Die europäische Verordnung über künstliche Intelligenz, kurz: KI-Verordnung wurde am 12.07.2024 im EU-Amtsblatt veröffentlicht. Damit ist der AI-Act – weltweit das erste Regelwerk für den Einsatz von künstlicher Intelligenz – am 01.08.2024 in Kraft getreten. Ziel der KI-Verordnung ist es, einheitliche Vorgaben für die Entwicklung und Nutzung von künstlicher Intelligenz in der Europäischen Union festzulegen. Hierbei soll ein hohes Schutzniveau in Bezug auf Gesundheit, Sicherheit, Demokratie, Rechtsstaatlichkeit und Umweltschutz sichergestellt, schädliche Auswirkungen von KI-Systemen vermieden und gleichzeitig die technische Innovation unterstützt werden.
Die KI-Verordnung verfolgt einen risikobasierten Ansatz, der KI-Systeme ausgehend von ihrem Risiko für die Sicherheit, Gesundheit und Grundrechte von Menschen bewertet. Die Intensität der Compliance-Anforderungen richtet sich nach der jeweiligen Risikostufe.
Für die höchste Risikostufe stellt die Verordnung in Art. 5 Verbote von solche KI-Praktiken auf, die ein nicht akzeptables Risiko beinhalten. Hierzu zählen u.a. Social-Scoring-Systeme und biometrische Echtzeit-Identifizierung in öffentlichen Räumen. Diesbezüglich gilt eine Übergangsfrist von sechs Monaten. Die weiteren Vorschriften der KI-Verordnung werden nach und nach jeweils ab August 2025, 2026 und 2027 Geltung erlangen.
Im Bereich von sogenannten Hoch-Risiko-KI-Systemen gelten diverse Compliance-Pflichten für die Entwicklung und den Einsatz. Diese Pflichten umfassen z.B. die Durchführung einer Risikobewertung, die Vermeidung von systematisch verzerrten Ergebnissen, die Durchführung einer Konformitätsbewertung, Maßnahmen zur Cybersicherheit, die Einführung einer menschlichen Aufsicht und die Schulung von Mitarbeitenden.
Nach Art. 50 KI-VO gelten für bestimmte KI-Systeme – solche mit geringem Risiko – Transparenz- und Informationspflichten. Bei der direkten Interaktion des KI-Systems mit natürlichen Personen, müssen diese u.a. darüber informiert werden, dass sie mit einer KI interagieren. KI-Systeme mit allgemeinem Verwendungszweck haben in Art. 51 f. einen eigenen Abschnitt erhalten.
Die DSGVO bleibt uneingeschränkt neben der KI-Verordnung anwendbar. Datenschutzrechtliche Anforderungen sollten bereits durch eine datenschutzfreundliche Technikgestaltung mitgedacht und umgesetzt werden. Adressaten der KI-Verordnung sollten sich daher bereits jetzt mit den Regelungen vertraut machen. Bei Verstößen gegen die Vorschriften der KI-Verordnung drohen empfindliche Bußgelder. Die Maximalwerte sind noch höher angesiedelt worden als bei der DSGVO. Die Obergrenzen liegen gemäß Art. 99 KI-VO in der Regel bei 15 Mio. Euro oder 3% des weltweiten Jahresumsatzes. Deutlich höher können Bußgelder beim Einsatz verbotener KI-Systeme ausfallen. Die Obergrenze liegt hier bei 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes.