85 Artikel lang und mit neun Anlagen versehen ist er, der Entwurf für eine neue europäische Verordnung zur Harmonisierung des Rechts der künstlichen Intelligenz (KI-Verordnung). Die EU-Kommission hat mit dem Ende April 2021 veröffentlichten Papier den weltweit ersten Versuch unternommen, einen umfassenden rechtlichen Rahmen für KI zu schaffen. Entsprechend groß ist das internationale Echo. Kommt jetzt die nächste DSGVO? Gelingt es der EU, globale Standards zu setzen? Und wie wird das neue Regelwerk Europas Techindustrie beeinflussen?
Nimmt man die EU-Kommission beim Wort, dann ist die KI-Verordnung das Herzstück der europäischen Strategie für einen digitalen Binnenmarkt. Doch enden die Ambitionen der EU nicht an Europas Grenzen: Ausdrücklich soll die KI-Verordnung global als Beispiel und Richtschnur für die Regulierung von KI dienen. Dazu passt, dass der Entwurf für die KI-Verordnung – wie bereits die DSGVO – weltweit Geltung beansprucht. Jedes KI-System, das in den Mitgliedstaaten der EU auf den Markt gebracht oder eingesetzt wird, soll sich künftig an der KI-Verordnung messen lassen müssen.
Einige KI-Systeme sollen verboten werden
Bestimmte KI-Systeme werden dabei geächtet. Sie dürfen in der EU nicht in Verkehr gebracht oder betrieben werden. Art. 5 der KI-Verordnung nennt hier etwa KI-Systeme, die durch unterschwellige Beeinflussung oder Ausnutzung des Alters oder einer körperlichen oder geistigen Beeinträchtigung das Verhalten von Personen wesentlich beeinflussen und dadurch diese oder andere Personen körperlichen Gefahren aussetzen. Verboten sein sollen aber auch bestimmte Social Scoring-Systeme oder KI-Systeme zur biometrischen Echtzeitidentifizierung von natürlichen Personen im öffentlichen Raum. Die Liste zeigt es bereits: Der Kommission geht es darum, Risiken abzumildern, die sich durch den Einsatz von KI-Systemen für die Selbstbestimmtheit von EU-Bürgern ergeben können. Nicht verboten, aber dennoch streng reglementiert wird daher eine Vielzahl weiterer, als Hochrisikoanwendungen deklarierter KI-Systeme. Hierbei geht es zum einen um KI-Systeme, die als Sicherheitskomponente bestimmter Produkte eingesetzt werden, etwa in Fahrzeugen (zum Beispiel Assistenzsysteme für das autonome Fahren) oder Medizinprodukten (etwa „intelligente“ Herzschrittmacher). Ebenfalls umfangreich ist die Liste sonstiger Hochrisikoanwendungen. Anhang III der KI-Verordnung nennt KI-Anwendungen für das Bewerbungsmanagement ebenso wie KI-Anwendungen in den Bereichen Sozial- und Gesundheitsdienste, Justiz oder Migration.
Ohne Prüfsiegel geht nichts mehr
Alle Hochrisikoanwendungen dürfen nach dem Willen der Kommission nur noch mit einem offiziellen Prüfsiegel auf den europäischen Markt gebracht und eingesetzt werden. Verpflichtet werden dabei sowohl die Hersteller der KI-Systeme als auch Unternehmen, welche die KI-Systeme in die EU einführen oder sie in der Union vertreiben. Und auch Unternehmen, die KI-Systeme für ihre Zwecke einsetzen möchten, müssen Sorgfaltspflichten beachten.
Umfangreiche Dokumentations- und Transparenzpflichten möglich
Der Pflichtenkatalog erinnert dabei stark an andere Gesetze aus dem Bereich der Produktsicherheit. Wie von vielzähligen Produkten bekannt, sollen als hochriskant eingestufte KI-Systeme künftig einen aufwendigen Zertifizierungsprozess durchlaufen. An dessen Ende steht eine CE-Kennzeichnung – nur mit diesem Prüfsiegel dürfen die KI-Systeme vertrieben und eingesetzt werden. Hochrisikoanwendungen, die als Sicherheitskomponente anderer Produkte eingesetzt werden, müssen dabei nicht isoliert geprüft und zertifiziert werden. Insoweit werden die bestehenden Zertifizierungsprozesse lediglich um KI-bezogene Spezifika erweitert. Für alle sonstigen Hochrisikoanwendungen aber würde mit der KI-Verordnung erstmals ein umfangreicher Katalog von Dokumentations- und Transparenzpflichten entstehen – gerade für junge Unternehmen eine erhebliche Herausforderung. Sonstige, nicht als Hochrisikoanwendungen klassifizierte KI-Systeme bedürfen keiner Zertifizierung. Allerdings sollen insoweit Anreize für eine freiwillige Selbstbindung (etwa durch Codes of Conduct) geschaffen werden. Transparenzpflichten gelten aber auch in diesem Bereich dann, wenn die KI-Systeme mit natürlichen Personen interagieren und dabei etwa Emotionen erkennen oder biometrische Informationen verarbeiten.
Drakonische Strafen bei Verstößen
Zur Überwachung und Durchsetzung der KI-Verordnung plant die Kommission ein europäisches Netz von Behörden. Auf europäischer Ebene soll ein KI-Ausschuss die Aktivitäten der nationalen Behörden koordinieren. Auch hier stand offensichtlich die DSGVO Pate für den Entwurf der KI-Verordnung. Und es ist geplant, die KI-Aufsichtsbehörden mit der Datenschutzaufsicht auch personell zu verbinden. Noch über die DSGVO hinaus gehen die potenziellen Bußgelder für Verstöße gegen die KI-Verordnung: Bis zu 30 Mio. EUR oder 6% des weltweiten Konzernjahresumsatzes sollen hier verhängt werden können. Verarbeiten KI-Systeme personenbezogene Daten, könnten parallel auch Bußgelder wegen Datenschutzverstößen drohen.
Ausblick
Bis aus dem ersten Entwurf ein verbindliches Gesetz wird, dürfte noch einige Zeit vergehen. Die notwendige Abstimmung unter den europäischen Institutionen hat gerade erst begonnen. Vorgesehen ist auch, dass zwischen der Verabschiedung der KI-Verordnung und ihrer tatsächlichen Anwendbarkeit eine Übergangsfrist gewährt wird. Nichtsdestoweniger ist die Linie vorgezeichnet: Europäische Techunternehmen können deshalb nicht früh genug damit beginnen, ihre Dokumentationsstandards für KI-Systeme auf die absehbare Regulierung hin anzupassen. Auch in Due Diligence-Prozessen sollte das Thema KI-Compliance noch vor Inkrafttreten der KI-Verordnung eine größere Rolle einnehmen.
Alexander Tribess ist Fachanwalt für IT-Recht und für gewerblichen Rechtsschutz. Als Partner im Hamburger Büro von Weitnauer Rechtsanwälte Steuerberater berät er Unternehmen insbesondere in Fragen des Datenschutzes und mit Blick auf die rechtlichen Herausforderungen von KI-Anwendungen.