Alles, was Sie zur neuen KI-Verordnung wissen müssen – Ein Überblick
Die EU hat einen bedeutenden Schritt unternommen, um den Einsatz künstlicher Intelligenz zu regulieren und gleichzeitig Innovationen zu fördern. Am 14. Juni 2023 verabschiedete das Europäische Parlament die Verordnung über Künstliche Intelligenz (KI-VO). Diese bahnbrechende Gesetzgebung setzt auf einen risikobasierten Ansatz, um sowohl die Rechte der Bürger:innen zu schützen als auch die technologische Entwicklung voranzutreiben. In diesem Beitrag erfahren Sie alles Wesentliche, was Sie über die neue Verordnung wissen müssen.
Einführung und Zielsetzung
Die KI-VO der EU ist die weltweit erste umfassende Gesetzgebung zur Regulierung von Künstlicher Intelligenz. Ihr Ziel ist es, ein Gleichgewicht zu schaffen zwischen dem Schutz der Grundrechte, der Demokratie und der Rechtstaatlichkeit einerseits und der Förderung ökologischer Nachhaltigkeit und technologischer Innovation andererseits. Der risikobasierte Ansatz der Verordnung bedeutet, dass verschiedene KI-Anwendungen je nach ihrem Risiko für die Gesellschaft unterschiedlichen Regelungen unterliegen. Diese Regulierung umfasst vier Hauptkategorien von KI-Systemen, die unterschiedliche Anforderungen und Auflagen mit sich bringen.
Anwendungsbereich – Art. 2 KI-VO
Gem. Art. 2 der KI-VO gilt diese für:
- Anbieter, die KI-Systeme innerhalb der EU auf den Markt bringen oder betreiben, unabhängig davon, ob sie in der EU oder einem Drittland ansässig sind.
- Nutzer von KI-Systemen, die sich innerhalb der EU befinden.
- Anbieter und Nutzer von KI-Systemen mit Sitz in einem Drittland, wenn die Ergebnisse dieser Systeme in der EU genutzt werden.
Dies kommt dem einen oder anderen vermutlich an dieser Stelle sehr bekannt vor und erinnert an Art. 3 DSGVO. Gemäß Art. 3 KI-VO wird der persönliche Anwendungsbereich noch einmal detailliert ausgeführt. Danach sind auch:
- Händler,
- Einführer von KI-Systemen,
- Anbieter, Bevollmächtigte und Hersteller wie auch
- Betroffene, deren Gesundheit, Sicherheit oder Grundrechte durch die Nutzung eines KI-Systems beeinträchtigt sind, erfasst.
Datenschutz & KI – Seminar
Kategorien der KI-Systeme
1. Verbotene KI-Systeme
Diese Kategorie umfasst KI-Anwendungen, die als zu riskant eingestuft werden, um akzeptiert zu werden. Dazu gehören Systeme zur sozialen Bewertung von Bürger:innen (Social Scoring) oder solche, die in der Strafverfolgung ohne ausreichende gesetzliche Grundlage eingesetzt werden.
2. Hochrisiko KI-Systeme
Systeme in Bereichen wie kritische Infrastrukturen, Bildungswesen oder Beschäftigung, die personenbezogene Daten verarbeiten oder wesentliche Entscheidungen über Einzelpersonen treffen, fallen in diese Kategorie.
3. KI-Systeme mit geringem Risiko
Diese Kategorie umfasst KI-Anwendungen, die als geringes Risiko eingestuft werden, wie z.B. Chatbots im Kundenservice. Für diese Systeme gibt es vereinfachte Anforderungen.
4. KI-Systeme mit minimalem Risiko
Dazu zählen Anwendungen, die kaum oder gar keine signifikanten Risiken für die Gesellschaft darstellen, wie z.B. Spam-Filter oder Recommender-Systeme auf E-Commerce-Websites.
Welche KI-System gibt es?
Um einen Überblick über die verschiedenen Arten von KI zu erhalten, ist es wichtig, grundlegende Systeme wie Large Language Models, Deep Learning und Machine Learning zu betrachten.
Machine Learning:
Eine Teilmenge der KI, die sich auf Algorithmen konzentriert, die es Computern ermöglichen, aus Daten zu lernen und Vorhersagen zu treffen.
Deep Learning:
Eine Teilmenge des „Machine Learning“, die neuronale Netzwerke mit vielen Schichten (daher „deep“) verwendet, um verschiedene Arten von Daten zu analysieren.
Large Language Models:
Eine spezialisierte Teilmenge des „Deep Learning“, die sich auf das Verstehen und Generieren menschlicher Sprache konzentriert und auf riesigen Mengen von Textdaten trainiert wird.
Datenschutzrechtliche Aspekte der KI-VO
Ein zentraler Aspekt der neuen Verordnung sind die strengen Datenschutzrichtlinien, die zum Schutz der Privatsphäre und der Grundrechte der Bürger:innen entwickelt wurden.
Verbotene Anwendungen und Datenschutz
Die Verordnung verbietet explizit Anwendungen, die das Recht auf Privatsphäre verletzen könnten. Dazu gehören:
- Biometrische Kategorisierung: Diese Systeme, die Menschen basierend auf sensiblen Merkmalen wie Ethnie oder Geschlecht klassifizieren, sind verboten. Sie könnten Diskriminierung fördern und werden aus datenschutzrechtlichen Gründen als problematisch angesehen.
- Ungenehmigte Erfassung und Verarbeitung von Gesichtsbildern: Das Sammeln von Gesichtsbildern aus dem Internet oder von Überwachungskameras ohne Zustimmung zur Erstellung von Datenbanken ist untersagt. Diese Maßnahme schützt vor unkontrollierter Überwachung und dem Missbrauch biometrischer Daten.
Verpflichtungen für Hochrisiko-KI-Systeme
Hochrisiko-KI-Systeme, insbesondere solche, die personenbezogene Daten verarbeiten, unterliegen zusätzlichen Datenschutzanforderungen:
- Risikomanagement und Transparenz: Anbieter müssen sicherstellen, dass die Systeme transparent arbeiten, die Verwendung von Daten nachvollziehbar ist und die Systeme keine unverhältnismäßigen Risiken für die Privatsphäre darstellen.
- Menschenaufsicht: Hochrisiko-KI-Systeme müssen so gestaltet werden, dass eine menschliche Überwachung gewährleistet ist, um sicherzustellen, dass die Systeme keine automatisierten Entscheidungen treffen, die den Datenschutz verletzen könnten.
Rechte der betroffenen Personen
Betroffene haben das Recht, Informationen darüber zu erhalten, wie ihre Daten von KI-Systemen verarbeitet werden. Sie können Einspruch gegen Entscheidungen einlegen, die von KI-Systemen getroffen werden und haben das Recht auf eine Erklärung, wie solche Entscheidungen zustande gekommen sind. Dies ist besonders wichtig, um die Transparenz und Rechenschaftspflicht bei der Verarbeitung personenbezogener Daten zu gewährleisten.
Spezifische Regeln für KI-Systeme mit allgemeinem Verwendungszweck
KI-Systeme, die eine breite Anwendung finden, müssen detaillierte Zusammenfassungen der für ihr Training verwendeten Daten veröffentlichen. Diese Transparenzanforderung ist entscheidend, um sicherzustellen, dass personenbezogene Daten nicht unerlaubt verwendet oder in einer Weise verarbeitet werden, die die Privatsphäre verletzt.
Kennzeichnung von Deepfakes
Inhalte, die künstlich erzeugt oder bearbeitet wurden, müssen eindeutig als solche gekennzeichnet werden. Dies hilft, die Verbreitung manipulativer Inhalte zu verhindern, die die Privatsphäre von Einzelpersonen beeinträchtigen könnten.
Ab wann wird die KI-VO uneingeschränkt anwendbar sein?
Am 12. Juli 2024 wurde die KI-Verordnung im Amtsblatt der EU veröffentlicht und tritt 20 Tage nach ihrer Veröffentlichung, am 1. August 2024, in Kraft.
Sie ist 24 Monate nach ihrem Inkrafttreten uneingeschränkt anwendbar, wobei das folgende abgestufte Verfahren gilt:
- 6 Monate nach Inkrafttreten: Die Mitgliedstaaten schalten verbotene Systeme schrittweise ab;
- 12 Monate: Die Verpflichtungen in Bezug auf KI mit allgemeinem Verwendungszweck werden anwendbar;
- 24 Monate: Alle Vorschriften des KI-Gesetzes werden anwendbar, einschließlich der Verpflichtungen für Hochrisikosysteme, die in Anhang III (Liste der Anwendungsfälle mit hohem Risiko) festgelegt sind;
- 36 Monate: Die Verpflichtungen für Hochrisikosysteme gem. Anhang II (Liste der Harmonisierungsrechtsvorschriften der Union) werden anwendbar.
Sanktionen bei Verstößen
Die KI-Verordnung sieht entsprechende Sanktionen und Bußgelder bei einem Verstoß vor. Art. 99 KI-VO regelt die verschiedenen Bußgeldhöhen, abhängig von der Schwere des Verstoßes.
Es sind drei Stufen der Sanktionierung definiert:
1. Stufe: In der ersten Stufe gem. Art. 99 Abs. 3 KI-VO liegt der Bußgeldrahmen i.H.v. bis zu 35 Mio. Euro oder bei einem Verstoß durch ein Unternehmen von bis zu 7% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
2. Stufe: Gem. Art. 99 Abs. 4 KI-VO liegt der Bußgeldrahmen in der zweiten Stufe i.H.v. bis zu 15 Mio. Euro oder bei einem Verstoß durch ein Unternehmen von bis zu 3% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
3. Stufe: In der dritten Stufe gem. Art. 99 Abs. 5 KI-VO liegt der Bußgeldrahmen i.H.v. bis zu 7.5 Mio. Euro oder bei einem Verstoß durch ein Unternehmen von bis zu 1% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
Zuständigkeit Behörden
Man muss zwischen der Ebene der EU und der nationalen Ebene unterscheiden. Auf der Unionsebene ist gem. Art. 65 KI-VO i.V.m. Erwägungsgrund 149 vorgesehen, einen europäischen Ausschluss für KI zu errichten, der aus Vertretern der Mitgliedstaaten und der Europäischen Kommission besteht. Ähnlich wie der Europäische Datenschutzausschluss im Bereich des Datenschutzes, soll dieser Ausschluss sicherstellen, dass die Kommission und die nationalen Aufsichtsbehörden zusammenarbeiten, um eine effektive und harmonisierte Umsetzung der KI-VO zu gewährleisten.
Auf nationaler Ebene sollen gem. Art. 70 KI-VO i.V.m. Erwägungsgrund 153 eine oder mehrere nationale Behörden als Aufsichtsbehörden benannt werden. Diese sind dafür zuständig, die Anwendung und Durchführung der Verordnung zu überwachen.
Da der Europäische Datenschutzbeauftragte die Aufsichtsbehörde für die Organe und Einrichtungen der Union ist, stellt sich die Frage, ob auf nationaler Ebene die nationalen Datenschutzaufsichtsbehörden zuständig sein werden.
Herausforderungen der KI-VO
Die Einführung der KI-Verordnung bringt eine Reihe von Herausforderungen mit sich, die Unternehmen und Entwickler bewältigen müssen:
- Rechts- und Compliance-Kosten: Unternehmen müssen erhebliche Ressourcen aufwenden, um die gesetzlichen Anforderungen zu erfüllen, einschließlich der Anpassung von Prozessen und Implementierung zusätzlicher Maßnahmen.
- Innovationseinschränkungen: Die Vorschriften könnten die Entwicklung neuer Technologien bremsen.
- Interpretation und Umsetzung: Die Auslegung und praktische Anwendung der Vorschriften können komplex sein.
- Technische Komplexität: Die Verordnung könnte komplexe technische Maßnahmen erforderlich machen.
Fazit
Die EU-KI-Verordnung markiert einen wichtigen Schritt in der Regulierung von KI, indem sie einen ausgewogenen Ansatz zwischen Datenschutz und technologischem Fortschritt bietet. Sie stellt sicher, dass KI-Anwendungen die Grundrechte der Bürger:innen respektieren und gleichzeitig Innovationen ermöglichen. Unternehmen stehen jedoch vor erheblichen Herausforderungen: Neben den Anpassungen an die neuen Regelungen müssen sie auch in die Schulung ihrer Mitarbeitenden investieren, um sicherzustellen, dass die Anforderungen korrekt umgesetzt werden. Die Komplexität der Vorschriften und die potenziellen Innovationseinschränkungen erfordern sorgfältige Planung und Umsetzung. Dennoch positioniert sich die EU mit dieser Verordnung als Vorreiterin auf dem Weg zu einer ethisch verantwortungsvollen und sicheren Nutzung von KI.