Recht und Steuern
Der als Verordnung ausgestaltete AI Act (Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz) soll Innovationen fördern, das Vertrauen in KI stärken und sicherstellen, dass diese Technologie die Grundrechte und Sicherheit der EU-Bürger respektiert.
Die EU verfolgt dabei einen risikobasierten Ansatz: Der Anwendungsbereich der Verordnung wird in Risikokategorien eingeteilt, wobei je nach Risikokategorie eines KI-Systems unterschiedliche Regeln und Pflichten für Entwickler, Anwender und Importeure gelten.
Unterschieden werden Systeme folgender Risikokategorien:
Die Entscheidung, ob auf den bestimmten Betrag oder den prozentualen Jahresumsatz abzustellen ist, hängt von der Art des betroffenen Unternehmens ab: Bei KMU soll grundsätzlich die im Ergebnis niedrige Alternative gelten, bei großen Unternehmen hingegen stets die höhere.
Für KMU sieht der AI Act die Möglichkeit von „regulatory sandboxes“ vor – das sind Reallabore, die das Testen von Anwendungen in einem abgegrenzten regulierungsfreien Raum unter Aufsicht ermöglichen. Auch KI-Systeme im Bereich der Forschung und Entwicklung genießen einen Sonderstatus.
Anbieter und KI-Betreiber werden durch den AI Act in die Pflicht genommen, dafür zu sorgen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit ihren KI-Systemen befasst sind, stets über ein hinreichendes Maß an KI-Kompetenz verfügen.
Der AI Act tritt 20 Tage nach Veröffentlichung im Journal der EU in Kraft. Vollständig angewendet wird er nach 24 Monaten, d.h. voraussichtlich ab Mai 2026. Bis dahin haben die Unternehmen Zeit, Prozesse und Produkte den neuen Anforderungen entsprechend anzupassen.
AI Act verabschiedet
Das Europäische Parlament hat am 13. März den sog. AI Act verabschiedet – das weltweit erste umfassende Regelwerk für Künstliche Intelligenz (KI).
Der als Verordnung ausgestaltete AI Act (Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz) soll Innovationen fördern, das Vertrauen in KI stärken und sicherstellen, dass diese Technologie die Grundrechte und Sicherheit der EU-Bürger respektiert.
Die EU verfolgt dabei einen risikobasierten Ansatz: Der Anwendungsbereich der Verordnung wird in Risikokategorien eingeteilt, wobei je nach Risikokategorie eines KI-Systems unterschiedliche Regeln und Pflichten für Entwickler, Anwender und Importeure gelten.
Unterschieden werden Systeme folgender Risikokategorien:
Systeme mit inakzeptablem Risiko
KI-Anwendungen, die eine Gefahr für elementare Bürgerrechte darstellen, sind verboten.
Dazu gehören z.B.:
Dazu gehören z.B.:
- Systeme zur Emotionserkennung am Arbeitsplatz oder im Bildungsbereich,
- Sozial-Punkte-Systeme (Social Scoring),
- Systeme zur biometrischen Gesichtserkennung (enge Ausnahmen nur im Bereich der Strafverfolgung und Terrorismusbekämpfung und nur unter bestimmten Auflagen wie z.B. der richterlichen Anordnung möglich) sowie
- Systeme, die menschliches Verhalten manipulieren oder die Verletzlichkeit besonders schutzbedürftiger Menschen missbräuchlich ausnutzen.
Hochrisiko-KI-Systeme
Für KI-Systeme, die ein erhebliches Schadenspotenzial für Demokratie, Gesundheit, Bildung, Umwelt oder Sicherheit bergen, gelten bestimmte Anforderungen.
Solche Hochrisiko-KI-Systeme sind zum Beispiel:
- Medizinische Geräte,
- Transportsysteme,
- KI-Systeme der kritischen Infrastruktur,
- KI-Systeme aus Bereichen essenzieller privater und öffentlicher Dienstleistungen (z.B. aus dem Bereich der Banken u. Gesundheitsversorgung)
- KI-Systeme im Bildungsbereich und
- KI-Anwendungen im Rechtswesen.
Solche KI-Systeme müssen einem effektiven Risikomanagement unterzogen werden und unterliegen bestimmten Transparenz- und Dokumentationspflichten. Sie müssen stets eine menschliche Kontrolle gewährleisten. Hierzu soll u.a. auch die Einrichtung eines Beschwerdesystems für Nutzer beitragen.
KI-Systeme mit allgemeinem Verwendungszweck (General-purpose AI = GPAI)
KI-Systeme mit allgemeinem Verwendungszweck, die nicht in die o.g. Risikogruppen fallen (darunter z.B. auch ChatGPT), unterliegen weniger strengen Anforderungen, müssen aber transparent und verantwortungsbewusst eingesetzt werden, mit dem EU-Urheberrecht in Einklang stehen und Zusammenfassungen der genutzten Trainingsdaten zur Verfügung stellen. KI-manipulierte Bilder, Audios und Videos (darunter auch sog. „deepfakes“) müssen als solche gekennzeichnet werden.
Unternehmen, die ihren Verpflichtungen aus dem AI Act nicht nachkommen, müssen mit Bußgeldern rechnen, die je nach Art des Verstoßes variieren:
Unternehmen, die ihren Verpflichtungen aus dem AI Act nicht nachkommen, müssen mit Bußgeldern rechnen, die je nach Art des Verstoßes variieren:
- Wer verbotene KI-Systeme anbietet, dem drohen Bußgelder in Höhe von bis zu 35 Mio. EUR oder 3 % des weltweiten Jahresumsatzes.
- Wer als Entwickler, Anbieter, Betreiber oder Importeur von Hoch-Risiko-KI-Systemen seine Pflichten nicht erfüllt, kann mit Bußgeldern von bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes belegt werden.
- Für die Übermittlung falscher oder unvollständiger Informationen an die zuständigen Behörden können Geldbußen von bis zu 7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes erhoben werden.
Die Entscheidung, ob auf den bestimmten Betrag oder den prozentualen Jahresumsatz abzustellen ist, hängt von der Art des betroffenen Unternehmens ab: Bei KMU soll grundsätzlich die im Ergebnis niedrige Alternative gelten, bei großen Unternehmen hingegen stets die höhere.
Für KMU sieht der AI Act die Möglichkeit von „regulatory sandboxes“ vor – das sind Reallabore, die das Testen von Anwendungen in einem abgegrenzten regulierungsfreien Raum unter Aufsicht ermöglichen. Auch KI-Systeme im Bereich der Forschung und Entwicklung genießen einen Sonderstatus.
Anbieter und KI-Betreiber werden durch den AI Act in die Pflicht genommen, dafür zu sorgen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit ihren KI-Systemen befasst sind, stets über ein hinreichendes Maß an KI-Kompetenz verfügen.
Der AI Act tritt 20 Tage nach Veröffentlichung im Journal der EU in Kraft. Vollständig angewendet wird er nach 24 Monaten, d.h. voraussichtlich ab Mai 2026. Bis dahin haben die Unternehmen Zeit, Prozesse und Produkte den neuen Anforderungen entsprechend anzupassen.