Das Gesetz wird anschließend voraussichtlich Anfang 2024 in Kraft treten. Die vorgesehenen Verbote greifen 6 danach. Nach einem Jahr gelten die Anforderungen für die Konformitätsbewertungsstellen sowie die Governance-Bestimmungen. Nach zwei Jahren wird die gesamte Verordnung zu beachten sein. Um sich erfolgreich darauf einzustellen, müssen Unternehmen jetzt mit der Vorbereitung beginnen.

Die Arbeit an der KI-VO befindet sich auf der Zielgeraden, 03.11.23

In den derzeitig stattfindenden Trilog-Verhandlungen rückt eine Einigung zwischen EU-Parlament, EU-Ministerrat und EU-Kommission immer näher. Der letzte Verhandlungstermin am 24.10.23 brachte die Arbeit an der Verordnung erneut wesentlich voran. So wurden Fortschritte gemacht, was die Regulierung von Basismodellen wie ChatGPT und die Klassifizierung von Hochrisiko-KI betrifft. Hinsichtlich des zweiten Punktes scheinen sich die Co-Gesetzgeber einig zu sein, dass von der Qualifizierung als Hochrisiko-KI über den Anhang III eine Ausnahme gemacht werden solle, wenn von einem System kein signifikantes Risiko für Gesundheit, Sicherheit oder Grundrechte einer natürlichen Person ausgehe. Über andere Themen besteht jedoch noch Uneinigkeit. Insbesondere welche KI-Systeme verboten werden sollen und welche Ausnahmen dabei für Strafverfolgungsbehörden gemacht werden sollen, konnte noch nicht abschließend geklärt werden. Die nächste Trilog-Verhandlung ist für den 06.12.23 anberaumt. Es gilt als wahrscheinlich, dass bei dem Termin eine politische Einigung über die finale Fassung der KI-VO erreicht wird.

EU-Parlament einigt sich auf Kompromissvorschlag und Beginn des offiziellen Trilogs, 14.06.23

Das EU-Parlament hat sich heute über seinen finalen Kompromissvorschlag zur geplanten KI-Verordnung geeinigt. Damit kann nun der offizielle Trilog zwischen EU-Parlament, Ministerrat und EU-Kommission beginnen. Im Trilog soll nun ein finaler Entwurf der KI-Verordnung ausgearbeitet werden. Die erste Verhandlung des Trilogs soll noch heute, am Mittwoch, dem 14. Juni stattfinden. Spanien, das ab nächstem Monat die EU-Ratspräsidentschaft für die zweite Jahreshälfte übernehmen wird, hat bereits angekündigt, dass die Verhandlungen zur KI-Verordnung noch unter seinem Vorsitz abgeschlossen werden sollen. Die Arbeit an der KI-Verordnung wird also an Fahrt aufnehmen und die Verordnung wird voraussichtlich noch dieses Jahr in Kraft treten.

Die Verhandlungen im EU-Parlament waren zuletzt ins Stocken geraten und die zuvor erzielte politische Einigung zwischen den Fraktionen galt als gescheitert. In der heutigen finalen Abstimmung wurden deshalb teilweise neue Anträge von Fraktionen des EU-Parlaments gestellt. Keiner dieser neuen Anträge war jedoch erfolgreich. Laut einem Parlamentarier war es vor allem auch darum gegangen zu signalisieren, dass es keine hundertprozentige Einigkeit im Parlament über die KI-Verordnung gibt. Im Ergebnis kam es heute somit nicht mehr zu Änderungen.

Ein wichtiger Aspekt, der den Kompromissvorschlag des Parlaments von der ursprünglichen Kommissionsversion unterscheidet, ist die geplante Regulierung von General Purpose AI. Diese verfolgt keinen konkreten Zweck, sondern kann als Grundlage für spezifische unterschiedlichen Zwecke genutzt werden. Hier relevant sind insbesondere sogenannte Basismodelle, große Sprachmodelle, auf denen andere KI aufgebaut werden kann. Ein prominentes Beispiel dafür ist ChatGPT. Laut dem EU-Parlament soll für solche System eine besondere Kennzeichnungspflicht für die erzeugten Inhalte und eine Offenlegungspflicht für die Trainingsdaten bestehen. Wichtig ist auch, dass das Parlament die geplante zweijährige Umsetzungspflicht für derartige KI verkürzen möchte, da sie schon jetzt nachteilige Auswirkung habe.

Weitere wichtige Änderungen des Parlaments betreffen die Definition von KI, eine Ausweitung der verbotenen Systeme und Hochrisiko-KI, eine zusätzliche Ebene für die Qualifizierung als Hochrisiko-KI und schärfere Pflichten für diese. Zudem wird die Einrichtung eines europäischen „KI-Büros“ vorgeschlagen, das bei der grenzüberschreitenden Umsetzung der KI-Verordnung helfen soll. Langfristig soll dieses Büro in eine umfassende EU-Agentur für Digitales ausgebaut werden.

Kompromissfindung bei der Regulierung künstlicher Intelligenz, 28.04.2023

Die Abgeordneten des EU-Parlaments haben letzte Woche eine Einigung über den Entwurf zur geplanten KI-Verordnung erzielt. Der Tag, der der Einigung voranging, war laut einem Parlamentsmitarbeitenden der angespannteste Verhandlungstag überhaupt. Unter anderem wurde insgesamt die Kategorie der verbotenen KI-Praktiken ausgeweitet. Zudem soll Hochrisiko-KI, zusätzlich zu den bisher geltenden Anforderungen, nur noch dann vorliegen, wenn Systeme ein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte bergen. Mitte Juni soll der Parlamentsvorschlag im Plenum zur Abstimmung kommen.

EU-Parlament schlägt neue verbotene KI-Praktiken und Kategorien für Hochrisiko-KI vor, 06.02.23

Die zuständigen Berichterstatter im EU-Parlament haben einen neuen Kompromissvorschlag zur geplanten KI-VO vorgelegt. Dieser liegt dem Mediennetzwerk Euractiv vor. Der Vorschlag befasst sich mit neuen verbotenen KI-Praktiken und Kategorien für Hochrisiko-KI.

Bezüglich der bereits im Entwurf enthaltenen Verbote schlagen die Berichterstatter eine Ausweitung der verbotenen Social-Scoring-Systeme vor. Danach soll sich das Verbot nicht mehr nur auf Einzelpersonen, sondern auf ganze Gruppen erstrecken, wenn es durch das Social-Scoring zu Rückschlüssen auf persönliche Merkmale und zu Benachteiligungen kommt. Neu auf die Verbotsliste sollen solche KI gesetzt werden, die unterschwellig Techniken jenseits der Wahrnehmungsfähigkeit einer Person benutzen, es sei denn, dies geschehe zu therapeutischen Zwecken oder mit ausdrücklicher Einwilligung. Zudem soll KI verboten werden, die absichtlich manipulativ ist oder die Vulnerabilität einer Person ausnutzt, das Verhalten der Person dadurch beeinflussen und so zu erheblichem physischen oder psychischem Schaden führt.

Der Umfang der Systeme, die als hochrisikoreich klassifiziert werden soll, wird von dem Vorschlag deutlich ausgedehnt. Von den vorgeschlagenen Ausweitungen ist unter anderem der Bereich der biometrischen Identifizierung betroffen. Biometrische Live-Identifizierung in öffentlichen Räumen soll danach gänzlich verboten werden, sodass sich die Risikogruppe in diesen Bereichen nur noch auf Systeme zur nachträglichen Identifizierung beziehen soll. Von den Anwendungsfällen sollen jedoch nun auch Systeme zur Erkennung von Emotionen umfasst sein. Darüber hinaus wird vorgeschlagen für privat zugängliche Räume sowohl die Live- als auch die Ex-post-Identifizierung in die Liste aufgenommen.
Ebenfalls soll der Bereich der kritischen Infrastruktur erweitert werden. Dieser soll nach dem Vorschlag jegliche Sicherheitskomponenten für den Straßen-, Schienen- und Straßenverkehr einschließen.
Auch für die Hochrisikokategorie der Beschäftigung sieht der Vorschlag eine Ausweitung vor. So sollen solche Systeme umfasst sein, die Entscheidungen im Zusammenhang mit der Anbahnung, Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses treffen oder unterstützen, insbesondere bei der Zuweisung personalisierter Aufgaben oder der Überwachung der Einhaltung von Vorschriften am Arbeitsplatz.
Weitere Bereiche, für die Ausweitungen vorgesehen sind, sind die Bildung und der Zugang zu öffentlichen Leistungen.
Wie schon in der Ministerratsversion ist auch im Parlamentsvorschlag die Hochrisikokategorie der KI-Systeme in der Versicherungsbranche enthalten. Von dem ursprünglichen Kommissionsentwurf waren diese noch nicht umfasst.

Zudem wurden gänzliche neue Hochrisiko-Bereiche vorgeschlagen. So sollen nun Systeme umfasst sein, die von vulnerablen Gruppen genutzt werden, insbesondere solche, die die Entwicklung von Minderjährigen beeinflussen könnten. Es ist gut denkbar, dass darunter Empfehlungsalgorithmen in sozialen Netzwerken fallen würden.
Darüber hinaus sollen solche Systeme umfasst sein, die das Wahlverhalten von Personen beeinflussen könnten oder in demokratische Prozesse wie die Stimmenzählung eingebunden sind.
Schließlich sollen generative KI-Systeme in die Kategorie der Hochrisiko-KI aufgenommen werden, die etwa Texte erzeugen, die fälschlicherweise für menschengemacht gehalten werden könnten oder audiovisuelle Ergebnisse hervorbringen, die etwas aussagen, das nie stattgefunden hat. Für Texte soll dies nicht gelten, wenn sie von einem Menschen überprüft wurden oder eine Person dafür rechtlich verantwortlich ist; insofern weist der Vorschlag Ähnlichkeiten zur Regelung des Art. 22 DSGVO auf. Audiovisuelle Inhalte sollen dann ausgenommen sein, wenn es sich offensichtlich um ein Kunstwerk handelt. In die Hochrisikokategorie würden populäre Tools wie ChatGPT oder Dall-E fallen. Nach den bisherigen Entwürfen wären Chat-Bots wie ChatGPT dem Bereich der KI mit geringem Risiko zuzuordnen und unterlägen damit nur Transparenzverpflichtungen.

Laut Euractiv sind die beiden verantwortlichen Berichterstatter bestrebt, die Verhandlungen über den Parlamentsvorschlag zur KI-VO innerhalb der nächsten Tage abzuschließen.

EU-Minister segnen endgültigen Ratsvorschlag ab, 06.12.2022

Auf der Tagung des EU-Ministerrats in der für Verkehr, Telekommunikation und Energie zuständigen Formation, wurde der finale Kompromissvorschlag des Rats verabschiedet. Dem Co-Gesetzgeber gelang damit ein erster Schritt hin zum In-Kraft-Treten der KI-VO. Nun steht nur noch der Verordnungsvorschlag des EU-Parlaments aus. Anschließend können Kommission, Rat und Parlament den offiziellen Gesetzgebungs-Trilog aufnehmen. Laut dem europäischen Mediennetzwerk Euractiv wird die Version des Parlaments für März 2023 erwartet.

Der heute abgesegnete Ratsvorschlag enthält inhaltlich keine Änderungen mehr, sondern ist das Ergebnis der vorangegangenen Kompromissvorschläge des Ministerrats. Im Vergleich zum ursprünglichen Vorschlag der Kommission hat der Ministerrat einige maßgebliche Anpassungen vorgenommen. So wurden unter anderem die Definition des KI-Begriffes enger gefasst, der Vorschlag enthält Regelungen für sogenannte Allzweck-KI (General Purpose AI) und die Voraussetzungen und Verpflichtungen für Hochrisiko-KI wurden modifiziert. Welche Änderungen final in dem Verordnungstext enthalten sein werden, wird sich erst in den offiziellen Gesetzgebungsverhandlungen herausstellen. Viele der Vorschläge sind sinnvoll und es ist zu erwarten, dass sie so, oder so ähnlich, zu Gesetzeswortlaut werden.

Ministerrat legt finalen Kompromissvorschlag vor, 03.11.2022

Unter tschechischer Präsidentschaft hat der EU-Ministerrat seinen finalen Kompromissvorschlag vorgestellt. Dieser wurde am 18. November vom Ausschuss der Ständigen Vertreter der Mitgliedstaaten (COREPER) bestätigt und soll am 6. Dezember auf der Telekommunikations-Tagung der EU-Minister endgültig verabschiedet werden. Sobald dann der Vorschlag des EU-Parlaments vorliegt, können die formellen Trilogverhandlungen aufgenommen werden.

Die Änderungen, die dabei gegenüber früheren Vorschlägen vorgenommen wurden, sind nur sehr geringfügig. Es wurde bestätigt, dass „General Purpose AI“ unter das Regime der KI-VO fallen soll und dass die konkreten Anforderungen an diese KI-Systeme durch einen separaten Implementierungsakt von der EU-Kommission festgelegt werden. Ferner wurden die Ausnahmeregelungen für Strafverfolgungsbehörden in Details angepasst. Diese dürfen unter bestimmten Voraussetzungen Hochrisiko-KI-Systeme in Betrieb nehmen, die das vorgesehene Konformitätsbewertungsverfahren nicht bestanden haben. Verweigert die zuständige Marktaufsichtsbehörde aber im Nachhinein die Ausnahmegenehmigung dafür, müssen nach dem neuen Änderungsvorschlag alle aus dem System stammenden Ergebnisse und Ausgaben gelöscht werden.

Darüber hinaus stellt Erwägungsgrund 37 nun ausdrücklich klar, dass KI-Systeme, die Ansprüche auf öffentliche Unterstützungs- und Dienstleistungen prüfen, als Hochrisiko-KI-System einzustufen sind. Diese Änderung ist lediglich deklarativer Natur, da dieses bereits in Anhang III zur Verordnung geregelt ist. Zudem wurde der Text des Erwägungsgrundes dahingehend angepasst, dass er die vorangegangene Aufnahme bestimmter Versicherungsdienstleistungen in den Anhang III widerspiegelt.
Hinsichtlich der Transparenzverpflichtungen aus dem Verordnungsentwurf bestimmt der jüngste Vorschlag in Erwägungsgrund 70, dass solche Gruppen besonders berücksichtigt werden sollen, die aufgrund ihres Alters oder wegen Behinderung schutzbedürftig sind. Wie genau dieses aussehen soll, spezifiziert der Vorschlag jedoch nicht.

EU-Ministerrat bringt vierten Kompromissvorschlag in Umlauf, 19.10.2022

Der EU-Ministerrat hat einen neuen Kompromissvorschlag zur geplanten KI-VO vorgelegt. Nachdem die Mitgliedsstaaten nun noch einmal die Möglichkeit haben, zu dem Entwurf Stellung zu beziehen, strebt die tschechische Ratspräsidentschaft eine generelle Einigung für die nächste Tagung der Minister am 6. Dezember 2022 an. Der Ministerrat ist mit seinen Verhandlungen damit fast am Ende. Sobald vom Ministerrat ein finaler Änderungsvorschlag für die KI-VO ausgearbeitet wurde, hängt der Beginn des formellen Trilogs nur noch vom EU-Parlament ab.

Eine kleine, aber sinnvolle Änderung erfuhr die Definition des KI-Begriffes in der aktuellen Ministerratsfassung. In dem Entwurf der Kommission sollten bisher KI-Systeme umfasst sein, die „mit einem gewissen Grad an Autonomie arbeiten“. Die Passage wurde in dem aktuellen Kompromissvorschlag modifiziert, sodass die Definition nunmehr solche KI-Systeme einschließt, die „mit autonomen Elementen arbeiten“. Diese Änderung ist zu begrüßen, da zuvor nicht ersichtlich war, welche Anforderungen an einen „gewissen Grad“ zu stellen sein sollten.

Weitere wichtige Änderungen betreffen unter anderem die verbotenen KI-Systeme. So sind nun wieder nur biometrische Identifizierungssysteme umfasst, die aus der Ferne verwendet werden. In einem vorherigen Kompromissvorschlag war der Begriff „Fern-“ gestrichen worden, wodurch das Verbot erheblich ausgeweitet wurde.

Einige Neuerungen wurden zudem im Bereich der Hochrisiko-KI vorgenommen. Unter anderem wurde für Anbieter derartiger KI-Systeme die Transparenzverpflichtung hinzugefügt, die erwarteten Ergebnisse für den Einsatz der KI in die KI-Gebrauchsanweisung aufzunehmen. Ferner wurde der Anhang III der KI-VO angepasst, in dem KI-Systeme aufgeführt sind, die als Hochrisiko-KI gelten sollen. So wurden beispielsweise KI-Systeme wieder aufgenommen, die für die Risikobewertung und Preisgestaltung für Versicherungsprodukte, einschließlich Lebens- und Krankenversicherung, eingesetzt werden sollen.

Weitere Aspekte des Änderungsvorschlags betreffen etwa die Transparenzverpflichtungen für KI-Systeme mit geringem Risiko oder die Sanktionen bei Verstößen gegen die Verordnung.

Die EU-Kommission stellt neue Haftungsregeln für Künstlicher Intelligenz vor, 28.09.2022

Am 28.09.2022 legte die EU-Kommission zwei Vorschläge für Richtlinien vor, mit der die Haftungsregeln für KI reformiert werden sollen. Zum einen wird beabsichtigt, die europäische Produkthaftungsrichtlinie, die schon 1985 in Kraft trat, zu reformieren. Die Richtlinie regelt die verschuldensunabhängige Haftung von Herstellern, sofern deren Produkte etwa Personen- oder Sachschäden verursachen. Durch die nun vorgeschlagene Modernisierung soll die Richtlinie derart angepasst werden, dass sie Schadensersatzansprüche für solche Schäden enthält, die entstehen, wenn eine KI Bestandteil eines Produktes ist und dieses durch die KI-Anwendung unsicher gemacht wird. Wenn Verbraucher aufgrund eines solchen Produktes zu Schaden kommen und das Produkt von einem Hersteller außerhalb der EU stammt, sollen sie den Importeur oder den EU-Vertreter des Herstellers auf Schadensersatz in Anspruch nehmen können.

Darüber hinaus soll eine Richtlinie über KI-Haftung eingeführt werden. Diese soll erstmals spezifische Vorschriften für Schäden enthalten, die von KI verursacht werden. Der Vorschlag enthält vor allem zwei wesentliche Punkte. Zum einen wird eine Kausalitätsvermutung formuliert: Wenn ein Geschädigter nachweisen kann, dass eine Verpflichtung nicht eingehalten wurde, die für den Schaden relevant ist und dass ein ursächlicher Zusammenhang mit der Leistung der KI nach vernünftigem Ermessen wahrscheinlich ist, dann soll davon auszugehen sein, dass die Nichteinhaltung der Pflicht den Schaden verursacht hat. Die haftbare Person kann diese Vermutung jedoch widerlegen, indem sie nachweist, dass der Schaden eine andere Ursache hatte.

Zum anderen soll Geschädigten der Zugang zu Beweismitteln erleichtert werden. So sollen sie bei einem Schaden, der durch Hochrisiko-KI verursacht wurde, bei Gericht die Anordnung der Offenlegung von Informationen über das KI-System beantragen können. Die Geschädigten sollen so die Personen identifizieren, die haftbar gemacht werden könnten und herausfinden, was konkret zu dem eingetretenen Schaden geführt hat. Insgesamt soll die Richtlinie für alle Schäden gelten, die durch KI verursacht werden, unabhängig davon, ob es sich dabei um Hochrisiko-KI handelt oder um KI-Systeme ohne ein hohes Risiko.

Laut der EU-Kommission soll das Paket zur KI-Haftung die geplante KI-VO flankieren, indem es einen neuen Standard für Vertrauen und Wiedergutmachung rund um KI einführt. Damit soll Rechtssicherheit geschaffen werden, die Unternehmen dazu ermutigt, in künstliche Intelligenz zu investieren.

Die tschechische EU-Ratspräsidentschaft legt den dritten Kompromissvorschlag des Ministerrats vor, 23.09.2022

Die tschechische Ratspräsidentschaft hat den nunmehr dritten vollständigen Kompromissvorschlag zur KI-VO vonseiten des EU-Ministerrats vorgestellt. In diesem wurden Vorschläge und Kommentare der Mitgliedsstaaten umgesetzt. Dabei wurden im Vergleich zum ursprünglichen Entwurf der Kommission einige wichtige Passagen geändert. Die wohl wichtigste Änderung ist die der Definition von KI-Systemen. Die Definition war schon in einem früheren Ratsvorschlag angepasst worden und ist wesentlich enger als die ursprüngliche Definition der EU-Kommission. So entspricht die Definition des Rates mehr dem klassischen Verständnis von KI. Im Gegensatz dazu würde die Kommissionsdefinition sogar einfache rechengestüzte Anwendungen wie Taschenrechner umfassen. Der Ministerrat reagierte damit auf Kritik von vielen Seiten, die die ursprüngliche Definition als zu weit und konturlos ansah. Im nun vorliegenden dritten Kompromissvorschlag wurde die Voraussetzung gestrichen, dass die Arbeitsziele von KI „menschlich definiert“ sein sollen. Laut Ministerrat sei der Verweis für die Zwecke der Definition nicht wesentlich gewesen.

Ein weiterer wichtiger Aspekt des Ratsvorschlages ist die Regulierung von sog. „General Purpose AI“. Diese Klassifizierung für KI-Systeme ist im Entwurf der Kommission nicht vorgesehen. Erstmals war sie in dem Kompromissvorschlag enthalten, den der Ministerrat im November 2021 unter slowenischer Präsidentschaft vorgelegt hat. Es handelt sich dabei um KI-Systeme, die nicht für einzelne spezifische Anwendungsfelder entwickelt werden, sondern ein breites Spektrum an Nutzungsmöglichkeiten bieten. Dadurch können sie für eine Vielzahl von Aufgaben in unterschiedlichen Bereichen eingesetzt werden. Insbesondere können derartige allgemeine Algorithmen als Grundlage für spezialisierte KI-Systeme dienen. Beispielsweise kann eine einzige „General Purpose AI“ zur allgemeinen Sprachverarbeitung für eine Fülle von speziellen Anwendungen, wie etwa Chatbots, Systeme zur Generierung von Werbeanzeigen oder für Entscheidungsprozesse genutzt werden. In vielen Fällen wissen die Entwickler der allgemeinen KI selbst noch gar nicht, wofür diese später einmal eingesetzt werden wird. Sollen derartige Algorithmen als Hochrisiko-KI oder als Bestandteil einer solchen genutzt werden, sind nach dem nun vorliegenden Ratsvorschlag auch die meisten der entsprechenden Verpflichtungen an „Anbieter“ von KI-Systemen damit verbunden. Davon ausgenommen sein sollen jedoch kleine und mittlere Unternehmen, sofern diese nicht Partner von größeren Unternehmen sind oder mit solchen verbunden sind. Welche spezifischen Anforderungen an die General-Purpose-KI-Systeme selbst gestellt werden sollen, soll nach dem Ratsvorschlag durch einen separaten Implementierungsakt durch die Kommission innerhalb von eineinhalb Jahren nach In-Kraft-Treten der KI-VO festgelegt werden.

Weitere Bereiche, in denen der Ministerrat, teilweise eher marginale, Änderungen vorgeschlagen hat, sind die Transparenzverpflichtungen, innovationsfördernde Maßnahmen, Aufsicht und Sanktionen bei Verstößen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.